Un Workplace ibrido mette al sicuro l’ azienda con HPE Aruba

Diffidando tutto ciò che è in rete e applicando policy robuste si protegge il lavoro e i dati aziendali

I manager di HPE Aruba, azienda indipendente posseduta da HPE Enterprise ci mettono in guardia dai rischi del “workplace ibrido”. Se il BYOD era un problema, oggi ci troviamo di fronte uno scenario molto più articolato, che. attraverso l’uso massiccio dello smart working, crea ulteriori rischi. Le nuove abitudini generano modelli professionali che si concretizzano in un ambiente mutevole, nel quale ci si alterna tra casa, ufficio e lavoro in mobilità.

La sicurezza diventa, pertanto, sempre più critica.

La soluzione proposta da HPE Aruba appare efficace e concettualmente semplice, il  che è un requisito basilare perché funzioni. In buona sostanza si tratta di identificare e controllare tutto ciò che si attesta sulla rete, con una logica “Zero trust” applicando rigide policy, che impediscono qualsiasi azione che non sia autorizzata.

L’ambiente proposto da HPE Aruba prevede l’uso di reti Wi-Fi e/oLAN fornite tramite access point di livello aziendale, come ad esempio la soluzione “Home Office:”, molto più affidabili in quanto forniscono prestazioni elevate e contribuiscono alla creazione di un ambiente di lavoro sicuro, anche da casa, e in cui le responsabilità legate alla sicurezza aziendale non gravano sulle spalle dei dipendenti”, come ci spiega Alessandro Ercoli_System Engineering Manager di HPE Aruba Italia , aggiugendo, “In particolare, in questo ambito HPE Aruba offre Aruba ESP, la prima piattaforma cloud-native del settore basata su AI che prevede e risolve i problemi sull’edge di rete prima che possano verificarsi e permette di estendere l’esperienza del dipendente in un ambiente home office in totale sicurezza”.

Più in dettaglio, il manager spiega che la soluzione è c “costruita su AIOps, sul modello per la sicurezza di rete Zero Trust e su una architettura unificata per ambienti campus, data center, sedi distaccate e di telelavoro che, insieme, danno vita a una piattaforma all-in-one automatizzata per analizzare senza soluzione di continuità i dati in transito attraverso i diversi domini”.

Aruba ESP mantiene traccia dei parametri SLA (Service Level Agreement) , individua le anomalie e in automatico ottimizza il sistema identificando e mettendo in sicurezza, come accennato, i dispositivi sconosciuti che si connettono alla rete.

Recentemente, Aruba ESP è stata ulteriormente migliorata con elementi essenziali per garantire una “iper-consapevolezza” dell’ambiente operativo attraverso access point e switch Aruba che agiscono come piattaforme IoT/OT multiprotocollo, afferma Ercoli. Facendo leva sui dati contestuali generati da Aruba ESP e unificando le reti IoT, IT e OT per raccogliere informazioni di contesto complete, è così possibile creare facility ancora più sicure e adattative che migliorano la produttività; un notevole salto in avanti rispetto a quanto si può ottenere attraverso una connettività elementare e un monitoraggio basato su tecniche di machine learning.

Ancora Ercoli ci spiega: “Aruba ESP è una piattaforma dotata del “sesto senso”, che si basa sugli Insight dell’IA per identificare e risolvere rapidamente i problemi prima che possano causare lamentele da parte degli utenti o avere ripercussioni sul Business e a questo si aggiunge un’esperienza che offre un’estrema flessibilità di consumo SaaS e NaaS, grazie ai suoi modelli di finanziamento, conclude il manager.

Alessandro Ercoli_System Engineering Manager di HPE Aruba Italia

Ercoli_System Engin, ering Manager di HPE Aruba Italia

I Rischi della connessione a reti Wi-Fi di router home office.

 

 

Riportiamo alcune considerazioni basilari circa i rischi che nascono in ambito di workspace ibrido, evidenziati dai manager di HPE Aruba.

In tema di telelavoro è doveroso considerare soprattutto i rischi e le limitazioni derivanti dalla connessione all’ambiente aziendale tramite una rete Wi-Fi home office rispetto all’utilizzo di access point professionali.

