Cos'è lo ZTNA? Lo ZTNA (Zero Trust Network Access), noto anche come perimetro definito da software (Software-defined perimeter, o SDP), è un insieme di tecnologie e funzionalità che consentono agli utenti in remoto di accedere in modo sicuro alle applicazioni interne. Si basa su un modello di fiducia adattivo, dove l'attendibilità, o trust, non è mai implicita, e l'accesso viene concesso solo a ciò che è strettamente necessario, secondo il principio dei privilegi minimi e in base a policy granulari. Lo ZTNA offre agli utenti in remoto una connettività sicura alle app private, senza collocarli sulla rete o esporre le app a Internet.

Come funziona lo ZTNA?

Ultimamente si sente molto parlare della sicurezza zero trust. Molte organizzazioni hanno fatto dell'adozione dello zero trust una priorità, e lo ZTNA (Zero Trust Network Access) è la strategia che consente di realizzare concretamente questo approccio.

L'idea di un percorso verso lo zero trust di per sé è vaga, ed è per questo che lo ZTNA offre un framework chiaro e definito che le aziende possono seguire. Fa inoltre parte del modello di sicurezza SASE (Secure Access Service Edge), che, oltre allo ZTNA, riunisce in un'unica piattaforma nativa del cloud firewall di nuova generazione (NGFW), SD-WAN e altri servizi.

La necessità di proteggere la forza lavoro in remoto è ormai fondamentale, ma le soluzioni incentrate sulla rete, come le reti private virtuali (VPN) e i firewall, generano una superficie di attacco che gli aggressori possono sfruttare per lanciare attacchi. Lo ZTNA adotta un approccio radicalmente diverso, per fornire un accesso remoto sicuro alle applicazioni interne che si basa su quattro principi fondamentali:

1. Lo ZTNA isola completamente l'accesso alle applicazioni dall'accesso alla rete. Questo isolamento riduce i rischi per la rete, come l'infezione da dispositivi compromessi, e concede l'accesso solo ad applicazioni specifiche e solo agli utenti autorizzati che sono stati autenticati.
2. Lo ZTNA fa sì che le connessioni siano solo in uscita, garantendo che l'infrastruttura di rete e l'infrastruttura dell'applicazione siano invisibili agli utenti non autorizzati. Gli IP non vengono mai esposti a Internet, e creano una "darknet" che rende impossibile il rilevamento della rete.
3. La segmentazione nativa delle app offerta dal modello ZTNA garantisce che, dopo l'autenticazione degli utenti, l'accesso sia concesso su base "uno a uno". Gli utenti autorizzati hanno accesso solo ad applicazioni specifiche, anziché all'intera rete. La segmentazione previene gli accessi eccessivamente permissivi e il rischio di movimento laterale dei malware e di altre minacce.
4. Invece di un modello basato sulla sicurezza tradizionale della rete, lo ZTNA adotta un approccio da utente ad applicazione. La rete non è più l'elemento centrale, e Internet diventa la nuova rete aziendale grazie a micro-tunnel TLS crittografati end-to-end che sostituiscono l'MPLS.

Anche dal punto di vista architetturale, lo ZTNA funziona in modo radicalmente diverso rispetto alle soluzioni incentrate sulla rete. Viene applicato a un perimetro definito dal software, o SDP, che distribuisce l'accesso alle applicazioni interne in base all'identità dell'utente. Ciò consente di eliminare i costi e le problematiche legate alla gestione degli apparecchi. Aiuta inoltre le organizzazioni a semplificare gli stack in entrata, poiché non necessitano più delle loro VPN e dei concentratori VPN, della protezione dai DDoS, del bilanciamento del carico globale e degli apparecchi firewall.

Esistono due modelli principali di architettura ZTNA. Questo articolo descrive l'architettura ZTNA avviata da servizio.

Consulta la Guida di mercato di Gartner® per l'accesso alla rete Zero Trust per maggiori dettagli.

Qual è la differenza tra VPN e ZTNA?

