Risorse > Glossario dei termini sulla sicurezza > Che cos'è un'architettura di rete zero trust

Che cos'è un'architettura di rete zero trust?

Che cos'è un'architettura di rete zero trust?

Fondamentalmente, un'architettura di rete zero trust è un'architettura di sicurezza costruita per ridurre la superficie di attacco di una rete e prevenire il movimento laterale delle minacce, che si basa sui principi fondamentali dell'approccio zero trust, elaborato per la prima volta da John Kindervag di Forrester Research.

Nel modello di sicurezza zero trust, si abbandona il concetto di "perimetro della rete", secondo il quale tutti i dispositivi e gli utenti sono considerati attendibili e dispongono di autorizzazioni di accesso molto permissive. Al contrario, i dati sensibili vengono protetti tramite controlli di accesso a privilegi minimi, microsegmentazione granulare e autenticazione a più fattori (MFA), che non attribuiscono un'attendibilità implicita a utenti o dispositivi. Si tratta di una gestione più rigorosa degli accessi che riduce significativamente il rischio che un'azienda subisca una violazione dei dati.

Prima di esaminare le diverse architetture zero trust in modo più dettagliato, riassumiamo le basi dello ZTNA (Zero Trust Network Access) come framework di sicurezza della rete. Conosciuto inizialmente con il nome "perimetro definito dal software" (SDP), lo ZTNA è diventato popolare perché le aziende devono poter fornire agli utenti un accesso sicuro alle applicazioni e ai dati, quando gli uni o gli altri non si trovano all'interno di un perimetro di sicurezza tradizionale (una necessità che i firewall legacy non sono in grado di soddisfare). Oggi, con i lavoratori da remoto in continuo aumento, questa necessità è particolarmente importante. Per garantire un accesso sicuro, le aziende devono rendere i loro sistemi, servizi, API, dati e processi accessibili ovunque e in qualsiasi momento, da qualsiasi dispositivo che sia su Internet.

L'architettura di rete zero trust fornisce all'utente l'accesso preciso e contestuale di cui ha bisogno, proteggendo al contempo i servizi da hacker e malware. Nel complesso, offre una migliore esperienza utente, agilità e adattabilità maggiori e una gestione semplificata delle policy. Lo ZTNA cloud offre ancora più vantaggi, come l'elevata scalabilità e la facilità di adozione.

Gartner ha definito lo ZTNA per fornire un modello in grado di eliminare l'eccessiva attendibilità di dipendenti e partner quando si connettono ad app e dati utilizzando tecnologie tradizionali come le VPN. All'interno dello ZTNA, nulla è ritenuto attendibile finché non si dimostra tale e, anche in questi casi, l'attendibilità viene riesaminata in tempo reale a ogni variazione del contesto (posizione dell'utente, dispositivo, applicazione, e così via).

 

Due modi per implementare l'architettura di rete zero trust

Esistono due diverse architetture per distribuire lo ZTNA: avvio da endpoint o avvio da servizio.

Lo ZTNA avviato da endpoint, in cui l'endpoint o l'utente finale avvia l'accesso a un'applicazione, è il più vicino alla descrizione originaria di un "perimetro definito dal software". Un agente (un'applicazione software leggera) installato sui dispositivi degli utenti finali comunica con un controller, che autentica l'identità dell'utente e fornisce la connettività a un'applicazione specifica a cui l'utente è autorizzato ad accedere. Lo ZTNA avviato da endpoint può essere difficile o addirittura impossibile da implementare su dispositivi non gestiti (in particolare sui dispositivi IoT), a causa della necessità di installare un agente o software locale.

Nello ZTNA avviato da servizio, un broker ZTNA avvia le connessioni tra utenti e applicazioni. In questo caso, un connettore ZTNA leggero è posizionato di fronte alle applicazioni aziendali, situate in un data center o sul cloud del cliente, e stabilisce una connessione in uscita che va dall'applicazione richiesta al broker. Una volta che l'utente è autenticato dal provider, il traffico passa attraverso il fornitore di servizi ZTNA, che isola le applicazioni dall'accesso diretto tramite proxy. Questo approccio non richiede un agente sul dispositivo dell'utente finale, ed è quindi utile per proteggere i dispositivi non gestiti (BYOD) e per garantire l'accesso a partner e clienti. Alcuni servizi ZTNA avviati da servizio possono utilizzare l'accesso basato su browser per le app web.