 

  1. Accesso da posizioni senza connessione a Internet via cavo. Esistono realtà in cui la copertura fornita dall’operatore è inadeguata o inesistente, il che impedisce di beneficiare di una connessione stabile. Un access point professionale dispone di un uplink universale cablato che può essere connesso a qualunque porta dei router residenziali senza alcuna configurazione. Tuttavia, anche nelle aree in cui non è disponibile una connessione a Internet via cavo (Fibra, ADSL), è possibile dotare l’access point di un modem USB con connessione 3G/4G che consenta di estendere l’ambiente di lavoro mantenendone invariate le garanzie di sicurezza, crittografia, esperienza utente e controllo della navigazione.

 

  1. Capacità di gestione. Il router home office non è controllato dall’azienda e ciò presuppone una limitazione significativa nel momento in cui è necessario gestire la connessione Wi-Fi dei telelavoratori. L’access point professionale e la rete Wi-Fi aziendale sono interamente gestiti dall’azienda, il che consente una visibilità molto più completa e capacità avanzate di risoluzione di problemi di qualunque tipo da remoto. Inoltre, l’azienda può occuparsi attivamente degli aggiornamenti di firmware dell’access point, affinché questo rimanga protetto da nuovi attacchi.

 

  1. Efficienza della rete Wi-Fi. L’efficienza e la velocità di connessione fornite da una rete Wi-Fi home office condivisa da decine di dispositivi senza che sia possibile mettere in atto meccanismi di qualità del servizio sono soggette a limitazioni evidenti. Rispetto a un router home office, un access point professionale presenta chiari vantaggi in termini di efficienza, velocità e prioritizzazione del traffico. Se a ciò aggiungiamo che l’access point si collega direttamente via cavo al router (il che neutralizza le limitazioni che contraddistinguono la connessione Wi-Fi del router) e che il numero di dispositivi connessi alla rete Wi-Fi aziendale è notevolmente inferiore (solitamente tra 1 e 3) a quello dei dispositivi collegati alla rete Wi-Fi home office, otteniamo un’esperienza d’uso nettamente migliore.

 

  1. Copertura di segnale Wi-Fi. La copertura di segnale Wi-Fi offerta da un router home office è inferiore rispetto a quella fornita da un access point professionale. Si tratta di un fattore rilevante in quanto potrebbe costringere il telelavoratore a privilegiare il suo posizionamento vicino al router per beneficiare di una buona copertura di rete a discapito di altre ubicazioni che potrebbero risultare più opportune per lavorare (luce migliore, meno rumore, comodità, utilizzo di una scrivania, ecc.). Le soluzioni basate su access point professionali offrono molta più libertà e consentono quindi al dipendente di posizionarsi dove preferisce senza doversi preoccupare della copertura di rete.

 

Contrastare il rischio di cyber attacchi

Un ‘ulteriore problematica digitale riguarda la piaga dei cyber criminali, pronti a sfruttare la minima occasione per “monetizzare” ogni errore e creare danni più o meno gravi, con attacchi informatici diretti ai dipendenti che lavorano dasa o nelle suddette modalità ibride. Per aiutare le aziende nella lotta a cybercrime, HHPE Aruba ha realizzato una guida specifica a supporto delle aziende per contrastare possibili attacchi informatici. Adatta a imprese di ogni genere e settore, la guida di HPE Aruba descrive cinque principali rischi per la sicurezza che i criminali informatici tendono a sfruttare e le procedure da adottare per evitarli.

 

  1. Aumento della superficie di attacco. Gli ambienti domestici, che fino a poco tempo fa non erano attraenti agli occhi dei criminali informatici, sono diventati un obiettivo di attacco prioritario per l’elevata probabilità che persone impegnate nel telelavoro abbiano accesso a preziose informazioni aziendali. La soluzione più utilizzata a casa è un router home office ma i vari modelli di router domestici sono ormai noti e, con essi, si conoscono anche i loro punti deboli.

 

Per risolvere questo problema, HPE Aruba suggerisce di utilizzare un access point enterprise, gestito dall’azienda, con cui è possibile creare una rete WiFi corporate sicura separata dal WiFi di casa e protetta da un ulteriore livello di firewall implementato dall’access point stesso.

 

  1. Connessione a reti WiFi non sicure. La necessità di collegarsi alle reti Wi-Fi home office implica che i dispositivi aziendali debbano connettersi a reti Wi-Fi di ogni tipo, anche non sicure. Inoltre, il fatto che in molti casi sia l’utente a decidere quando attivare il proprio client VPN lascia aperta la possibilità che possa connettersi senza che l’azienda, tramite la VPN, possa attuare politiche che impediscano comportamenti potenzialmente dannosi.