Le VPN fanno parte delle soluzioni di sicurezza legacy più diffuse e in uso al momento, e hanno lo scopo di semplificare la gestione degli accessi consentendo agli utenti finali di accedere in modo sicuro a una rete, e quindi alle risorse aziendali, attraverso un tunnel dedicato, di solito tramite il processo di autenticazione SSO (Single Sign-On).

Per molti anni, le VPN hanno funzionato bene per gli utenti che avevano bisogno di lavorare a distanza per uno o due giorni, ma con l'incremento degli utenti che lavorano stabilmente da remoto, la mancanza di scalabilità, i costi elevati e i requisiti di manutenzione hanno reso le VPN del tutto inefficaci. Inoltre, la rapida adozione del cloud pubblico ha reso molto più complessa l'applicazione delle policy di sicurezza ai dipendenti in remoto, e l'esperienza utente è diventata sempre più scadente.

Il problema principale delle VPN, tuttavia, è la superficie di attacco che creano. Qualsiasi utente o entità che dispone delle credenziali SSO necessarie può accedere a una VPN, muoversi lateralmente sulla rete e avere accesso a tutte le risorse e ai dati che la VPN avrebbe dovuto proteggere.

Lo ZTNA mette in sicurezza l'accesso dell'utente, concedendolo sulla base del principio dei privilegi minimi. Invece di considerare un'entità attendibile in base alla correttezza delle credenziali, lo zero trust effettua l'autenticazione solo a condizione che il contesto sia corretto, ovvero quando utente, identità, dispositivo e posizione corrispondono.

Inoltre, lo ZTNA fornisce un accesso granulare e non all'intera rete. Gli utenti sono collegati direttamente e in modo sicuro alle applicazioni e ai dati di cui hanno bisogno, e in questo modo si previene la possibilità che gli utenti malintenzionati mettano in atto tattiche di movimento laterale. Inoltre, con un'architettura ZTNA, le connessioni con gli utenti sono dirette, e di conseguenza le esperienze migliorano in modo significativo.

I vantaggi dello ZTNA

Oggi più che mai, le organizzazioni stanno scoprendo i vantaggi che un modello ZTNA può offrire. Ecco alcuni dei principali motivi che spingono le aziende a passare a questo sistema.

• Nessun bisogno di apparecchi legacy: lo ZTNA consente alle organizzazioni di liberarsi dagli apparecchi legacy di accesso remoto, come le VPN, per sfruttare una soluzione di accesso basata su software al 100%. 
• Esperienze utente ottimali: Con lo ZTNA, il traffico degli utenti non subisce il backhauling verso il data center e gli utenti possono così accedere direttamente all'applicazione desiderata in modo rapido. 
• Scalabilità resa semplice: un servizio cloud ZTNA semplifica la scalabilità e le organizzazioni sfruttano solamente le licenze aggiuntive.
• Distribuzione rapida: a differenza di altre soluzioni che possono richiedere settimane o mesi per essere distribuite, lo ZTNA può essere distribuito da qualsiasi luogo e in pochi giorni. 

I vantaggi per la sicurezza offerti dallo ZTNA

Lo ZTNA aiuta le aziende a diventare più flessibili, migliorando al contempo anche i loro profili di sicurezza generali. Offre tutto questo attraverso:

• Infrastruttura invisibile: lo ZTNA consente agli utenti di accedere alle applicazioni senza collegarsi alla rete aziendale. Ciò elimina i rischi per la rete, facendo sì che l'infrastruttura sia completamente invisibile.
• Più controllo e visibilità: gestire le soluzioni ZTNA è facile, grazie a un portale di amministrazione centralizzato con controlli granulari, che consente di visualizzare tutte le attività degli utenti e delle applicazioni in tempo reale e creare policy di accesso per gruppi di utenti o utenti singoli.
• Segmentazione delle app resa semplice: dato che lo ZTNA non è legato alla rete, le organizzazioni possono segmentare l'accesso alle singole applicazioni, anziché dover eseguire una complessa segmentazione della rete.

I principali casi d'uso dello ZTNA

Lo ZTNA si applica a molti casi d'uso per la sicurezza sul cloud. La maggior parte delle aziende sceglie di iniziare con uno di questi quattro.

