Cos'è lo ZTNA (Zero Trust Network Access)?

Cosa si intende per ZTNA?

Lo ZTNA (Zero Trust Network Access), noto anche come perimetro definito da software (Software-defined perimeter, o SDP), è un insieme di tecnologie e funzionalità che consentono agli utenti in remoto di accedere in modo sicuro alle tecnologie interne. Si basa su un modello di fiducia adattivo, dove l'attendibilità non è mai implicita e l'accesso viene concesso solo a ciò che è strettamente necessario, secondo il principio dei privilegi minimi e in base a policy granulari. Lo ZTNA offre agli utenti in remoto una connettività sicura e senza interruzioni alle applicazioni private, senza mai collocarli sulla rete o esporre le app a Internet.

Ultimamente si sente molto parlare della sicurezza zero trust. Se da un lato molte organizzazioni si sono spostate verso l'adozione di un modello zero trust, lo ZTNA (Zero Trust Network Access) è la strategia che consente di realizzare concretamente tale approccio.

L'idea di un percorso verso lo zero trust di per sé non è chiara, e lo ZTNA offre un framework chiaro e definito che le aziende possono seguire. Fa inoltre parte del modello di sicurezza SASE (Secure Access Service Edge), che, oltre allo ZTNA, riunisce in un'unica piattaforma nativa del cloud firewall di nuova generazione (NGFW) SD-WAN e altri servizi.

Come funziona lo ZTNA?

La necessità di proteggere la forza lavoro in remoto è fondamentale ormai, ma le soluzioni incentrate sulla rete, come le reti private virtuali (VPN) e i firewall, generano una superficie di attacco che di cui gli aggressori possono servirsi per lanciare attacchi. Lo ZTNA adotta un approccio radicalmente diverso per fornire un accesso remoto sicuro alle applicazioni interne, che si basa sui seguenti quattro principi fondamentali:

 

  1. Lo ZTNA isola completamente l'accesso alle applicazioni dall'accesso alla rete. Questo isolamento riduce i rischi per la rete, come l'infezione da dispositivi compromessi, e concede l'accesso solo ad applicazioni specifiche e solo agli utenti autorizzati che sono stati autenticati.
  2. Lo ZTNA fa sì che le connessioni siano solo in uscita, garantendo che l'infrastruttura di rete e l'infrastruttura dell'applicazione siano invisibili agli utenti non autorizzati. Gli IP non vengono mai esposti a Internet, e creano una "darknet" che rende impossibile il rilevamento della rete.
  3. La segmentazione nativa delle app offerta dal modello ZTNA garantisce che, dopo l'autenticazione degli utenti, l'accesso sia concesso su base "uno a uno". Gli utenti autorizzati hanno accesso solo ad applicazioni specifiche, anziché all'intera rete. La segmentazione previene gli accessi eccessivamente permissivi e il rischio di movimento laterale dei malware e di altre minacce.
  4. Invece di un modello basato sulla sicurezza tradizionale della rete, lo ZTNA adotta un approccio da utente ad applicazione. La rete non è più l'elemento centrale, e Internet diventa la nuova rete aziendale grazie a micro-tunnel TLS crittografati end-to-end che sostituiscono l'MPLS.

 

ZTNA
La ZTNA migliora la flessibilità, l'agilità e la scalabilità, consentendo agli ecosistemi digitali di funzionare senza esporre i servizi direttamente su Internet, riducendo i rischi di attacchi denial of service distribuiti.
Gartner, Guida di mercato sullo ZTNA, aprile 2019

Anche dal punto di vista dell'architettura, lo ZTNA funziona in modo radicalmente diverso rispetto alle soluzioni incentrate sulla rete. Questo approccio è infatti spesso definito al 100% da software, e permette quindi di eliminare il sovraccarico associato alla gestione di dispositivi fisici. Aiuta inoltre le organizzazioni a semplificare gli stack in entrata, poiché non necessitano più delle loro VPN, di concentratori VPN, protezione DDoS, bilanciamento del carico globale e apparecchi firewall.

