Cos'è lo ZTNA (Zero Trust Network Access)?

Che cos'è lo ZTNA?

Il concetto di sicurezza zero trust, ossia "zero attendibilità", è diventato molto in voga nel corso degli ultimi anni. Sebbene molte organizzazioni abbiano modificato le priorità per l'adozione di un approccio zero trust, lo ZTNA (Zero Trust Network Access, ossia accesso alla rete zero trust) è la tecnologia di base per il raggiungimento di un vero e proprio modello zero trust.

Lo ZTNA, noto anche come perimetro definito dal software (SDP), è un insieme di tecnologie che opera su un modello di attendibilità adattiva, in cui tale attendibilità non è mai implicita e l'accesso è concesso in base alla "necessità di conoscere" e con privilegi minimi, definiti da policy granulari. Lo ZTNA offre agli utenti una connettività sicura e fluida alle applicazioni private, senza mai collocarle sulla rete o esporre le app a Internet.

Sebbene il percorso verso lo zero trust come ideologia è vago, lo ZTNA fornisce alle organizzazioni un quadro di riferimento chiaro e definito da seguire.

Come funziona lo ZTNA?

A differenza delle soluzioni incentrate sulla rete, come le VPN o i FW, lo ZTNA adotta un approccio fondamentalmente diverso per garantire l'accesso alle applicazioni interne, che si basa su questi quattro principi fondamentali.

 

  1. Lo ZTNA isola completamente l'atto di fornire l'accesso alle applicazioni dall'accesso alla rete. Questo isolamento riduce i rischi per la rete, come l'infezione da dispositivi compromessi, e garantisce l'accesso alle applicazioni solo agli utenti autorizzati.
  2. Lo ZTNA fa sì che le connessioni siano di sola uscita, garantendo che sia l'infrastruttura di rete che l'infrastruttura applicativa siano invisibili agli utenti non autorizzati. Gli IP non vengono mai esposti a Internet, creando pertanto una "darknet", che rende il rilevamento della rete impossibile.
  3. La segmentazione nativa delle app dell'approccio ZTNA garantisce che, una volta che gli utenti sono autorizzati, l'accesso all'applicazione venga concesso su base uno a uno. Gli utenti autorizzati hanno accesso solo ad applicazioni specifiche, anziché all'intera rete.
  4. Lo ZTNA adotta un approccio da utente ad applicazione, piuttosto che un approccio alla sicurezza incentrato sulla rete. La rete perde la predominanza e Internet diventa la nuova rete aziendale, sfruttando i micro-tunnel criptati TLS end-to-end, anziché l'MPLS.

 

ZTNA
La ZTNA migliora la flessibilità, l'agilità e la scalabilità, consentendo agli ecosistemi digitali di funzionare senza esporre i servizi direttamente su Internet, riducendo i rischi di attacchi denial of service distribuiti.
Gartner, Guida di mercato sullo ZTNA, aprile 2019

Anche dal punto di vista dell'architettura, lo ZTNA funziona in modo fondamentalmente diverso, rispetto alle soluzioni incentrate sulla rete. Lo ZTNA è spesso definito al 100% da software, eliminando pertanto il sovraccarico aziendale generato dalla gestione degli apparecchi di applicazione. Lo ZTNA si traduce inoltre nella semplificazione del set di servizi in entrata, poiché le organizzazioni non hanno più bisogno di VPN, DDoS, bilanciamento del carico globale e di apparecchi FW. Esistono due modelli chiave di architettura ZTNA. Di seguito, illustreremo l'architettura ZTNA iniziata da servizio. Per ulteriori dettagli, leggi la Guida di mercato sullo ZTNA di Gartner.
 

Casi d'uso dello ZTNA

Anche se lo ZTNA presenta molti casi d'uso, la maggior parte delle organizzazioni sceglie di iniziare partendo da una delle seguenti quattro aree:

  • Alternativa alla VPN


Le organizzazioni intendono eliminare o ridurre l'utilizzo della VPN. Dato che le VPN sono lente per gli utenti, offrono un livello di sicurezza scarso e sono difficili da gestire, Gartner prevede che "Entro il 2023, il 60% delle aziende eliminerà gradualmente la maggior parte delle VPN di accesso remoto, a favore dello ZTNA".

