Risorse > Glossario dei termini della sicurezza > Che cos'è un'architettura di rete zero trust

Che cos'è un'architettura di rete zero trust?

Che cos'è un'architettura di rete zero trust?

Prima di esaminare più nel dettaglio le diverse architetture di rete zero trust, è necessario comprendere il contesto dell'accesso alla rete Zero Trust (ZTNA) come struttura di sicurezza. L'accesso alla rete Zero Trust, precedentemente noto come perimetro definito dal software, ha guadagnato popolarità negli ultimi anni, da quando le organizzazioni cercano modi di connettere gli utenti alle proprie applicazioni e dati, dato che è sempre più probabile che né gli utenti, né le applicazioni risiedano sulla rete. Per poter abilitare la digitalizzazione, le organizzazioni devono rendere i propri sistemi, servizi, API, dati e processi accessibili ovunque, in qualsiasi momento e da qualsiasi dispositivo su Internet. Per poter fare tutto ciò in modo sicuro, sfruttano ZTNA per fornire il necessario accesso preciso e contestuale, proteggendo allo stesso tempo i servizi dagli aggressori. ZTNA offre vantaggi significativi in termini di esperienza utente, agilità, adattabilità e gestione semplificata delle policy, mentre lo ZTNA basato sul cloud offre i vantaggi aggiuntivi della scalabilità e della facilità di adozione.

Gartner ha sviluppato lo ZTNA per fornire un modello che elimini l'eccessiva attendibilità estesa a dipendenti e partner che si connettono alle applicazioni e ai dati utilizzando tecnologie tradizionali, come le VPN. Il modello ZTNA si basa sull'idea che nulla è affidabile finché non si dimostra altrimenti e, una volta definita tale attendibilità, questa dev'essere continuamente rivalutata in base ai cambiamenti di contesto (ubicazione dell'utente, dispositivo, applicazione, ecc).

 

I due approcci dell'architettura di rete zero trust

Esistono due diverse architetture nella distribuzione dello ZTNA: lo ZTNA iniziato da endpoint e lo ZTNA iniziato da servizio. Un'architettura di rete zero trust iniziata da endpoint significa che l'endpoint o l'utente finale iniziano l'accesso a un'applicazione. Questo approccio è il modello più simile all'originale definizione del perimetro definito dal software (SDP). In questo caso, un agente (un'applicazione software leggera) viene installato sui dispositivi degli utenti finali. L'agente comunica con un controllore, che autentica l'utente e fornisce la connettività a una specifica applicazione a cui l'utente è autorizzato ad accedere. Lo ZTNA iniziato da endpoint è difficile, se non impossibile, da implementare su un dispositivo non gestito, a causa della necessità di installare qualche forma di agente o software locale.

Con un'architettura di rete zero trust iniziata da servizio, un broker ZTNA avvia la connessione tra utente e applicazione. In questo caso, un connettore ZTNA leggero si posiziona di fronte alle applicazioni aziendali, situate in un data center o cloud del cliente, e stabilisce una connessione in uscita dall'applicazione richiesta al broker del servizio ZTNA. Una volta che l'utente è stato autenticato dal fornitore per accedere all'applicazione, il traffico passa attraverso un provider di servizi ZTNA, che isola le applicazioni dall'accesso diretto tramite un proxy. Il vantaggio dello ZTNA iniziato da servizio è che non è necessario un agente sul dispositivo dell'utente finale, e questo lo rende un approccio allettante per i dispositivi non gestiti (BYOD) e per l'accesso di partner e clienti. Alcuni servizi ZTNA iniziati da servizio possono utilizzare l'accesso basato su browser per le applicazioni web.

I due modelli di distribuzione per l'accesso alla rete Zero Trust

Oltre alle differenze tra l'architettura di rete zero trust iniziata da endpoint e quella iniziata da servizio, i clienti possono scegliere se adottare un prodotto ZTNA indipendente o uno ZTNA come servizio. Anche se Gartner consiglia un modello basato su servizi, qui di seguito offriamo una breve spiegazione di ciascuno per consentirti di scegliere l'opzione migliore per la tua strategia ZTNA:

 

ZTNA come prodotto indipendente

Le offerte indipendenti di ZTNA richiedono ai clienti di distribuire e gestire tutti gli elementi del prodotto. Inoltre, diversi provider cloud IaaS offrono funzionalità ZTNA ai propri clienti. Lo ZTNA risiede ai margini dell'ambiente, sia nel data center che nel cloud, e fornisce una connessione sicura tra utente e applicazione.