 

Per questo, HPE Aruba propone di utilizzare risorse basate su un access point business che replica la medesima rete WiFi aziendale dell’ufficio. Un dispositivo aziendale sarà così abilitato esclusivamente alla connessione alla rete WiFi dell’azienda, bloccando qualsiasi altra rete WiFi e aumentando il livello di sicurezza e robustezza crittografica.

 

  1. Rete condivisa all’interno dell’ambiente home office. I dispositivi aziendali si connettono alla stessa rete WiFi a cui si collegano gli altri dispositivi domestici. Ognuno di essi, nel caso in cui sia stato compromesso da un attacco informatico, è un rischio notevole perché potrebbe attaccare i dispositivi aziendali per introdurvi dei malware che consentano ai cyber criminali di accedere a dati sensibili.

 

Nel caso di un access point business, invece, i dispositivi aziendali sono connessi a una VLAN aziendale indipendente gestita dalla azienda stessa; il che rende impossibile la comunicazione tra dispositivi aziendali e dispositivi domestici.

 

  1. Crittografia e meccanismi di sicurezza WiFi. I criminali informatici sono consapevoli delle vulnerabilità derivanti dalla debole crittografia delle reti Wi-Fi home office e sono in grado di servirsene per accedere alle informazioni trasmesse da qualsiasi dispositivo connesso a queste reti. Inoltre, una volta che il criminale informatico riesce ad accedere alla rete domestica, ottiene connettività diretta con il dispositivo aziendale e può tentare di sfruttarne le vulnerabilità.

 

Un access point business dispone di meccanismi crittografici più solidi che prevedono credenziali differenti per ciascun dispositivo e il supporto del nuovo standard di sicurezza WPA3 che evita accessi non autorizzati alla rete e la decodifica delle informazioni trasmesse.

 

  1. Rilevamento di attacchi di intrusione radio (IDS/IPS). Un dispositivo manomesso potrebbe lanciare attacchi DoS (Denial of Service) per impedire l’accesso agli altri dispositivi collegati alla stessa rete Wi-Fi home office. Un dispositivo alterato potrebbe agire come “falso” access point, sostituendosi al router home office. Il dispositivo aziendale potrebbe inavvertitamente connettersi a questa rete Wi-Fi e ricevere dall’access point non autorizzato indirizzi di server maligni che potrebbero bloccare la connessione o portare il dipendente a visitare pagine Web maligne mentre naviga con la VPN disattivata.

 

Attraverso un access point enterprise HPE Aruba offre una doppia protezione: da un lato la capacità di identificare e inibire l’access point “rogue”, dall’altro un meccanismo di autenticazione che può essere incorporato sulla base di certificati che permettono al dispositivo aziendale di verificare l’identità del server aziendale al quale si collegherà solo se il certificato presentato dal server corrisponde a quello memorizzato nel database locale del dispositivo, evitando così qualsiasi connessione a possibili router fasulli.

HPE Aruba

Stefano Brioschi_Category Manager,di HPE Aruba Italia

Oggi una grande sfida è rappresentata dall’edge, che non è il vecchio “perimetro” della rete, ma parte della rete stessa. A tal proposito, conclude Stefano Brioschi, Category Manager di HPE Aruba Italia: “Gli eventi della prima metà del 2020 hanno accelerato la necessità per i responsabili IT di adeguarsi ai cambiamenti, per supportare una forza lavoro sempre più flessibile e distribuita. Investire sull’Edge per le aziende è diventata una necessità per poter avere controllo, sicurezza, affidabilità e dati elaborati vicino al device. La nostra strategia è di poter utilizzare implementazioni cloud già esistenti per assistere rapidamente il cliente in questa trasformazione digitale. Siamo convinti che la nostra tecnologia possa permettere alle aziende anche in questo momento di continuare il business, perseguire i propri

Gaetano Di Blasio ha lavorato presso alcune delle principali riviste specializzate nell’ICT. Giornalista professionista, è iscritto all’ordine dei giornalisti della Lombardia ed è coautore di rapporti, studi e Survey nel settore dell’ICT. Laureato in Ingegneria.