Quando si parla di sicurezza informatica, restare al passo con i tempi e aggiornarsi è di vitale importanza per le imprese di tutto il mondo, soprattutto in un’epoca di trasformazione per le architetture IT, sempre più focalizzate sul concetto di identità digitale.
Uno degli approcci più innovativi è senza dubbio il cosiddetto Zero Trust Network Access (ZTNA), una soluzione IT che garantisce accesso remoto sicuro a dati, applicazioni e servizi di un’impresa secondo criteri di controllo ben definiti.
Essendo in aumento il numero di utenti che accedono da casa o da qualsiasi luogo alle risorse IT, lo ZTNA è un eccellente scelta per porre rimedio alle lacune di alcune tecnologie di accesso remoto, come le reti VPN.
Lo ZTNA è dunque un nuovo concetto che risponde alla necessità di porre in sicurezza asset e servizi digitali delle aziende e che rapidamente sta guadagnando spazio. Ma come agisce tale sistema di accesso remoto, quali vantaggi offre e come può essere implementato?
Come funziona lo Zero Trust Network Access
Lo Zero Trust Network Access o ZTNA è un gruppo di tecnologie che permettono all’utente da remoto di accedere in maniera sicura alle applicazioni interne ad una rete.
Tale sistema si fonda su un modello di fiducia adattivo, in cui l’attendibilità non è implicita e l’accesso è consentito soltanto a quello che è necessario, secondo privilegi minimi. Lo ZTNA offre quindi alle persone in remoto un tipo di connettività sicura alle applicazioni private, senza metterli in rete oppure esporre le app ad Internet.
Oggi questo sistema innovativo trova sempre più largo uso ed è in rapida crescita in quanto le imprese cercano di abbattere i rischi di attacchi informatici e sostenere la propria forza lavoro.
Secondo la società di ricerca e consulenza Gartner, entro il 2025 circa il 70% degli accessi in remoto avrà luogo attraverso i servizi ZTNA, invece che tramite i classici servizi VPN.
Le attuali soluzioni basate sulla rete, come appunto le reti VPN e i firewall, creano uno spazio vulnerabile che i malintenzionati potrebbero sfruttare per lanciare cyberattacchi.
In tal senso lo ZTNA utilizza un’impostazione differente che si fonda su 4 principi di base:
- Lo ZTNA va ad isolare del tutto l’accesso alle applicazioni dalla rete, tentando di ridurre i rischi, tra cui infezioni da device compromessi. Al contempo, viene permesso l’accesso solamente ad applicazioni specifiche e solo ad utenti autorizzati che sono già stati autenticati;
- Con lo ZTNA le connessioni sono solo in uscita, assicurando che le infrastrutture di rete e dell’applicazione siano invisibili a chi non è autorizzato. Dunque, gli IP non sono mai esposti ad Internet, sviluppando una specie di darknet che non consente di rilevare la rete;
- La segmentazione delle applicazioni garantita dalla tecnologia ZTNA assicura che, in seguito all’autenticazione dell’utente, l’accesso sia approvato su base uno a uno. Ciò significa che gli utenti autorizzati possono accedere esclusivamente ad app particolari e non all’intera rete;
- Lo ZTNA non impiega un modello di sicurezza tradizionale, ma piuttosto si affida ad un meccanismo da utente ad applicazione. Così facendo, la rete non è più il componente centrale ed Internet si trasforma nella nuova rete aziendale per mezzo di micro-tunnel TLS crittografati end-to-end che vanno a soppiantare il Multiprotocol Label Switching (MPLS).
Riassumendo, si può dire che lo ZTNA agisce applicando un perimetro definito dal software o SDP (Software-defined Perimeter), il quale va a distribuire l’accesso alle applicazioni secondo l’identità dell’utente.
Ciò aiuta a ridurre i costi e le difficoltà legate alla gestione di apparecchiature e dispositivi. Inoltre, si possono semplificare gli stack in ingresso poiché non hanno più bisogno delle loro VPN, della protezione dai DDoS e dei firewell.
Zero Trust Network Access e VPN: qual è la differenza?
Per comprendere in pieno il significato di ZTNA, è indispensabile capire anche in cosa si differenzia tale tecnologia rispetto alle tradizionali reti VPN.
