Photo by Dan Nelson: https://www.pexels.com/photo/person-holding-a-tablet-3949101/
Pacho Baratta

Perché passare a Microsoft Entra Private Access

Il panorama della sicurezza informatica sta vivendo una trasformazione radicale: il lavoro da remoto è ormai prassi consolidata e le applicazioni aziendali risiedono sempre più nel cloud. In questo contesto, molte organizzazioni si interrogano sull’efficacia delle VPN tradizionali per garantire un accesso sicuro alle risorse interne. Recenti statistiche hanno messo in luce evidenti limiti delle soluzioni VPN legacy, soprattutto alla luce di una serie di attacchi informatici diretti contro le VPN Cisco ASA – dispositivi firewall/VPN molto diffusi – con un incremento del 399% negli attacchi già nel primo trimestre 2025. Questo articolo esplora i motivi per cui Microsoft Entra Private Access, parte della suite Microsoft Entra Global Secure Access, rappresenta una valida e più sicura alternativa alle VPN tradizionali. Analizzeremo il ruolo dell’autenticazione multi-fattore (MFA) su soluzioni come Cisco ASA, spiegheremo cos’è e come funziona Microsoft Entra Private Access, e vedremo come un approccio unificato basato su Conditional Access possa migliorare significativamente la postura di sicurezza aziendale.

Le vulnerabilità delle VPN tradizionali evidenziate dagli attacchi a Cisco ASA

Le VPN (Virtual Private Network) tradizionali costituiscono da anni la spina dorsale dell’accesso remoto aziendale, ma negli ultimi tempi hanno mostrato crescenti punti deboli. Un caso emblematico riguarda gli attacchi rivolti ai dispositivi Cisco ASA (Adaptive Security Appliance), usati da molte imprese per offrire VPN sicure ai dipendenti. Una ricerca di Trellix ha registrato un “picco senza precedenti del 399%” negli attacchi di tipo password spray contro VPN basate su Cisco ASA nei primi mesi del 2025. In parallelo, nello stesso periodo gli attacchi ai servizi cloud (ad esempio tentativi di accesso abusivo a Microsoft 365) sono aumentati del 21%, un incremento significativo ma di ordine di grandezza inferiore. Questa disparità suggerisce che i criminali informatici ritengono le VPN tradizionali un bersaglio più vulnerabile rispetto ai servizi cloud moderni, i quali spesso beneficiano di monitoraggio e sistemi antifrode più evoluti.

Nel dettaglio, gli attacchi password spray mirano a sfruttare credenziali deboli o riutilizzate su molti account: invece di forzare una sola utenza con mille password diverse, gli aggressori provano poche password comuni (es. Password123Welcome1) su tanti account, evitando il blocco per troppi tentativi falliti. Questa tattica sta funzionando particolarmente bene contro le VPN aziendali perché molti sistemi VPN non implementano controlli avanzati di rilevamento del brute force comparabili a quelli dei servizi cloud. In altre parole, piattaforme cloud come Azure AD/Microsoft 365 possiedono sistemi sofisticati per individuare e bloccare tentativi anomali, mentre molti appliance VPN on-premises hanno capacità di monitoraggio limitate e generano meno allarmi, finendo per essere “l’anello debole” sfruttato dagli aggressori.

Un altro elemento chiave emerso è che gli aggressori sfruttano spesso l’assenza o l’implementazione parziale dell’autenticazione multi-fattore (MFA) nelle VPN prese di mira.

Alla luce di questi eventi, è fortemente raccomandato, come già espresso in altri articoli di adottare una strategia completa di MFA su tutti gli accessi remoti e di adottare gradualmente tecnologie passwordless.

Cisco ASA e l’adozione dell’autenticazione a più fattori (MFA)

Alla luce di quanto esposto, una domanda sorge spontanea: la piattaforma Cisco ASA supporta l’MFA, e se sì, perché molte aziende non l’hanno attivata?. La risposta va suddivisa in due parti: capacità tecnica e adozione pratica.

Dal punto di vista tecnico, Cisco ASA permette certamente di integrare l’autenticazione multi-fattore.