Esistono due modelli principali di architettura ZTNA. Questo articolo descrive l'architettura ZTNA avviata da servizio. Per ulteriori informazioni, consulta la Guida di mercato di Gartner sullo ZTNA.

 

Qual è la differenza tra VPN e ZTNA?

Le VPN fanno parte delle soluzioni di sicurezza legacy più diffuse e in uso al momento, e hanno lo scopo di semplificare la gestione degli accessi consentendo agli utenti finali di accedere in modo sicuro a una rete, e quindi alle risorse aziendali, attraverso un tunnel dedicato, di solito tramite il processo di autenticazione SSO (Single Sign-On).

Per molti anni, le VPN hanno funzionato bene per i dipendenti che avevano bisogno di lavorare da remoto per un giorno o due, ma con l'aumento dei lavoratori da remoto a lungo termine, questi strumenti si sono rivelati inefficaci, a causa della loro mancanza di scalabilità e dei molti interventi di manutenzione necessari (con i relativi costi) per preservarne il funzionamento. Inoltre, la rapida adozione del cloud pubblico ha reso molto più complessa l'applicazione di policy di sicurezza a questi dipendenti in remoto, e l'esperienza utente è diventata sempre più scadente.

Il problema principale delle VPN, tuttavia, è la superficie di attacco che creano. Qualsiasi utente o entità con le credenziali SSO necessarie può accedere a una VPN e muoversi lateralmente nella rete, accedendo a tutte le risorse e ai dati che la VPN avrebbe dovuto proteggere.

Lo ZTNA mette in sicurezza l'accesso dell'utente, concedendolo sulla base del principio dei privilegi minimi. Invece di considerare un'entità attendibile in base alla correttezza delle credenziali, lo zero trust effettua l'autenticazione solo a condizione che il contesto sia corretto, ovvero quando utente, identità, dispositivo e posizione corrispondono.

Inoltre, lo ZTNA fornisce un accesso granulare e non all'intera rete. Gli utenti sono collegati direttamente e in modo sicuro alle applicazioni e ai dati di cui hanno bisogno, e in questo modo si previene la possibilità che gli utenti malintenzionati mettano in atto tattiche di movimento laterale. Inoltre, con un'architettura ZTNA, le connessioni con gli utenti sono dirette, e di conseguenza le esperienze migliorano in modo significativo.

 

I principali casi d'uso dello ZTNA

Lo ZTNA si applica a molti casi d'uso per la sicurezza sul cloud. La maggior parte delle aziende sceglie di iniziare con uno di questi quattro.

 

Alternativa alla VPN

Le VPN sono inefficienti e lente per gli utenti, forniscono una sicurezza scadente e sono difficili da gestire; per questo motivo, le aziende desiderano ridurle o eliminarle. Gartner prevede che: "Entro il 2023, il 60% delle aziende eliminerà gradualmente la maggior parte delle proprie VPN di accesso remoto a favore dello ZTNA".

 

Accesso sicuro multicloud

La protezione dell'accesso ibrido e multicloud è il principale punto di partenza delle aziende che intraprendono il percorso verso lo ZTNA. Sono sempre di più le aziende che adottano applicazioni e servizi cloud, e il 37% di loro ha intenzione di implementare un approccio ZTNA alla sicurezza e al controllo degli accessi per le proprie strategie multicloud.

 

Riduzione del rischio associato a terze parti

La maggior parte degli utenti terzi usufruisce di un accesso a privilegi eccessivi, e gran parte di essi accede alle applicazioni utilizzando dispositivi non gestiti; entrambi questi elementi introducono dei rischi. Lo ZTNA riduce significativamente il rischio associato a questi utenti, garantendo che gli utenti esterni non abbiano mai accesso alla rete e che solo gli utenti autorizzati abbiano accesso alle applicazioni consentite.

