L’uso di una VPN per l’accesso alla parte amministrativa delle risorse in cloud assicura un tunnel crittografato tra l’amministratore e l’infrastruttura, riducendo il rischio di intercettazioni e attacchi man-in-the-middle. In Italia, l’articolo 32 del Regolamento UE 2016/679 (GDPR) impone “misure tecniche adeguate” quali la crittografia per garantire riservatezza e integrità dei dati, estendendo tale obbligo anche alle connessioni di gestione remota. Le Linee guida AgID per i fornitori di servizi cloud della Pubblica Amministrazione raccomandano esplicitamente l’adozione di VPN site-to-site o client-to-site SSL per l’accesso amministrativo, in modo da isolare completamente i canali di controllo da Internet pubblico e questa pratica è comunque raccomandata in ogni caso.
L’utilizzo di una VPN con indirizzo IP dedicato consente di cifrare il traffico e di presentarsi sempre con lo stesso IP, semplificando la protezione e il controllo degli accessi alle risorse in cloud. Grazie a questa configurazione è possibile limitare l’ingresso ai soli endpoint autorizzati, riducendo significativamente il rischio di intrusioni.
Configurare e gestire una VPN è però spesso una operazione tediosa e che può portare ad errori.
Il servizio VPN di VaiSulWeb
Con il servizio VPN di VaiSulWeb attivare una VPN è semplice, veloce ed economico. Il servizio è parte della piattaforma PaaS di VaiSulWeb è può essere attivato in pochi click. I suoi vantaggi principali sono:
- servizio basato su OpenVPN server, una delle soluzioni più diffuse nel settore, disponibili su tutti i sistemi operativi ed i device (Windows, Mac OS, Linux e sistemi mobili come Android e iOS);
- due connessioni concorrenti sono incluse senza costi aggiuntivi;
- indirizzo IP pubblico dedicato e riservato: consente non solo di attivare politiche di whitelisting per le risorse ospitate da VaiSulWeb ma anche per creare tunnel VPN verso risorse esterne;
- i profili di connessione vengono creati automaticamente e possono essere importati senza configurazione. I client di accesso vengono anch’essi configurati automaticamente;
- è possibile attivare facilmente anche più VPN per fornire accessi a partner o clienti in modo completamente isolato.
Attivare il servizio VPN
Questo tutorial prevede che si sia già in possesso di un account sulla piattaforma PaaS di VaiSulWeb. Se non si è ancora attivato un account, è possibile attivarne uno trial completamente gratuito per 14gg e provare le funzionalità descritte in questo tutorial.
Dall’interfaccia della piattaforma PaaS è possibile procedere nella sezione Marketplace come mostrato nell’immagine di seguito:
Poi si può cercare “OpenVPN Access Server” tra le applicazioni disponibili. Nella schermata di configurazione è possibile selezionare le impostazioni necessarie. Per creare una VPN di accesso è necessario selezionare “Secure Remote Access”, definire l’indirizzo dell’ambiente (nell’immagine è la parte che inizia per env-XXXX) che diventerà il proprio endpoint di accesso alla VPN e poi il nome che verrà visualizzato nell’interfaccia (nell’immagine è “OpenVPN Access Server”).
E’ consigliabile ovviamente lasciare sempre attiva l’opzione per la generazione di un certificato Let’s Encrypt gratuito associato alla VPN, in modo da ottenere la cifratura dei dati. Il certificato si rinnoverà automaticamente alla scadenza.
In pochi minuti il server VPN verrà installato e configurato e si riceveranno i dati di accesso all’interfaccia di OpenVPN, come mostrato nell’immagine di seguito. Nella mail di attivazione viene anche indicato il link per il download dei client per i diversi sistemi e per quello dei profili con le configurazioni già impostate che possono essere importati per ottenere il setup automatico del client.
L’indirizzo IP automaticamente assegnato viene mostrato sia nell’interfaccia della piattaforma PaaS (è quello associato al nodo) sia nell’interfaccia di OpenVPN Server.
Attenzione: l’indirizzo IP è riservato e dedicato fino a quando rimarrà attivo l’ambiente. La cancellazione dell’ambiente o la rimozione manuale dell’IP pubblico dall’interfaccia farà ritornare l’IP nel pool di quelli assegnabili ad altri clienti. Non può essere garantita la possibilità che l’IP ritorni nella disponibilità del cliente se fosse stato già riassegnato. E’ quindi importantissimo assicurarsi di non perdere l’assegnazione dell’IP se lo si usa come gateway di accesso o di avere almeno un metodo alternativo.
Per usare la nuova VPN è possibile scaricare subito il client per i sistemi operativi desktop dall’interfaccia Web o uno dei profili per i sistemi mobili. Nell’immagine di seguito compare l’immagine di un client per sistemi Windows connesso alla VPN.
Nota: il servizio VPN appena descritto usa i DNS della piattaforma PaaS per la risoluzione dei nomi e questo significa che gli ambienti distribuiti sulla piattaforma sono direttamente accessibili via VPN anche senza IP pubblico attivo.
Nota: gli aggiornamenti del servizio non sono gestiti automaticamente. Sarà necessario procedere in autonomia ad eventuali upgrade ed agli aggiornamenti del sistema operativo collegato.
Un servizio VPN economico e facile da gestire
Attivare una VPN presenta sempre delle difficoltà. Il servizio VPN di VaiSulWeb rappresenta un modo semplice e veloce per ottenere un servizio VPN sicuro ed efficace in pochi minuti, riducendo i costi e migliorando la sicurezza delle proprie risorse in cloud anche quando si trovassero al di fuori della nostra infrastruttura.
La possibilità di automatizzare l’accensione e lo spegnimento degli ambienti consente di ridurre ulteriormente i costi spegnendo, ad esempio, i servizi VPN durante l’orario notturno se non in uso.
E’ anche possibile estendere il numero di connessioni contemporanee, fissate in due al momento della distribuzione, aggiungendo licenze per ulteriori connessioni così come è possibile fornire accessi riservati ai propri partner e clienti utilizzando altre VPN completamente isolate dalla propria considerato quanto semplice sia la loro distribuzione. L’uso di IP diversi consente anche di disabilitare gli accessi di clienti e partner durante alcune operazioni specifiche come le manutenzioni.
VaiSulWeb sta lavorando per fornire accessi VPN anche in altre aree geografiche in modo da avvicinare i servizi VPN alle risorse che devono essere gestite, migliorando le prestazioni.
Per qualsiasi ulteriore informazione si può fare riferimento al servizio di assistenza di VaiSulWeb.
0