 

Pro e contro:

  • I clienti hanno la responsabilità della proprietà al 100% e devono distribuire, gestire e mantenere l'infrastruttura ZTNA​​​
  • L'offerta indipendente è adatta alle imprese contrarie all'utilizzo del cloud
  • Alcuni fornitori supportano offerte di ZTNA sia indipendenti che come servizio cloud
Modello concettuale di ZTNA iniziato da endpoint

ZTNA come servizio cloud

L'altra opzione è lo ZTNA come servizio. Con lo ZTNA come servizio ospitato sul cloud, i clienti sfruttano l'infrastruttura cloud di un fornitore per l'applicazione delle policy. L'azienda acquista semplicemente le licenze utente e distribuisce connettori leggeri che servono in front-end le applicazioni in tutti gli ambienti; il fornitore risponde alle esigenze di connettività, capacità e infrastruttura. L'accesso viene stabilito tramite connessioni interno-esterno mediate, tra utente e applicazione, disaccoppiando efficacemente l'accesso all'applicazione dall'accesso alla rete senza esporre mai gli IP a Internet. 

 

Pro e contro:

  • Distribuzione più semplice, poiché non ci sono requisiti di infrastruttura da parte del cliente
  • Lo ZTNA come servizio cloud semplifica la gestione per l'IT. La gestione è centralizzata in un unico portale di amministrazione e applicata a livello globale tramite il servizio cloud dello ZTNA.
  • Lo ZTNA distribuito su cloud garantisce che i percorsi di traffico ottimali vengano selezionati a livello globale per un accesso più rapido a tutti gli utenti remoti e locali.
Modello concettuale di ZTNA iniziato da endpoint

Alcuni servizi distribuiti sul cloud consentono la distribuzione di un pacchetto software on-premise. Il software viene eseguito sull'infrastruttura fornita dal cliente, ma viene comunque fornito come parte del servizio ZTNA e gestito dal fornitore di ZTNA.  Scopri di più su ZTNA on-premise.

Come evidenziano le interazioni tra client, le soluzioni come servizio stanno superando rapidamente quelle indipendenti. Gartner calcola che oltre il 90% dei clienti sta implementando soluzioni come servizio.

Guida al mercato di Gartner per lo ZTNA, 8 giugno 2020

Prodotti consigliati da Gartner nella distribuzione di un'architettura di rete zero trust 

Nella recente Guida di mercato sullo ZTNA di Gartner, Steve Riley, Neil MacDonald e Lawrence Orans descrivono diversi aspetti che le organizzazioni dovrebbero considerare al momento di scegliere una soluzione ZTNA:

  1. Il fornitore richiede l'installazione di un agente di endpoint? Quali sistemi operativi sono supportati? Quali dispositivi mobili? Come si comporta l'agente in presenza di altri agenti?

     

  2. La soluzione supporta solo le applicazioni Web oppure anche le applicazioni legacy (data center) possono ottenere gli stessi vantaggi, in termini di sicurezza?

     

  3. Alcuni prodotti ZTNA vengono forniti parzialmente o interamente come servizi con base cloud. Ciò rispetta i requisiti di sicurezza e residency di un'organizzazione? NOTA: Gartner consiglia alle aziende di prediligere i fornitori che offrono lo ZTNA come servizio, poiché i servizi sono più facili da distribuire, più disponibili e offrono una migliore sicurezza contro gli attacchi DDoS.

     

  4. In che misura il cloaking parziale o completo o l'autorizzazione o il divieto di connessioni in entrata fanno parte dei requisiti di sicurezza dell'applicazione isolata?

     

  5. Quali standard di autenticazione sono supportati dal broker dell'attendibilità? È disponibile l'integrazione con una directory locale o con servizi di identità con base cloud? Il broker dell'attendibilità si integra con il provider di identità esistente dell'organizzazione?

     

  6. Quanto sono geograficamente diversificati i punti di ingresso e di uscita del vendor (indicati come sedi all'edge e/o punti di presenza) in tutto il mondo?

     

  7. Dopo che l'utente e il dispositivo hanno superato l'autenticazione, il broker dell'attendibilità rimane residente nel percorso dati?

     

  8. La soluzione si integra con i provider di gestione unificata degli endpoint (UEM) oppure l'agente locale è in grado di determinare lo stato e la sicurezza dei dispositivi come fattori durante il processo che consente l'accesso? Con quali fornitori UEM ha collaborato il fornitore dello ZTNA? 

    Capire l'architettura di rete zero trust consigliata da Gartner