Alternativa alla VPN

Le VPN sono inefficienti e lente per gli utenti, forniscono una sicurezza scadente e sono difficili da gestire; per questo motivo, le aziende desiderano ridurle o eliminarle. Gartner prevede che: "Entro il 2023, il 60% delle aziende eliminerà gradualmente la maggior parte delle proprie VPN di accesso remoto a favore dello ZTNA".

Accesso sicuro multicloud

La protezione dell'accesso ibrido e multicloud è il principale punto di partenza delle aziende che intraprendono il percorso verso lo ZTNA. Sono sempre di più le aziende che adottano applicazioni e servizi cloud, e il 37% di loro ha intenzione di implementare un approccio ZTNA alla sicurezza e al controllo degli accessi per le proprie strategie multicloud.

Riduzione del rischio associato a terze parti

La maggior parte degli utenti terzi usufruisce di un accesso a privilegi eccessivi, e gran parte di essi accede alle applicazioni utilizzando dispositivi non gestiti; entrambi questi elementi introducono dei rischi. Lo ZTNA riduce significativamente il rischio associato a questi utenti, garantendo che gli utenti esterni non abbiano mai accesso alla rete e che solo gli utenti autorizzati abbiano accesso alle applicazioni consentite.

Integrazione accelerata durante fusioni e acquisizioni

Nelle fusioni e acquisizioni tradizionali, l'integrazione può durare diversi anni, perché le aziende devono far convergere le reti e gestire IP sovrapposti. Lo ZTNA riduce e semplifica la tempistica e le procedure di gestione per garantire operazioni di fusione e acquisizione di successo, fornendo valore immediato all'azienda.

Tipi di ZTNA

Lo ZTNA è flessibile, in quanto può essere adattato in modo scalabile per proteggere tutti gli aspetti più importanti di un'azienda. Diamo un'occhiata più da vicino ai diversi modelli di ZTNA.

• Lo ZTNA per la protezione degli utenti: questo modello garantisce che quando un utente si connette a un'applicazione, viene inviato direttamente a quell'applicazione, senza entrare in contatto con Internet e, potenzialmente, con delle minacce dannose. Questo approccio viene eseguito verificando che l'utente soddisfi i criteri stabiliti per l'autenticazione.
• Lo ZTNA per la protezione dei workload: spesso, durante la creazione delle applicazioni o dei framework di comunicazione, la sicurezza passa in secondo piano. Lo ZTNA impedisce che questi workload vengano compromessi, impedendo il movimento laterale delle minacce e la perdita di dati, consentendo quindi di proteggere le app dalla fase di creazione a quella di esecuzione e di comunicare in modo sicuro.
• Lo ZTNA per la protezione dei dispositivi: ora più che mai gli endpoint rappresentano dei bersagli per le minacce, soprattutto con l'avvento del BYOD (Bring Your Own Device). Con un framework ZTNA completo, è possibile garantire che i dati che vengono trasmessi da e verso questi dispositivi siano protetti durante l'intero percorso e che le minacce non siano in grado di individuare delle vie di accesso.

Come implementare lo ZTNA

La trasformazione zero trust richiede tempo, ma rappresenta una necessità concreta per le organizzazioni flessibili di oggi. Diamo un'occhiata ai tre elementi fondamentali per l'implementazione dello zero trust.

• Conoscenza e convinzione: comprendere modi nuovi e migliori per utilizzare la tecnologia, al fine di ridurre i costi e la complessità e promuovere il raggiungimento degli obiettivi.
• Tecnologie dirompenti: Internet, le minacce e la forza lavoro sono realtà che si sono rivoluzionate nel corso degli ultimi tre decenni, e le soluzioni legacy non sono più in grado di rispondere efficacemente, per questo andrebbero eliminate.
• Cambiamento culturale e della mentalità: il successo si raggiunge solo coinvolgendo i tutti i team aziendali, e quando i professionisti IT comprendono i vantaggi dello zero trust, cominciano di conseguenza a promuoverlo.