 

Integrazione accelerata durante fusioni e acquisizioni

Nelle fusioni e acquisizioni tradizionali, l'integrazione può durare diversi anni, perché le aziende devono far convergere le reti e gestire IP sovrapposti. Lo ZTNA riduce e semplifica la tempistica e le procedure di gestione per garantire operazioni di fusione e acquisizione di successo, fornendo valore immediato all'azienda.

Considerazioni sullo ZTNA

Nella recente Guida di mercato sullo ZTNAdi Gartner, Steve Riley, Neil MacDonald e Lawrence Orans descrivono diversi aspetti che le aziende dovrebbero considerare per la scelta di una soluzione ZTNA:

  1. Il fornitore richiede l'installazione di un agente di endpoint? Quali sistemi operativi sono supportati? Quali dispositivi mobili? Come si comporta l'agente in presenza di altri agenti? Nota: le tecnologie ZTNA che non supportano l'uso senza client (clientless) spesso non sono in grado di supportare i casi d'uso che coinvolgono i dispositivi non gestiti (ad esempio, accesso di terze parti o dispositivi personali BYOD).
  2. La soluzione supporta solo le applicazioni Web oppure le applicazioni legacy (data center) possono anch'esse ottenere gli stessi vantaggi, in termini di sicurezza?
  3. Alcuni prodotti ZTNA vengono forniti parzialmente o interamente come servizi cloud. Questo rispetta i requisiti di sicurezza e di residenza dell'azienda? Nota: Gartner consiglia alle aziende di prediligere i fornitori che offrono lo ZTNA come servizio, perché questa modalità è più facile da distribuire, è caratterizzata da maggiore disponibilità e offre una sicurezza migliore contro gli attacchi DDoS.
  4. In che misura il cloaking parziale o completo o l'autorizzazione o il divieto di connessioni in entrata fanno parte dei requisiti di sicurezza dell'applicazione isolata?
  5. Quali standard di autenticazione sono supportati dal broker dell'attendibilità? È disponibile l'integrazione con una directory locale o con servizi di identità con base cloud? Il broker dell'attendibilità si integra con il provider di identità esistente dell'organizzazione?
  6. Quanto sono geograficamente diversificati i punti di ingresso e di uscita del fornitore (indicati come posizioni all'edge e/o punti di presenza) in tutto il mondo?
  7. Dopo che l'utente e il dispositivo dell'utente hanno superato l'autenticazione, il broker dell'attendibilità rimane residente nel percorso dati?
  8. La soluzione si integra con i provider di gestione unificata degli endpoint (UEM) oppure l'agente locale è in grado di determinare lo stato e la sicurezza dei dispositivi come fattori durante il processo che consente l'accesso? Con quali fornitori UEM collabora il provider dello ZTNA?

Queste sono tutte considerazioni fondamentali per l'azienda durante la scelta di un provider di ZTNA che dovrà integrarsi con la visione e gli obiettivi presenti e futuri dell'organizzazione. Per saperne di più sullo ZTNA, dai un'occhiata al nostro servizio ZTNA d'eccellenza, Zscaler Private Access. Puoi anche decidere di provare ZPA gratuitamente per 7 giorni.

Resoconto sull'adozione dello zero trust di Cybersecurity Insiders del 2019

Leggi il report completo
Icona attendibilità

Guida per gli architetti di rete per l'adozione dello ZTNA

Leggi la guida
Icona attendibilità

Perché i leader IT dovrebbero prendere in considerazione una strategia ZTNA (Zero Trust Network Access)

Leggi il nostro white paper
Perché i leader IT dovrebbero prendere in considerazione una strategia ZTNA (Zero Trust Network Access)

Infografica sul Security Service Edge (SSE) di Zscaler

Dai un'occhiata
Perché i leader IT dovrebbero prendere in considerazione una strategia ZTNA (Zero Trust Network Access)