La sfida risiede piuttosto nell’adozione pratica e nella diffusione eterogenea dell’MFA in ambiente VPN. Molte installazioni legacy, specialmente in organizzazioni di medie dimensioni o con infrastrutture datate, non avevano abilitato l’MFA per tutti gli utenti VPN fino a tempi recenti. Alcuni motivi comuni:

  • Falsa sensazione di sicurezza: in passato, l’accesso VPN veniva considerato “sicuro di per sé” grazie alla cifratura e alla necessità di un client dedicato. Alcuni amministratori hanno sottovalutato la necessità di aggiungere ulteriori fattori di autenticazione.
  • Compatibilità e user experience: l’introduzione di un secondo fattore su VPN legacy talvolta richiedeva applicazioni aggiuntive o token fisici, generando timori di complicare l’esperienza d’uso per i dipendenti e un aumento delle chiamate di supporto IT.
  • Costi e complessità: fino a qualche anno fa, integrare l’MFA su sistemi on-prem poteva comportare costi aggiuntivi (licenze per server RADIUS con MFA, token hardware, etc.) e complessità progettuali. Alcune imprese hanno rimandato l’investimento, rimanendo con sole password.

Purtroppo, come abbiamo visto, gli attaccanti hanno approfittato di queste esitazioniVPN senza MFA robusta sono state facile bersaglio di campagne di brute force/password spraying che sfruttavano password deboli o credenziali rubate.

È importante notare che abilitare l’MFA sulle VPN ASA è possibile e fortemente consigliato: questo mitiga fortemente il rischio che il furto di una password (ad esempio attraverso phishing o data breach esterno) possa tradursi in un accesso non autorizzato alla rete.

In definitiva, la carenza non è nella tecnologia ASA in sé, ma nella sua configurazione e policy d’uso in molte organizzazioni.

Alla luce di ciò, oltre a sanare queste lacune (ad esempio implementando immediatamente MFA sulle VPN esistenti), molte aziende stanno valutando un cambio di paradigma più ampio: passare dal modello VPN tradizionale a un modello Zero Trust, in cui ogni accesso è validato e filtrato in base all’identità e al contesto, piuttosto che fidarsi di un tunnel di rete dopo un login iniziale. Ed è qui che entra in gioco la soluzione Microsoft.

Microsoft Entra Global Secure Access e la soluzione Private Access

Nel giugno 2024, Microsoft ha lanciato la sua offerta Entra Global Secure Access, un pilastro nuovo nella strategia Zero Trust di Microsoft Entra (il nuovo nome di Azure AD). Global Secure Access è un termine ombrello che racchiude due servizi complementari: Entra Internet Access ed Entra Private Access.

  • Microsoft Entra Internet Access: fornisce un Secure Web Gateway basato sull’identità, pensato per proteggere l’accesso a internet e alle applicazioni SaaS. In pratica, monitora e filtra il traffico internet in uscita dagli utenti (sia da uffici che da remoto), bloccando contenuti malevoli o non conformi e applicando policy di Conditional Access anche sull’accesso a siti web esterni.
  • Microsoft Entra Private Access: offre una nuova modalità per collegare in sicurezza gli utenti alle risorse interne/private dell’azienda (app on-premises, server in datacenter, ambienti IaaS privati su cloud) senza utilizzare una VPN tradizionale. Invece di estendere la rete aziendale all’utente remoto, Entra Private Access applica il principio Zero Trust: ogni applicazione interna viene pubblicata in modo sicuro tramite la rete globale Microsoft, e l’accesso avviene solo dopo verifica dell’identità e delle condizioni del dispositivo, per quella specifica applicazione. Non viene mai concesso all’endpoint remoto accesso IP completo alla rete aziendale, eliminando così i rischi di lateral movement.

