Con l’evoluzione del lavoro ibrido e la crescente digitalizzazione, le VPN tradizionali per l’accesso remoto si stanno rivelando sempre più vulnerabili e inadatte.
Questo causa problemi di sicurezza, performance e complessità operativa.
Il modello Zero Trust Network Access (ZTNA) emerge come alternativa moderna e più sicura, ma da solo non basta. Solo integrandolo in un approccio più ampio come SASE o SSE, che include tecnologie quali Remote Browser Isolation e browser aziendali, è possibile sostituire completamente la VPN. L’articolo esplora sei casi d’uso critici – dal supporto ai lavoratori ibridi all’integrazione post-M&A – e fornisce linee guida per una transizione efficace e senza frammentazione.
Indice degli argomenti
VPN: un punto di riferimento ormai superato
Per anni, la VPN (Virtual Private Network) è stata la soluzione di riferimento per un accesso remoto sicuro. Tuttavia, con l’evolversi del panorama digitale, l’infrastruttura che un tempo garantiva protezione si sta rivelando sempre più vulnerabile.
Le VPN obsolete per l’accesso alle applicazioni stanno diventando sempre più un rischio per la sicurezza, attirando attacchi e consentendo movimenti laterali non autorizzati all’interno delle reti. Un nuovo report di Netskope e Cybersecurity Insiders, il “2025 VPNs Under Siege Report”, basato sui dati di un sondaggio condotto su oltre 600 professionisti IT, svela perché le organizzazioni stanno modernizzando l’accesso con Zero Trust Network Access (ZTNA) e come stanno affrontando questo cambiamento.
Più della metà (56%) delle organizzazioni ha subito almeno un incidente di sicurezza legato alla VPN nell’ultimo anno – molte con più violazioni durante l’anno – rendendo le VPN un vettore d’attacco primario. Ad esempio, la vulnerabilità CVE-2025-0282 di Ivanti ha permesso agli attaccanti di eseguire codice da remoto senza autenticazione ed è stata attivamente sfruttata.
Inoltre, la pratica comune di instradare traffico Internet attraverso la VPN causa una scarsa esperienza utente, costi elevati e un routing complesso. Il 22% degli utenti segnala connessioni lente e il 19% è frustrato da complessi processi di autenticazione. I team IT, inoltre, faticano a bilanciare le prestazioni (21%) e a gestire la continua risoluzione di problemi (18%).
ZTNA: l’alternativa moderna alla VPN
Per le aziende che desiderano modernizzare la propria connettività per una forza lavoro ibrida, lo Zero Trust Network Access (ZTNA) è l’alternativa più sicura.
Una maggiore sicurezza (78%) è il principale motivo per adottare ZTNA, seguita dalla semplificazione nella gestione dell’infrastruttura (63%). Il 26% delle aziende ha già implementato ZTNA, e un ulteriore 37% prevede di farlo entro il prossimo anno.
Tuttavia, non tutte le soluzioni ZTNA sono uguali e molte non permettono una sostituzione completa della VPN tradizionale.
Per eliminare davvero le VPN obsolete, le aziende devono concentrarsi sui propri casi d’uso invece di adattarsi a una singola tecnologia.
Casi d’uso chiave per abbandonare la VPN
Un approccio più ampio come SASE (Secure Access Service Edge) – che integra ZTNA con altre tecnologie come, ad esempio, il Remote Browser Isolation (RBI) ed Enterprise Browser – è fondamentale per dire definitivamente addio alle VPN.
Il 60% delle aziende desidera che ZTNA sia strettamente integrato in una piattaforma SSE (Secure Service Edge) per garantire accesso unificato, protezione dei dati e prevenzione delle minacce su tutto il traffico.
Abilitare i lavoratori ibridi
Il modello di lavoro ibrido ha messo in luce le inadeguatezze delle soluzioni VPN legacy.
Le VPN offrono una visibilità limitata sulle attività delle applicazioni, soffrono di latenza a causa del backhauling del traffico e concedono un accesso ampio a livello di rete, espandendo così la superficie di attacco attraverso movimenti laterali illimitati.
Inoltre, le vulnerabilità non corrette nei concentratori VPN possono fungere da importanti vettori di attacco.
Per garantire che la nuova tecnologia di accesso remoto supporti i lavoratori ibridi, occorre cercare una soluzione ZTNA (Zero Trust Network Access) in grado di concedere accesso con privilegi minimi alle applicazioni private, basato sull’identità e sul contesto. Ciò ridurrà significativamente i movimenti laterali non autorizzati.
