Che cos'è il protocollo di desktop remoto e perché è necessario proteggerlo?
RDP (Remote Desktop Protocol) è una delle tecnologie più utilizzate per accedere ad applicazioni o desktop basati su server e per consentire l'accesso remoto degli utenti. Remote Desktop Web Access è un protocollo di comunicazione di rete sicuro sviluppato da Microsoft che consente di accedere alle applicazioni (RemoteApp) in esecuzione su un Terminal Server senza alcuna connessione VPN.
Purtroppo, l'utilizzo di RDP nelle sue forme più semplici rappresenta un enorme rischio per la sicurezza. L'NCSC (National Cyber Security Centre) del Regno Unito ha identificato l'RDP non protetto come il motivo #1 degli attacchi ransomware. E queste buffonate possono avvenire molto, molto velocemente quando si utilizzano semplicemente le password senza ulteriori misure di sicurezza...
Un esperimento "honeypot" condotto dall'Unità 42 nell'estate del 2021 ha rilevato che 80% (!) delle sue configurazioni di desktop remoto non protette sono state violate entro 24 ore. Ahi. E questi attacchi non sono isolati: in media, gli ambienti RDP delle honeypot vengono attaccati ogni 11 ore.
È chiaro che la necessità di creare più misure di sicurezza è elevata, senza complicare le impostazioni per gli amministratori e l'esperienza di login per gli utenti finali.
Cos'è l'autenticazione a più fattori e come funziona?
Una delle raccomandazioni per proteggere l'ambiente Remote Desktop dalle violazioni e garantire la massima sicurezza è quella di aggiungere l'autenticazione a più fattori (MFA). Si noti che questa è una delle raccomandazioni, ma non l'unica. Tuttavia, è una di quelle che dovrebbe essere presente nella politica globale di ogni azienda.
L'autenticazione a più fattori è un metodo di autenticazione sicuro che, invece di richiedere solo un nome utente e una password, richiede agli utenti di fornire più fattori di verifica, come una chiave di sicurezza. Solo allora gli utenti possono effettuare il login e accedere alle risorse che desiderano utilizzare.
Un esempio è l'utilizzo di qualcosa che si conosce (password) e di qualcosa che si possiede (codice di accesso unico generato in un'applicazione di autenticazione sul cellulare come chiave di sicurezza) per effettuare il login. Un'altra verifica potrebbe essere l'utilizzo di qualcosa che si "è", come l'impronta digitale o il volto.
Nel caso dell'autenticazione a più fattori, gli utenti devono verificare se stessi con le credenziali di almeno due o più di tre fattori diversi, mentre si parla di autenticazione a due fattori (2FA) quando gli utenti hanno bisogno di due sole credenziali per accedere.
Possiamo solo sottolineare che è davvero importante avere almeno un'autenticazione a due fattori configurata, poiché l'uso esclusivo di password può rendere vulnerabile la rete aziendale.
Come abilitare l'MFA per RDP?
Si potrebbe pensare che il fatto che molte aziende non utilizzino l'autenticazione a più fattori come livello aggiuntivo rispetto all'RDP sia dovuto alla mancanza di soluzioni. Tuttavia, è vero il contrario: il numero di opzioni nello spazio MFA per proteggere l'accesso è tanto elevato quanto i pesci nell'oceano. Noi di Awingu abbiamo fornito funzionalità di autenticazione a due fattori integrate nel prodotto fin dal primo giorno.
Lo scopo di questo post è quello di dare una struttura alle opzioni di soluzione mfa. Aggiungeremo alcune soluzioni di fornitori specifici, ma teniamo presente che ci sono molti attori in questo settore. Piuttosto che confrontare i fornitori, esamineremo l'architettura, la complessità della configurazione e gli elementi di costo in gioco.
In questo blog non stiamo facendo alcuna analisi (o giudizio) su quale generazione di token MFA sia migliore di altre.Ad esempio, l'SMS come token è sicuro quanto un token a tempo generato da un telefono, ecc.
Quali sono le opzioni per l'AMF?
