Risorse > Glossario dei termini sulla sicurezza > Che cos'è un'architettura zero trust

Che cos'è un'architettura zero trust?

Definizione di architettura zero trust

Un'architettura zero trust è un'architettura di sicurezza creata per ridurre la superficie di attacco di una rete, prevenire il movimento laterale delle minacce e ridurre il rischio di una violazione dei dati. Si basa sui principi fondamentali dell'approccio zero trust, secondo cui l'attendibilità implicita non deve mai essere concessa a nessun utente o dispositivo.

Il modello di sicurezza zero trust abbandona il concetto tradizionale di "perimetro della rete", all'interno del quale tutti i dispositivi e gli utenti sono attendibili e ricevono ampie autorizzazioni, a favore di controlli di accesso a privilegi minimi, microsegmentazione granulare e autenticazione a più fattori (MFA).
 

Architettura zero trust e ZTNA

Prima di esaminare in modo più dettagliato diverse architetture zero trust, facciamo chiarezza su questi due termini:

  • Un'architettura zero trust (ZTA) è una struttura che supporta i principi dello zero trust, come la gestione rigorosa degli accessi, l'autenticazione meticolosa di dispositivi e utenti e una solida segmentazione. Si contrappone all'architettura a "castello e fossato", la quale considera automaticamente attendibile qualsiasi entità all'interno del perimetro, che per molti versi aspira a sostituire.
  • Lo ZTNA (Zero Trust Network Access) è un caso d'uso dello zero trust che offre agli utenti un accesso sicuro ad applicazioni e dati quando utenti, applicazioni o dati non si trovano all'interno di un perimetro di sicurezza tradizionale, una condizione sempre più frequente nell'epoca del cloud e del lavoro ibrido.

Per spiegare il rapporto tra questi due elementi, possiamo dire che l'architettura zero trust getta le basi di cui le organizzazioni hanno bisogno per fornire lo ZTNA e rendere sistemi, servizi, API, dati e processi accessibili da qualsiasi luogo, in qualsiasi momento e da qualsiasi dispositivo.

I vantaggi di un'architettura zero trust

Un'architettura zero trust fornisce all'utente l'accesso preciso e contestuale necessario per lavorare alla velocità delle aziende moderne, offrendo al contempo la protezione di utenti e dati da malware e altri attacchi informatici. In quanto fondamento dello ZTNA, un'architettura zero trust efficace aiuta a:

  • Garantire un accesso sicuro e veloce ai dati e alle applicazioni per i lavoratori in remoto, come dipendenti e partner, ovunque essi si trovino, migliorando così l'esperienza utente
  • Fornire un accesso remoto affidabile e gestire e applicare le policy di sicurezza in modo più semplice e coerente rispetto a quanto avviene con le tecnologie legacy come le VPN
  • Proteggere i dati sensibili e le app, on-premise o in un ambiente cloud, in transito o inattivi, con controlli di sicurezza rigorosi, come crittografia, autenticazione e altro
  • Bloccare le minacce interne, in quanto non viene più riconosciuta l'attendibilità implicita e predefinita degli utenti e dei dispositivi che sono all'interno del perimetro della rete
  • Limitare il movimento laterale, con policy di accesso granulari a livello di singola risorsa, riducendo la probabilità di subire una violazione
  • Rilevare, rispondere e ripristinare le attività dopo eventuali violazioni andate a segno in modo più rapido ed efficace, per mitigarne l'impatto
  • Acquisire una maggiore visibilità su tutto ciò che riguarda le attività di utenti ed entità sfruttando il monitoraggio dettagliato e il logging delle sessioni e delle azioni intraprese
  • Valutare il rischio in in tempo reale, sfruttando i log dettagliati di autenticazione, le verifiche dello stato delle risorse e dei dispositivi, le analisi del comportamento degli utenti e delle entità e molto altro

(Adattato in parte da "Implementing a Zero Trust Architecture", NIST Special Publication)

Come funziona un'architettura zero trust?

Prima di proseguire, facciamo un passo indietro e riassumiamo il funzionamento di un'architettura di rete tradizionale.

Le reti WAN (Wide Area Network) tradizionali sono state costruite con una struttura hub-and-spoke, che collega gli uffici in remoto alle applicazioni in un data center. Per accedere alle applicazioni sulla rete attendibile, a un utente basta trovarsi all'interno del relativo perimetro, che viene protetto dai firewall perimetrali; da qui deriva l'espressione "a castello e fossato".

I lavoratori di oggi sono ovunque, e le applicazioni si sono spostate su SaaS e cloud pubblici, mentre, per l'accesso alle applicazioni, le architetture tradizionali richiedono ancora che gli utenti siano sulla rete aziendale, in locale o tramite VPN, anche se queste si trovano sul cloud. Allo stesso tempo, l'utilizzo dei cloud pubblici espande la superficie di attacco e incrementa i rischi, ed effettuare il backhauling di tutto il traffico attraverso dei firewall perimetrali crea colli di bottiglia che non solo rallentano il business, ma forniscono anche una protezione del tutto inadeguata.

Ecco perché le organizzazioni moderne hanno bisogno di un'architettura zero trust. Guarda il nostro breve video per una rapida panoramica.

L'architettura zero trust fornisce lo ZTNA offrendo una segmentazione da utente ad app che protegge l'accesso in modo radicalmente diverso dalla segmentazione della rete e dagli altri modelli tradizionali. Ora vediamo come viene implementato e fornito lo ZTNA.