In pratica, Microsoft Entra Private Access evolve il concetto di Azure AD Application Proxy (che già permetteva di pubblicare applicazioni web interne dietro Azure AD), estendendolo però a qualsiasi tipo di risorsa o protocollo, non solo applicazioni web su porta 443. Ciò significa che è possibile fornire accesso remoto a: applicazioni client-server legacy, database, servizi RDP, SSH, API interne, ecc., il tutto senza richiedere un tunnel VPN IP convenzionale. Il sistema sfrutta un client light installato sui dispositivi degli utenti che instrada in modo selettivo il traffico destinato alle risorse private verso il cloud Microsoft. Da lì, tramite punti di presenza distribuiti globalmente (oltre 190 in tutto il mondo), il traffico raggiunge connettori deployati nella rete aziendale (macchine virtuali/istanze container autorizzate), i quali inoltrano la richiesta alla destinazione interna appropriata. Tutto il flusso è cifrato e autenticato end-to-end tramite i token di Microsoft Entra ID. L’utente finale percepisce l’accesso come trasparente: ad esempio può digitare l’URL di un’app interna o aprire il client di un database, e il client Entra instraderà automaticamente la connessione dopo aver verificato che l’utente soddisfi le condizioni richieste. Non serve avviare manualmente una VPN o gestire split-tunnel complessi – la logica è integrata nell’agente e nel cloud.

Entra Private Access implementa nativamente i controlli di sicurezza basati su identità e contesto: ogni richiesta viene valutata in base alle policy di Conditional Access definite dall’organizzazione. Questo consente di:

  • Applicare MFA e requisiti di identità forte: Si può richiedere che l’utente abbia effettuato login con MFA o con credenziali certificate prima di accedere a una certa applicazione.
  • Verificare la conformità del dispositivo: Tramite l’integrazione con Microsoft Intune/Endpoint Manager, è possibile permettere l’accesso solo da dispositivi aziendali conformi alle policy (es. con antivirus attivo, disco criptato, aggiornati) e bloccarlo da device non gestiti o compromessi.
  • Controllare la posizione di rete: tramite la definizione di condizioni di rete affidabili (ad esempio a seconda che l’autenticazione avvenga da rete interna o da rete pubblica).
  • Valutare il rischio utente in tempo reale: Grazie all’integrazione con Microsoft Entra ID, se l’account utente è stato recentemente contrassegnato a rischio (es. per una password violata o attività anomala), le policy possono negare l’accesso all’app interna, esattamente come farebbero per un’app cloud.

Microsoft suggerisce un approccio graduale: inizialmente utilizzare la modalità Quick Access, che di fatto può concedere un accesso simile alla VPN (es. segmenti di rete più ampi) per poi restringere gradualmente il perimetro. Successivamente, tramite la funzionalità di Application Discovery, l’IT può identificare quali applicativi vengono effettivamente usati e definire policy più granulari per ciascun utente. Questo approccio a fasi consente di migrare in modo controllato da un accesso full-network a un accesso per-app Zero Trust, senza brusche interruzioni alla produttività.

Vantaggi di Microsoft Entra Private Access rispetto alle VPN convenzionali

Passare a Microsoft Entra Private Access porta una serie di benefici tangibili in termini di sicurezza e gestione, risolvendo molte delle criticità legate alle VPN tradizionali. Di seguito, i principali vantaggi:

1. Autenticazione più robusta e integrata – Il più grande rischio delle VPN tradizionali è la debolezza nell’autenticazione: ancora troppe organizzazioni si affidano solo a username e password per l’accesso VPN.  L’utilizzo di Conditional Access e MFA innalza enormemente l’asticella per un eventuale attaccante: anche rubando una password, l’accesso non è consentito senza il secondo fattore.

2. Accesso granulare con privilegi minimi (Zero Trust) – Con una VPN tradizionale, una volta connesso, il dispositivo remoto dell’utente diventa parte della rete aziendale, ottenendo spesso accesso a un intero segmento di rete interno (se non all’intera LAN). Questo approccio “tutto o niente” implica che, in caso di compromissione dell’endpoint o dell’account VPN, l’attaccante possa muoversi lateralmente con relativa facilità, esplorando servizi e risorse interni. Entra Private Access ribalta il modello: l’utente vede solo le applicazioni o risorse per cui ha autorizzazione esplicita. Ogni applicativo è come dietro un “micro-tunnel” dedicato che si apre solo per quella destinazione e solo dopo verifica delle condizioni. Non c’è modo di effettuare port scanning o raggiungere host non autorizzati, perché il connector interno e il servizio cloud non instradano nulla oltre alle destinazioni consentite. In pratica si attua il principio di micro-segmentazione: limitare al minimo i privilegi di rete concessi. Questo riduce drasticamente la superficie di attacco. Anche se un singolo sistema fosse violato, il potenziale impatto rimarrebbe circoscritto anziché propagarsi in rete.

