La maggior parte delle aziende conosce la sicurezza derivante dai fogli di calcolo di Excel e Google: per impostazione predefinita risultano privati e la condivisione avviene per email o gruppi di email, ad esempio col dominio aziendale @rossisrl.it. Per i servizi web in generale le cose si complicano un po’. E non occuparsi di questa questione può creare grossi imbarazzi e problemi legali (es. GDPR).
Tutti noi sappiamo dell’esistenza dei buttafuori della discoteca. Per ogni persona in fila, controllano la presenza del nome sulla loro lista per consentire l’accesso nel locale. In questa metafora la fila risulta gli utenti che vorrebbero accedere ad un sito dove noi ospitiamo un servizio informatico-statistico (la discoteca), il buttafuori e la lista le regole d’ingresso. Supponiamo che hai un servizio che ti permette di collegare dei dati da fonti a destinazioni (es. Airbyte): finché questo risulta accessibile solo dal server che lo ospita, non si hanno particolari problemi. Esporre questo servizio direttamente sull’internet pubblico tramite il sito airbyterossisrl.it fa parte delle tragedie annunciate, se lo si vuole rendere facilmente accessibile al personale. Se più dipendenti e/o collaboratori lo usano, si hanno varie strade.
Creare una rete virtuale privata (VPN)
Utilizzando Tailscale, presente anche sul server, solo gli utenti invitati alla rete virtuale privata potranno accedere a quel servizio. Ovviamente questi dovranno avere il servizio attivo anche sul loro computer. Esistono altri VPN, tipo WireGuard (la retrovia di Tailscale) ma Tailscale ha una serie di semplificazioni.
Tailscale offre un indirizzo per ogni macchina su cui abbiamo servizi. Sia indirizzi “leggibili” tipo serverairbyte.lamiats.ts.net che “macchina”, del tipo 100.xx.0.0. E offre anche un rapido accesso remoto alla macchina (SSH) che quindi avrà solo interfaccia testuale, non come la connessione desktop remoto di Windows. I server non hanno il “desktop”, ossia l’interfaccia utente con icone, permessa da sistemi operativi con Windows 10,11, Ubuntu Desktop, etc.
Creare una regola di ingresso al servizio
Esistono vari modi per farlo a seconda di come si è reso attivo (messo in produzione) il servizio.
Se tramite Cloudflare, nella sezione applicazioni, troviamo “politiche” (di accesso). Qui abbiamo una vasta gamma di politiche accetta / respingi: per email, per paese, per IP (più avanzato), etc.
Se lo si fa installando un servizio tramite chi ospita il sito web aziendale, nel caso di un CRM, la cosa si complica perché bisognerà modificare a mano il file .htmaccess inserendo IP. E l’IP del tuo personale può cambiare. Specie se hai nomadi digitali.
Creare a mano una banale pagina di login può portare a brutte sorprese, perché degli informatici possono indovinare la password tramite la forza bruta. Chiaramente esistono delle strategie per buttare automaticamente fuori chi fa più di un certo numero di tentativi entro un certo limite di tempo.
Come hai capito dall’ordine, preferisco Tailscale e Cloudflare. Riguardo l’ultima, esiste una opzione più “fatta in casa” come Nginx proxy manager, ma ha una difficoltà più alta.
Ti interessa avere servizi informatico-statistici a prova di proiettili anti-bunker? Sentiamoci in una prima chiamata gratuita.
Italian 
English