Considerazioni in merito allo ZTNA

Nella recente Guida di mercato per lo ZTNA di Gartner, Steve Riley, Neil MacDonald e Lawrence Orans descrivono diversi aspetti che le aziende dovrebbero considerare durante la scelta di una soluzione ZTNA:

1. Il fornitore richiede l'installazione di un agente endpoint? Quali sistemi operativi sono supportati? Quali dispositivi mobili? Come si comporta l'agente in presenza di altri agenti? Nota: le tecnologie ZTNA che non supportano l'uso senza client (clientless) spesso non sono in grado di supportare i casi d'uso che coinvolgono dispositivi non gestiti (ad esempio, accesso di terze parti o dispositivi personali BYOD).
2. La soluzione supporta solo le applicazioni Web oppure le applicazioni legacy (data center) possono anch'esse ottenere gli stessi vantaggi, in termini di sicurezza?
3. Alcuni prodotti ZTNA vengono forniti parzialmente o interamente come servizi cloud. Questo rispetta i requisiti di sicurezza e di residenza dell'azienda? NOTA: Gartner consiglia alle aziende di prediligere i provider che offrono lo ZTNA come servizio, perché questa modalità è più facile da distribuire, più disponibile e offre una sicurezza migliore contro gli attacchi DDoS.
4. In che misura il cloaking parziale o completo o l'autorizzazione o il divieto di connessioni in entrata fanno parte dei requisiti di sicurezza dell'applicazione isolata?
5. Quali standard di autenticazione sono supportati dal broker dell'attendibilità? È disponibile l'integrazione con una directory locale o con servizi di identità con base cloud? Il broker dell'attendibilità si integra con il provider di identità esistente dell'organizzazione?
6. Quanto sono geograficamente diversificati i punti di ingresso e di uscita del fornitore (indicati come posizioni all'edge e/o punti di presenza) in tutto il mondo?
7. Dopo che l'utente e il dispositivo dell'utente hanno superato l'autenticazione, il broker dell'attendibilità rimane residente nel percorso dati?
8. La soluzione si integra con i provider di gestione unificata degli endpoint (UEM) oppure l'agente locale è in grado di determinare lo stato e la sicurezza dei dispositivi come fattori durante il processo che consente l'accesso? Con quali fornitori UEM collabora il provider dello ZTNA?

Queste considerazioni sono fondamentali per l'azienda quando si sceglie un provider di ZTNA che dovrà integrarsi con la visione e gli obiettivi presenti e futuri dell'organizzazione. Per saperne di più sullo ZTNA, dai un'occhiata al nostro servizio ZTNA d'eccellenza, Zscaler Private Access. 

Lo ZTNA secondo Zscaler

Siamo orgogliosi di offrire Zscaler Private Access™, la piattaforma ZTNA più distribuita al mondo, basata sull'esclusiva architettura zero trust di Zscaler. ZPA applica il principio dell'accesso a privilegi minimi per offrire agli utenti connessioni dirette e sicure alle applicazioni private ed eliminare l'accesso non autorizzato e il movimento laterale. Dato che si tratta di un servizio nativo del cloud, ZPA può essere implementato in poche ore per sostituire le VPN e gli strumenti di accesso remoto tradizionali con una piattaforma olistica zero trust.

Zscaler Private Access offre:

• Una sicurezza senza pari, che va oltre le VPN e i firewall tradizionali: gli utenti si collegano direttamente alle app, e non alla rete; questo consente di ridurre al minimo la superficie di attacco ed eliminare il movimento laterale.
• Niente più compromissioni delle app private: una protezione delle app unica nel suo genere, che offre prevenzione inline, tecnologia di deception e isolamento delle minacce e riduce al minimo il rischio di compromissione degli utenti.
• Produttività superiore per la forza lavoro ibrida di oggi: l'accesso rapido alle app private si estende a utenti in remoto, sedi centrali, filiali e partner terzi.
• ZTNA unificato per utenti, carichi di lavoro e dispositivi: i dipendenti e i partner possono connettersi in modo sicuro ad app, servizi e dispositivi OT/IoT privati sfruttando la piattaforma ZTNA più completa.