3. Miglioramento della security posture con Conditional AccessTutte le risorse, sia cloud che on-premises, sono protette da criteri coerenti basati su identità, rischio, posizione e dispositivo. Ciò elimina le discrepanze tra politiche disparate (es. regole VPN separate da quelle per le app cloud) e garantisce un’applicazione uniforme delle misure di sicurezza. La gestione centralizzata semplifica il controllo e riduce gli errori di configurazione. Inoltre, Conditional Access offre funzionalità avanzate come la valutazione continua (Continuous Access Evaluation): significa che se una sessione utente diventa improvvisamente rischiosa (es. viene revocata l’autenticazione, cambia lo stato di conformità del device), anche l’accesso alla risorsa interna può essere interrotto in tempo quasi reale. Questo tipo di controllo dinamico è assai difficile da ottenere con le VPN tradizionali, le quali di solito verificano i requisiti solo all’inizio della connessione. In sintesi, Conditional Access + Private Access forniscono un controllo fine-grained e in tempo reale su chi e cosa può essere raggiunto, migliorando sensibilmente la postura di sicurezza dell’intera organizzazione.

4. Esperienza utente trasparente e produttiva – Dal punto di vista dell’utente finale, le VPN spesso comportano qualche attrito: bisogna connettersi, l’autenticazione può essere macchinosa, e le performance non sempre ottimali (in special modo quando tutto il traffico viene instradato attraverso la VPN verso il data center aziendale, creando colli di bottiglia). Con Microsoft Entra Private Access si punta a un accesso più trasparente e veloce. L’utente autentica il proprio dispositivo e sé stesso all’accensione del PC con credenziali aziendali e MFA; dopodiché, l’accesso alle risorse autorizzate – siano esse applicazioni cloud o interne – avviene senza ulteriori step manuali. Inoltre, la scalabilità è garantita dall’infrastruttura cloud.

6. Maggiore visibilità e monitoraggio centralizzato – Un altro vantaggio spesso sottovalutato è la visibilità sulle attività di accesso. Con le VPN tradizionali, i log di connessione risiedono spesso sul singolo appliance e possono essere limitati; correlare quei dati con altri eventi richiede piattaforme SIEM e competenze specifiche. Microsoft Entra Private Access, integrandosi con Entra ID, fornisce log dettagliati degli accessi alle applicazioni private direttamente nel cloud. È più facile quindi rispondere a domande tipo: “Chi ha acceduto a questa applicazione interna e quando?”, “Quanti tentativi falliti ci sono stati?”, “Da quali IP geografici provengono le connessioni?”

Riassumiamo alcuni confronti chiave tra VPN tradizionali e Microsoft Entra Private Access:

AspettoVPN tradizionaleMicrosoft Entra Private Access (ZTNA)
AutenticazioneTipicamente basata su credenziali (username/password); MFA spesso assente o opzionale.Integrata con identità Entra ID (Azure AD); supporto nativo MFA e credenziali robuste (certificati, token hardware) con enforcement tramite Conditional Access.
Accesso alla reteEstende la rete interna all’endpoint remoto, concedendo accesso ampio (es. intera subnet).Accesso micro-segmentato per singola applicazione o servizio: l’utente vede solo risorse specifiche, niente accesso IP generale.
Superficie d’attaccoIn caso di compromissione, l’attaccante può esplorare liberamente molta parte della rete interna (rischio di lateral movement).In caso di compromissione, l’attaccante può raggiungere solo l’app bersaglio su specifica porta; impossibile fare scanning o muoversi oltre i limiti concessi.
Controlli di sicurezzaLimitati ai controlli statici su VPN (es. pre-shared key, IP client); difficile integrare segnali di identità o device posture.Controlli dinamici basati su identità e dispositivo: Conditional Access valuta stato utente, rischi, conformità dispositivo, posizione di rete in tempo reale ad ogni tentativo.
MonitoraggioLog localizzati sull’appliance VPN, con capacità di rilevamento attacchi brute-force limitata rispetto ai servizi cloud.Monitoraggio centralizzato nel cloud: log unificati con altri accessi, rilevamento avanzato (es. anomalie di login) e risposte automatiche possibili (es. blocco account a rischio).
Esperienza utenteRichiede step manuali (lancio client VPN, eventuale OTP), possibili rallentamenti se la VPN è congestionata.Trasparente: il client gestisce la connessione alle app senza intervento dell’utente dopo il login iniziale. Performance ottimizzate tramite la rete globale Microsoft.
Scalabilità e gestioneNecessità di hardware dedicato per X utenti, upgrade manuali; costi di manutenzione e gestione per ogni nodo VPN.Erogato come servizio cloud: scala automaticamente. Meno infrastruttura locale, gestione semplificata via portale unico.