I due modelli di distribuzione per l'accesso alla rete Zero Trust

Oltre alle differenze tra architetture avviate da endpoint e avviate da servizio, è possibile adottare lo ZTNA come prodotto indipendente o come servizio. Gartner consiglia i modelli basati su servizio, ma ogni approccio ha le sue caratteristiche uniche. Sono le esigenze specifiche dell'azienda, la strategia di sicurezza e l'ecosistema a determinare la scelta migliore.
 

ZTNA come prodotto indipendente

Le soluzioni ZTNA indipendenti richiedono la distribuzione e la gestione di tutti gli elementi del prodotto. L'infrastruttura risiede all'edge dell'ambiente, sia che si tratti del data center o di un cloud, e agisce come un intermediario per fornire connessioni sicure tra utenti e applicazioni. Anche alcuni provider IaaS offrono funzionalità ZTNA.
 

Caratteristiche

  • Il cliente è responsabile al 100% della distribuzione, della gestione e della manutenzione dell'infrastruttura ZTNA.
  • Alcuni fornitori supportano sia soluzioni ZTNA indipendenti, sia come servizio cloud.
  • La distribuzione indipendente è la soluzione ideale per le aziende meno disposte ad adottare il cloud.
Modello concettuale di ZTNA iniziato da endpoint

ZTNA come servizio cloud

Con lo ZTNA come servizio cloud, si utilizza l'infrastruttura cloud di un provider per l'applicazione delle policy. Si acquista la licenza utente e si distribuiscono connettori leggeri che si collocano davanti alle applicazioni in tutti gli ambienti, mentre il provider fornisce la connettività, la capacità e l'infrastruttura. L'accesso viene stabilito tramite connessioni dall'interno verso l'esterno e intermediate tra utenti e applicazioni, separando efficacemente l'accesso all'applicazione dall'accesso alla rete, senza esporre mai gli IP a Internet.
 

Caratteristiche

  • La distribuzione è più semplice, perché non si necessita di un'infrastruttura.
  • La gestione è più semplice, perché vi è un unico portale admin per l'applicazione globale tramite il servizio cloud.
  • L'automazione seleziona i percorsi di traffico ottimali per offrire a tutti gli utenti l'accesso più rapido possibile, in tutto il mondo.
Modello concettuale di ZTNA iniziato da endpoint

 

Alcuni servizi cloud consentono la distribuzione di un pacchetto software on-premise. Il software viene eseguito sull'infrastruttura, ma viene comunque fornito come parte del servizio e gestito dal provider.

Scopri di più su ZTNA on-premise.

Come evidenziano le interazioni tra client, le soluzioni come servizio stanno superando rapidamente quelle indipendenti. Gartner calcola che oltre il 90% dei clienti sta implementando soluzioni come servizio.

Gartner Market Guide for Zero Trust Network Access, 8 giugno 2020

I suggerimenti di Gartner per la distribuzione di un'architettura di rete zero trust 

La Market Guide for Zero Trust Network Access, stilata da Gartner nel 2020, elenca numerosi fattori da prendere in considerazione quando si sceglie una soluzione ZTNA per la propria azienda. Di seguito riassumeremo quelli più rilevanti:

  1. Il provider richiede l'installazione di un agente endpoint? In questo caso, come si comporta l'agente in presenza di altri agenti? Quali sistemi operativi e dispositivi mobili sono supportati?
  2. La soluzione supporta solo le app web o supporta anche le applicazioni legacy (data center)?
  3. Il metodo di fornitura del servizio soddisfa i requisiti di sicurezza e residenza?
  4. In che misura il cloaking parziale o completo o l'autorizzazione o il divieto di connessioni in entrata fanno parte dei requisiti di sicurezza dell'applicazione isolata?
  5. Quali standard di autenticazione sono supportati dal broker dell'attendibilità? È in grado di integrarsi con una directory locale o con servizi di identità cloud? Si integra con il provider di identità esistente?
  6. Quanto sono diversificati, dal punto di vista geografico, i punti di presenza del provider in tutto il mondo?
  7. Dopo che l'utente e il dispositivo hanno superato l'autenticazione, il broker dell'attendibilità rimane nel percorso dei dati?
  8. La soluzione si integra con i provider di gestione unificata degli endpoint? Oppure, l'agente locale è in grado di considerare lo stato e il profilo di sicurezza dei dispositivi nelle decisioni relative agli accessi? Con quali fornitori UEM collabora il provider dello ZTNA?

    Video: comprendere l'architettura di rete zero trust consigliata da Gartner