Due approcci per implementare lo ZTNA

I fornitori di soluzioni zero trust possono aiutarti ad adottare un approccio ZTNA in due modi distinti.
 

ZTNA avviato da endpoint

In questo caso, un endpoint o un utente finale avvia l'accesso a un'applicazione. Un agente leggero installato sull'endpoint comunica con un controller, che autentica l'identità dell'utente e fornisce la connettività a un'applicazione specifica a cui l'utente è autorizzato ad accedere. Lo ZTNA avviato da endpoint può essere difficile o addirittura impossibile da implementare sui dispositivi mobili e personali/IoT non gestiti, a causa della necessità di installare un agente o un altro software locale.
 

ZTNA avviato da servizio

In questo caso, un broker avvia le connessioni tra utenti e applicazioni. Un connettore, che risiede nel data center o nel cloud, instaura le connessioni dalle app aziendali al broker. Dopo l'autenticazione dell'utente, il traffico passa attraverso il servizio ZTNA e raggiunge direttamente l'endpoint dell'utente. Questo approccio non richiede un agente sull'endpoint, e per questo motivo è utile per proteggere i dispositivi non gestiti e garantire l'accesso a partner e clienti. Alcuni modelli di ZTNA avviato da servizio possono utilizzare l'accesso tramite browser per le app web.

Due modelli per fornire lo ZTNA

Al di là del modello di implementazione, lo ZTNA può essere adottato come prodotto indipendente o come servizio. Ognuno di questi approcci presenta delle caratteristiche specifiche, e saranno le esigenze specifiche dell'organizzazione, la strategia di sicurezza e l'ecosistema aziendale a determinare in ultima analisi la scelta migliore.
 

ZTNA come prodotto indipendente

Le soluzioni ZTNA indipendenti richiedono la distribuzione e la gestione di tutti gli elementi del prodotto. L'infrastruttura risiede all'edge dell'ambiente, sia che si tratti del data center o di un cloud, e agisce come un intermediario per stabilire connessioni sicure tra utenti e applicazioni. Anche alcuni provider IaaS offrono funzionalità ZTNA.

Caratteristiche

  • L'azienda è responsabile al 100% della distribuzione, della gestione e della manutenzione dell'infrastruttura ZTNA.
  • Alcuni fornitori supportano sia soluzioni ZTNA indipendenti che offerte come servizio cloud
  • La distribuzione di una soluzione indipendente è ideale per le aziende meno disposte ad adottare il cloud
Modello concettuale di ZTNA iniziato da endpoint

ZTNA come servizio cloud

Con lo ZTNA come servizio ospitato sul cloud, per l'applicazione delle policy si utilizza l'infrastruttura cloud di un provider. Si acquista la licenza utente e si distribuiscono connettori leggeri che si collocano davanti alle applicazioni in tutti gli ambienti, mentre il provider fornisce la connettività, la capacità e l'infrastruttura. L'accesso viene stabilito tramite connessioni mediate tra utenti e applicazioni, separando efficacemente l'accesso all'applicazione dall'accesso alla rete, senza esporre mai gli IP a Internet.

Caratteristiche

  • La distribuzione è più semplice, perché non è necessario disporre di un'infrastruttura
  • La gestione è più facile, in quanto vi è un unico portale di amministrazione per l'applicazione a livello globale
  • L'automazione seleziona i percorsi di traffico ottimali, per offrire a tutti gli utenti l'accesso più rapido possibile in tutto il mondo
Modello concettuale di ZTNA iniziato da endpoint

 

Alcuni servizi cloud consentono la distribuzione di un pacchetto software on-premise. Il software viene eseguito sull'infrastruttura, ma viene comunque fornito come parte del servizio e gestito dal provider.

Scopri di più sullo ZTNA on-premise.

Video: comprendere l'architettura zero trust

 
Lo ZTNA secondo Zscaler

Siamo orgogliosi di offrire Zscaler Private Access™, la piattaforma ZTNA più distribuita al mondo, basata sull'esclusiva architettura zero trust di Zscaler. ZPA applica il principio dei privilegi minimi di accesso, per offrire agli utenti delle connessioni dirette e sicure alle applicazioni private, eliminando l'accesso non autorizzato e il movimento laterale. In qualità di servizio nativo del cloud, la soluzione ZPA può essere implementata in poche ore, per sostituire le VPN e gli strumenti di accesso remoto tradizionali con una piattaforma olistica zero trust.

Zscaler Private Access offre:

Una sicurezza senza pari, che va oltre VPN e firewall legacy
Gli utenti si collegano direttamente alle app, non alla rete, e questo consente di ridurre al minimo la superficie di attacco e di eliminare il movimento laterale.

Niente più compromissioni delle app private
Una protezione delle app unica nel suo genere, che offre prevenzione inline, tecnologia di deception e isolamento delle minacce e riduce al minimo il rischio causato dagli utenti compromessi.

Produttività superiore per la forza lavoro ibrida di oggi
L'accesso rapido alle app private viene esteso agli utenti in remoto, agli uffici della sede centrale e delle filiali e ai partner terzi.

ZTNA unificato per utenti, carichi di lavoro e dispositivi
I dipendenti e i partner possono connettersi in modo sicuro ad app private, servizi e dispositivi OT/IoT sfruttando la più completa piattaforma ZTNA.

Desideri saperne di più o vedere Zscaler Private Access in azione? Richiedi subito una dimostrazione personalizzata.