Conclusioni

In conclusione, “perché utilizzare Microsoft Private Access anziché una VPN?”: la risposta risiede nella necessità di migliorare la security posture nell’era del lavoro ibrido e delle minacce sempre più sofisticate. Gli attacchi recenti ai gateway VPN Cisco ASA hanno dimostrato che affidarsi a vecchi paradigmi (password deboli, assenza di MFA, accessi di rete troppo estesi) può avere conseguenze anche molto gravi.

Microsoft Entra Private Access offre un approccio moderno e unificato per l’accesso alle risorse aziendali, fondendo i controlli sull’identità con la protezione del traffico di rete. Basandosi sui principi Zero Trust, garantisce che ogni accesso sia verificato e limitato al minimo necessario, riducendo drasticamente le opportunità per un attaccante di infiltrarsi e muoversi liberamente.

In un mondo dove i perimetri tradizionali sono sfumati, investire in tecnologie come Microsoft Entra Private Access significa adattarsi proattivamente al nuovo paradigma di sicurezza, anticipando le mosse degli attaccanti. Siamo a vostra disposizione per implementare Microsoft Private Access e rafforzare la vostra security posture. Con i servizi Yooda, garantiamo una protezione avanzata e su misura per le vostre esigenze.

Contattaci per una consulenza gratuita

Siamo al tuo fianco per supportarti al meglio nell’efficientamento della tua azienda; ascoltando le tue richieste possiamo sviluppare integrazioni e workflow atti a migliorare i tuoi processi di business e la tua user-experience. Ti offriamo una consulenza gratuita di 30 minuti, in cui potrai esporre le tue esigenze e i tuoi obiettivi. Basta compilare questa form per essere contattato: https://forms.office.com/e/7r53YsD3U6

Non fermarti qui, continua a leggere

Pacho Baratta

Entra ID passwordless: semplificare e rafforzare l’autenticazione

Passwordless? Se la MFA aggiunge un fattore alla password, l’approccio proposto da Entra ID passwordless mira in prospettiva a eliminare del tutto la necessità della password stessa. L’idea può sembrare rivoluzionaria: come si fa a fare login senza password? Il concetto non è abolire l’identity check, ma renderlo più sicuro e usabile. Nel 2018 lo […]

Pacho Baratta

Semplificare l’autenticazione: perchè Azure AD MFA

L’autenticazione basata su Azure AD MFA è ad oggi una best practice imprescindibile per proteggere gli account. Aggiungendo un secondo fattore oltre alla password, la sicurezza dell’accesso aumenta in modo esponenziale. Come afferma Microsoft, attivare la MFA può bloccare oltre il 99,9% degli attacchi di compromissione dell’account. Questa statistica impressionante è spesso riassunta così: “Your […]

Pacho Baratta

Microsoft Entra ID, MFA e Passwordless: sicurezza delle password

La sfide legate alle password ed alla sicurezza delle password è una delle principali problematiche da affrontare. Le password tradizionali sono difficili da gestire per gli utenti e rappresentano un rischio significativo per le aziende. Con l’80% degli attacchi informatici legati a password deboli o rubate, è imperativo trovare soluzioni più sicure e efficienti. L’autenticazione […]