La visibilità in tempo reale sul traffico delle applicazioni e sulle attività degli utenti garantirà un’applicazione coerente delle policy, indipendentemente dalla posizione dell’utente.
Inoltre, questo approccio consente la creazione sicura di connettività pre-login, facilitando l’onboarding sicuro di nuovi dispositivi e consentendo il reset remoto delle password, assicurando che solo i dispositivi autorizzati accedano alle risorse interne critiche.
Accelerare la migrazione al cloud
Con la digitalizzazione, sempre più workloads sono ospitati su cloud pubblici rispetto ai data center privati. Tuttavia, le VPN tradizionali instradano ancora il traffico utente attraverso data center aziendali prima di raggiungere i servizi IaaS, causando ritardi, costi elevati e routing complesso.
ZTNA non risolve automaticamente questi problemi. È importante scegliere soluzioni che progettano con cura l’architettura di rete oltre alla sicurezza.
È opportuno evitare soluzioni che comportano hairpinning o percorsi dati inutilmente lunghi: ogni “hop” aggiuntivo aumenta la latenza e peggiora l’esperienza utente.
Facilitare l’accesso da dispositivi non gestiti
Spesso le aziende devono fornire accesso sicuro a fornitori esterni, partner e collaboratori che usano dispositivi personali. Richiedere l’installazione di client specifici può risultare poco pratico, e concedere l’accesso VPN a questi dispositivi può comportare rischi di accesso eccessivo.
In questi casi, è sensato scegliere una soluzione ZTNA integrata in una piattaforma SSE o SASE. Gli Enterprise browser offrono un’opzione sicura per l’accesso remoto da dispositivi non gestiti, senza moltiplicare il lavoro di gestione delle policy.
Supportare i contact center remoti
I lavoratori dei contact center remoti richiedono connettività stabile e di qualità. Molti usano ancora sistemi VoIP locali che si appoggiano alla VPN, causando problemi di qualità vocale e latenza.
In questo caso è fondamentale scegliere soluzioni che combinano ZTNA e funzionalità SD-WAN, idealmente in un unico client. Serve una gestione dinamica del traffico e una QoS basata sul contesto per garantire performance vocali e video affidabili.
Gestire applicazioni legacy
Molte applicazioni legacy non sono compatibili con ZTNA moderno, soprattutto quelle che richiedono traffico generato dal server. La “connettività inside-out” delle soluzioni ZTNA moderne è avviata dall’endpoint, il che crea incompatibilità.
Le aziende devono quindi valutare come ZTNA gestisce l’accesso alle applicazioni legacy e moderne. Anche se l’ammodernamento delle applicazioni richiede tempo, l’accesso sicuro non può essere rimandato.
Consolidare le tecnologie di accesso senza compromettere la sicurezza è essenziale. L’accesso affidabile e veloce dovrebbe essere un principio guida della strategia ZTNA.
Accelerare l’integrazione in caso di fusioni e acquisizioni
Le fusioni e acquisizioni mettono sotto pressione IT e sicurezza. I metodi tradizionali per unificare reti sono costosi, lenti e portano a conflitti IP. Il 91% delle aziende trova difficile integrare accessi di terze parti tramite VPN.
ZTNA si distingue in questo ambito: consente il collegamento immediato e sicuro di dipendenti, collaboratori e consulenti sin dal primo giorno. Non richiede VPN né fusione delle reti. L’accesso viene regolato da criteri adattivi che tengono conto di identità, stato del dispositivo e altri fattori contestuali.
Tuttavia, molte soluzioni ZTNA non coprono tutti i casi d’uso dell’azienda acquisita. Nessuna VPN può essere disattivata finché ogni utente e ogni applicazione (anche le più “complesse e legacy”) non è migrata. È quindi utile considerare tutti i casi d’uso qui elencati, anche se oggi non sono ancora tutti necessari.
Conclusioni
Le VPN per accesso remoto, un tempo all’avanguardia, sono oggi un punto debole per la sicurezza e la performance di rete.
Molte soluzioni ZTNA attuali offrono solo una sostituzione parziale, generando ambienti ibridi più complessi delle VPN originali.
Tuttavia, riconoscendo e pianificando in anticipo i casi d’uso più complessi, è possibile abbandonare la VPN senza compromessi, scegliendo l’architettura giusta fin dall’inizio.
