Lavoro ibrido, trasferte, assistenza fuori sede: oggi quasi ogni azienda ha bisogno di raggiungere i propri sistemi da remoto. Il problema è come. Troppe PMI espongono ancora desktop remoti e gestionali direttamente su Internet, con porte aperte che vengono scansionate da bot nel giro di minuti. L’accesso remoto sicuro non è un lusso da grande impresa: è il prerequisito per lavorare da fuori sede senza trasformare la rete aziendale in un bersaglio. In questo articolo racconto come progetto e gestisco soluzioni di accesso remoto per le infrastrutture che amministro ogni giorno — dalle VPN tradizionali su firewall alle reti mesh basate su WireGuard — e cosa può imparare da questo approccio un’azienda che vuole proteggere i propri dati.
Perché l’accesso remoto sicuro è una priorità
Quando un’azienda mi chiede di aprire “solo una porta” per raggiungere il gestionale o un server da casa, la mia risposta è sempre la stessa: ogni porta esposta su Internet è una superficie d’attacco. RDP pubblicato direttamente, pannelli di amministrazione raggiungibili da chiunque, NAS accessibili senza filtro: sono gli ingressi preferiti di ransomware e attacchi brute force. Le conseguenze tipiche le ho viste da vicino facendo assistenza IT con dnassist.it: blocchi operativi, dati cifrati, giorni di fermo.
La soluzione non è rinunciare al lavoro remoto, ma incanalarlo in un tunnel cifrato e autenticato. In pratica: nessun servizio interno esposto direttamente, e un unico punto di ingresso controllato, monitorato e aggiornato.
VPN tradizionale: quando il firewall fa il suo lavoro
Il primo livello di accesso remoto sicuro è la VPN classica terminata sul firewall perimetrale. Nelle infrastrutture che gestisco configuro firewall aziendali (tra cui FortiGate) con VPN SSL o IPsec: il dipendente si autentica, il tunnel viene cifrato e da quel momento lavora come se fosse in ufficio, ma senza che nulla sia pubblicato su Internet.
Questo approccio funziona bene quando c’è una sede centrale con server on-premise. I punti a cui presto attenzione sono sempre gli stessi:
- autenticazione a due fattori (MFA) per ogni utente VPN;
- regole di firewall granulari: chi entra in VPN vede solo ciò che gli serve, non tutta la rete;
- log e monitoraggio degli accessi, per accorgersi subito di comportamenti anomali;
- aggiornamenti regolari del firmware, perché anche i firewall hanno vulnerabilità.
WireGuard e reti mesh: l’evoluzione Zero Trust
La VPN tradizionale ha un limite: presuppone una sede centrale. Ma oggi i sistemi aziendali sono distribuiti — un server in cloud, un NAS in ufficio, macchine dei collaboratori sparse ovunque. Per questi scenari uso un approccio più moderno: reti mesh cifrate basate su WireGuard, il protocollo VPN più veloce e leggero oggi disponibile.
Un esempio concreto dal mio lavoro: per gestire un parco di macchine in assistenza remota ho costruito una rete mesh self-hosted in cui ogni dispositivo, una volta arruolato, entra in una rete privata cifrata. Da quel momento posso amministrarlo in modo sicuro da qualunque luogo, senza aprire una sola porta sul router del cliente e senza password che viaggiano in chiaro. Il coordinatore della rete gira su un mio server, sotto il mio controllo: nessun dato transita da servizi terzi.
Questo è, in piccolo, il modello Zero Trust: non ci si fida della rete, ci si fida dell’identità. Ogni dispositivo è autenticato con chiavi crittografiche, ogni connessione è cifrata punto-punto, e l’accesso è limitato al minimo necessario. È un modello che si adatta benissimo alle PMI distribuite, e i costi sono sorprendentemente contenuti se la soluzione è self-hosted.
Lo stack tecnico dietro le mie soluzioni
Per chi vuole capire cosa c’è sotto il cofano, lo stack che utilizzo tipicamente per progetti di accesso remoto sicuro comprende:
- WireGuard come protocollo di tunneling, per prestazioni e semplicità di audit;
- coordinatore mesh self-hosted su VPS Linux, gestito via Docker e Portainer;
- reverse proxy Nginx con certificati SSL Let’s Encrypt per i servizi web interni;
- firewall perimetrali (FortiGate e simili) per le sedi fisiche, con VPN IPsec/SSL e MFA;
- monitoraggio continuo di uptime, log di accesso e stato dei tunnel;
- backup off-site della configurazione, perché la sicurezza include anche la capacità di ripartire.
È lo stesso stack su cui poggiano i servizi che ospito e opero in prima persona — dal cloud privato cloud.cornelcaba.com alle web app come apicco.app e tandemops.app — quindi non è teoria: è infrastruttura che mantengo in produzione ogni giorno.
Le buone pratiche che applico sempre
Indipendentemente dalla tecnologia scelta, ci sono regole che non negozio: niente servizi interni esposti su Internet, MFA ovunque sia possibile, principio del minimo privilegio per ogni utente e dispositivo, rotazione delle chiavi quando un collaboratore esce dall’azienda, e log centralizzati per la tracciabilità. La tecnologia migliore non serve a nulla senza disciplina operativa.
Cosa significa per la tua azienda
Se la tua azienda accede oggi ai propri sistemi con desktop remoto esposto, port forwarding improvvisati o — peggio — TeamViewer installato ovunque senza controllo, c’è un margine enorme di miglioramento immediato. Un progetto di accesso remoto sicuro ben fatto si ripaga da solo: riduce drasticamente il rischio di intrusioni, semplifica il lavoro da fuori sede e mette ordine in chi può vedere cosa.
Il mio approccio è pragmatico: analizzo come lavora davvero il tuo team, progetto la soluzione più semplice che soddisfa i requisiti di sicurezza — VPN su firewall, rete mesh WireGuard o una combinazione delle due — la implemento e poi la gestisco nel tempo, con monitoraggio e aggiornamenti inclusi.
Parliamone: rendi sicuro l’accesso ai tuoi sistemi
Sono Cornel Caba, sistemista e sviluppatore full-stack: costruisco e opero infrastrutture, siti e web app per aziende in Italia e in Europa. Se vuoi mettere in sicurezza l’accesso remoto alla tua rete, o ti serve un partner tecnico che sviluppi e gestisca la tua prossima applicazione web, contattami qui. Trovi i miei progetti e il mio percorso su cornelcaba.com: una prima consulenza per capire la tua situazione non costa nulla.