  • Accesso sicuro multicloud


La protezione dell'accesso ibrido e multicloud è il principale punto di partenza delle organizzazioni, per iniziare il loro percorso verso lo ZTNA. Con l'adesione al cloud di un numero sempre maggiore di aziende, il 37% di esse si affiderà allo ZTNA nel prossimo futuro, per abilitare la propria strategia multicloud.

  • Riduzione del rischio associato alle terze parti


La maggior parte degli utenti terzi riceve un accesso privilegiato eccessivo, che crea una lacuna nella sicurezza dell'azienda. Lo ZTNA riduce significativamente il rischio associato alle terze parti, assicurando che gli utenti esterni non abbiano mai accesso alla rete e che solo gli utenti autorizzati abbiano accesso alle applicazioni consentite.

  • Integrazione accelerata delle M&A

Con le M&A tradizionali, l'integrazione può durare più anni, in quanto le organizzazioni devono far convergere le reti e gestire IP sovrapposti. Lo ZTNA riduce e semplifica la tempistica e le procedure di gestione necessarie per garantire un processo di M&A di successo, nonché fornisce valore immediato all'azienda.

Considerazioni in merito allo ZTNA

Nella recente Guida di mercato sullo ZTNA di Gartner, Steve Riley, Neil MacDonald e Lawrence Orans descrivono diversi aspetti che le organizzazioni dovrebbero considerare quando scelgono una soluzione ZTNA:

  1. Il fornitore richiede l'installazione di un agente di endpoint? Quali sistemi operativi sono supportati? Quali dispositivi mobili? Come si comporta l'agente in presenza di altri agenti? NOTA: le tecnologie ZTNA che non supportano l'uso senza client, spesso, non sono in grado di supportare casi d'uso correlati ai dispositivi non gestiti, ad esempio accesso di terze parti, BYOD, ecc.
  2. La soluzione supporta solo le applicazioni Web oppure anche le applicazioni legacy (data center) possono ottenere gli stessi vantaggi, in termini di sicurezza?
  3. Alcuni prodotti ZTNA vengono forniti parzialmente o interamente come servizi con base cloud. Ciò rispetta i requisiti di sicurezza e residenza dell'organizzazione? NOTA: Gartner consiglia alle aziende di prediligere i fornitori che offrono lo ZTNA come servizio, poiché i servizi sono più facili da distribuire, più disponibili e offrono una migliore sicurezza contro gli attacchi DDoS.
  4. In che misura il cloaking parziale o completo o l'autorizzazione o il divieto di connessioni in entrata fanno parte dei requisiti di sicurezza dell'applicazione isolata?
  5. Quali standard di autenticazione sono supportati dal broker dell'attendibilità? È disponibile l'integrazione con una directory locale o con servizi di identità con base cloud? Il broker dell'attendibilità si integra con il provider di identità esistente dell'organizzazione?
  6. Quanto sono geograficamente diversificati i punti di ingresso e di uscita del fornitore (indicati come sedi all'edge e/o punti di presenza) in tutto il mondo?
  7. Dopo che l'utente e il dispositivo hanno superato l'autenticazione, il broker dell'attendibilità rimane residente nel percorso dati?
  8. La soluzione si integra con i provider di gestione unificata degli endpoint (UEM) oppure l'agente locale è in grado di determinare lo stato e la sicurezza dei dispositivi come fattori durante il processo decisionale per consentire l'accesso? Con quali fornitori UEM ha collaborato il fornitore dello ZTNA?

Queste sono tutte considerazioni fondamentali per l'azienda, quando seleziona il proprio fornitore dello ZTNA, che andrà a integrarsi con gli obiettivi e la visione presente e futura dell'organizzazione. Per saperne di più sulla tecnologia ZTNA, scopri il nostro servizio leader del settore: ZPA. Inoltre, puoi provare ZPA per un periodo di prova gratuito di 7 giorni!

Resoconto sull'adozione dello zero trust di Cybersecurity Insiders del 2019

Leggi il resoconto completo
Icona attendibilità

Guida per gli architetti di rete per l'adozione dello ZTNA

Leggi la guida
Icona attendibilità

Perché i leader IT dovrebbero prendere in considerazione una strategia ZTNA (Zero Trust Network Access)

Leggi il white paper
Perché i leader IT dovrebbero prendere in considerazione una strategia ZTNA (Zero Trust Network Access)