Al livello più alto, l'autenticazione a più fattori può essere aggiunta a RDP utilizzando:
Un fornitore/prodotto di autenticazione a più fattori come Duo Security, OKTA MFA, ... e molti altri;
Utilizzo di un fornitore di identità (IdP) esterno e i servizi MFA collegati a questo IdP. In particolare, esaminiamo Azure Active Directory di Microsoft e il servizio MFA di Azure collegato;
Usare una VPN (supponiamo con un'autenticazione basata su MFA) prima di abilitare l'accesso al servizio RDP. Sarebbe comunque una buona pratica aggiungere almeno un'autenticazione a due fattori in aggiunta alla connessione al desktop remoto;
Autenticazione basata sul certificato dove il certificato prende il ruolo del secondo fattore;
Awinguuna soluzione di accesso remoto basata su browser che rende disponibili applicazioni/desktop basati su RDP in HTML5 (su qualsiasi browser). Awingu è dotato di opzioni MFA integrate e consente combinazioni con (1) prodotti di autenticazione a più fattori di terze parti e (2) Identity Provider (IdP).
In questo confronto, abbiamo fatto una distinzione tra (a) distribuzioni di desktop remoto che sfruttano il client RDP per lanciare i servizi RDP e (b) distribuzioni con Gateway Desktop remoto. Quest'ultimo è un'applicazione web che consente di lanciare i servizi RDP dal browser e da lì aprire un file di configurazione che spingerà il client RDP installato localmente sul dispositivo ad aprirsi. Il vantaggio di utilizzare un gateway Desktop remoto è che viene aperta solo la porta 443 (https). L'opzione (a) richiede l'apertura della porta 3389 per l'uso esterno, il che non è accettabile dal punto di vista della sicurezza.
Per completezza: Awingu non richiede l'uso del Gateway Desktop remoto. Si connette tramite il protocollo Desktop remoto agli host della sessione RD (server del desktop) e quindi agisce come gateway HTML5, rendendo tutte le sessioni disponibili in https nel browser (utilizzando solo la porta 443). RDP in quanto tale non viene reso disponibile all'esterno. Sebbene Awingu sostituisca la necessità di RD Gateway, in realtà offre molto di più.
Come confrontare le soluzioni di autenticazione a più fattori?
Osare il confronto... anche se sembra un po' come confrontare mele con arance. Abbiamo cercato di offrire una prospettiva su:
ComplessitàQuanto più complesse sono le impostazioni, tanto maggiore è il margine di errore e tanto maggiore è il dispendio di tempo;
CostoQuali sono i diversi elementi che devono essere acquistati o installati (per esempio l'infrastruttura di consumo)?
Accesso a qualsiasi dispositivoQuesto potrebbe essere rilevante quando, ad esempio, si consente il BYOD ai propri utenti, o quando si hanno utenti esterni (come gli appaltatori) che devono connettersi alla rete aziendale per accedere ai servizi di protocollo dei desktop remoti;
Valutazione del rischio relativo: il più complicato di tutti. In primo luogo, perché la (correttezza della) distribuzione stessa gioca un ruolo importante. E per due motivi, perché ci sono differenze all'interno di ogni categoria (per le quali stiamo facendo un'astrazione completa).
Come abilitare l'MFA con RDP utilizzando Awingu?
Cos'è Awingu?
Awingu è non è un prodotto per l'autenticazione a due fattori. Se chiedete a Gartner, Awingu è uno spazio di lavoro unificato che potete utilizzare per fornire agli utenti un accesso remoto sicuro. Aggrega diverse applicazioni, desktop e file server e li rende disponibili (con possibilità di single sign on) per gli utenti nel browser tramite il suo 'RDP-to-HTML5' gateway.
Si può trattare di servizi remoti Desktop, ma anche di applicazioni web (che sfruttano il Reverse Proxy Awingu). Avere tutte le applicazioni disponibili in un browser è davvero comodo: non ci sono dati locali sul dispositivo e gli utenti possono lavorare da qualsiasi dispositivo (qualunque sia il fattore di forma).
Ciò significa che potete facilmente configurare e utilizzare Awingu per fornire un accesso sicuro ai vostri dipendenti e collaboratori esterni, in modo che siano in grado di accedere a tutte le risorse aziendali per lavorare da qualsiasi luogo. Naturalmente, è possibile attivare funzionalità di sicurezza aggiuntive per limitare l'accesso in determinati contesti, ad esempio quando necessario. Questo può essere facilmente configurato nelle impostazioni.