Le VPN (Virtual Private Network) sono tra le soluzioni di sicurezza più diffuse al momento ed hanno l’obiettivo di rendere più agevole la gestione degli accessi, permettendo agli utenti di accedere in maniera sicura ad una rete, cioè alle risorse aziendali, tramite uno spazio dedicato, solitamente mediante il sistema di autenticazione SSO (Single Sign-On).
Per anni le VPN hanno funzionato alla perfezione per gli utenti che necessitavano di lavorare da remoto per 1-2 giorni. Con l’aumento però delle persone che lavorano frequentemente a distanza, la poca scalabilità, i costi alti e i requisiti di manutenzione hanno reso le VPN meno efficaci.
In aggiunta, l’adozione e diffusione del cloud pubblico ha reso più difficile l’applicazione delle politiche di sicurezza verso i dipendenti in remoto e la stessa esperienza utente diventa meno soddisfacente.
Il problema più grave delle VPN è lo spazio di attacco che producono. Infatti, qualunque utente che possiede le credenziali SSO può accedere alla VPN, spostarsi lateralmente sulla rete e accedere a dati e risorse che la VPN in teoria avrebbe dovuto proteggere.
Al contrario, lo ZTNA rende più affidabile l’accesso dell’utente in quanto l’autenticazione viene effettuata solamente se utente, dispositivo, identità e posizione corrispondono. Come già detto, l’accesso è granulare e non coinvolge l’intera rete.
I benefici dello Zero Trust Network Access
Oggigiorno le imprese stanno apprezzando sempre più i vantaggi offerti dal modello ZTNA. Ecco quali sono i più importanti motivi che spingono le società di tutto il mondo ad abbracciare un approccio di questo tipo:
- Migliore esperienza utente: grazie allo ZTNA, il traffico utenti non soffre il backhauling verso il data center e gli utenti possono quindi avere accesso diretto all’applicazione molto rapidamente;
- Scalabilità più agevole: i servizi cloud ZTNA rendono più facile la scalabilità e le organizzazioni usufruiscono esclusivamente delle licenze aggiuntive;
- Velocità di distribuzione: diversamente da altre soluzioni che a volte richiedono settimane o mesi per la distribuzione, lo ZTNA viene distribuito da qualunque luogo e in pochi giorni;
- Invisibilità dell’infrastruttura: con lo ZTNA gli utenti accedono alle applicazioni senza collegamento alla rete aziendale. In questo modo si riducono i rischi per la rete locale, rendendo l’intera infrastruttura del tutto invisibile;
- Maggiore gestione e controllo: coordinare le soluzioni ZTNA è semplice, grazie ad un portale centralizzato con controlli ad hoc e granulari che consente di verificare le attività degli utenti e delle varie applicazioni, creando policy di accesso per singoli utenti o gruppi.
Come implementare lo Zero Trust Network Access
Per poter implementare lo ZTNA ci sono principalmente due metodi, uno basato su agente e l’altro su servizio.
Con lo ZTNA basato su agente viene installato un agente su un dispositivo autorizzato che invia dati sul contesto di sicurezza del device a un controller. Il contesto di solito comprende elementi quali data, ora, posizione geografica e altre informazioni come la presenza o meno di malware.
Il controller darà poi l’input all’utente del dispositivo per essere autenticato. Dopo che utente e dispositivo sono stati autenticati, il controller garantisce la connettività dal dispositivo attraverso gateway, il quale protegge le applicazioni dagli accessi diretti a Internet o da utenti non autorizzati.
Invece con lo ZTNA basato su servizio un connettore è installato sulla medesima rete dell’applicazione che mantiene una connessione in uscita verso il cloud.
Gli utenti che vogliono accedere all’applicazione sono autenticati da un servizio nel cloud, a cui segue una convalida da un gestore di controllo delle identità, come gli strumenti SSO. Quindi il traffico delle app passa dal cloud del provider che assicura l’isolamento da accesso diretto ed eventuali attacchi esterni.
In tal caso non c’è bisogno di nessun agente sul dispositivo e di tratta di un’ottima scelta per offrire connettività e accesso sicuro alle applicazioni da device non gestiti.