È possibile aggiungere l'autenticazione a più fattori a RDP con Awingu?
Sì, perché oltre a offrire un 'gateway' sicuro, Awingu aggiunge davvero molto a 'Le funzionalità di sicurezza "Zero Trust" sono disponibili per l'amministratore nelle impostazioni avanzate.
Soprattutto in ambienti con protocollo desktop remoto tipicamente vulnerabili, sono molto interessanti perché tutte le funzionalità di sicurezza fanno parte dello stesso prodotto. Possono essere attivate e gestite dal team IT dalla stessa console di gestione Awingu (tramite le Impostazioni di sistema Awingu).
Una delle caratteristiche integrate è l'autenticazione a più fattori. Awingu consente la generazione di token basati sul tempo (TOTP) e sul contatore (HOTP). Ciò significa che non dovrete acquistare un'altra soluzione mfa per garantire un'autenticazione sicura agli utenti quando hanno bisogno di accedere.
Volete che gli utenti finali che si collegano all'area di lavoro utilizzino l'autenticazione a due fattori prima di accedere? Questo è facilmente configurabile per gli amministratori nelle impostazioni. Per gli utenti la sicurezza e la semplicità sono fondamentali, quindi non devono preoccuparsi di passaggi difficili. Possono semplicemente installare un'applicazione di autenticazione sul proprio telefono, come Microsoft Authenticator o Google Authenticator. Dopo aver verificato i loro dispositivi con il codice di verifica, questi possono essere visti come dispositivi ricordati. Quando gli utenti desiderano accedere nuovamente all'area di lavoro in un secondo momento, possono semplicemente utilizzare il telefono per ottenere una password una tantum per l'autenticazione.
Se si desiderano più opzioni di token per l'accesso sicuro, Awingu può abilitare l'uso di altri sistemi (come i servizi basati su RADIUS, o la sicurezza DUO, o i servizi basati su IdP come Azure Multi Factor Authentication o IdenProtect) per l'autenticazione sicura.
Altre funzionalità di sicurezza che l'amministratore può attivare per proteggere l'accesso sono la registrazione della sessione, il controllo granulare dell'utilizzo, la consapevolezza del contesto (sulla posizione geografica o sull'indirizzo IP), ...
Awingu è una soluzione semplice?
Siete curiosi di sapere qual è la cosa che piace a tutti i clienti e partner di Awingu? È il fatto che Awingu è così semplice da configurare e gestire per l'accesso remoto. Questa semplicità è dovuta all'architettura: una semplice appliance virtuale che può essere installata nel vostro cloud (infrastruttura) preferito.
Il dispositivo virtuale Awingu agirà quindi come un gateway e si connetterà utilizzando i protocolli standard al vostro back-end: Protocollo Desktop remoto (RDP), WebDAV, CiFS, ... Awingu non ha un database utenti incorporato e per questo si affida ad Active Directory o a un IDP esterno.
Ciò significa che non è necessario installare (o gestire) nulla di aggiuntivo nel back-end. E anche sul dispositivo dell'utente finale non c'è nulla da installare. (*) L'unica cosa di cui gli utenti hanno bisogno è un browser (su un Chromebook, un iPad, un computer Windows, ...) per accedere a tutto ciò di cui hanno bisogno per lavorare. Non c'è quindi una connessione diretta o un tunnel alla rete aziendale.
(*) È possibile lavorare con le smart card in Awingu, ma in questo caso l'utente dovrà installare l'Awingu Remote Application Helper, ma questa è l'unica eccezione.
Una volta autenticati nello spazio di lavoro, non è più necessario aggiungere credenziali di accesso e password per accedere alle applicazioni, ai desktop o ai file server collegati, perché Awingu si occupa del "Single Sign On" in piena sicurezza.
Vuoi saperne di più su come Awingu aggiunge livelli di sicurezza sopra il tuo RDP?
Scarica il nostro whitepaper: "Oltre il RDP"
SCARICA IL NOSTRO WHITE PAPER
Oltre il PSR
English 
Italian 
German 
Spanish 
French