Il successo delle piattaforme cloud e la diffusa adozione dello smart working hanno scatenato una migrazione simultanea di utenti e risorse al di fuori del tradizionale perimetro aziendale. Questo cambiamento ha messo in crisi i tradizionali metodi di controllo degli accessi, basati sull’identificazione dell’indirizzo IP o su specifici segmenti di rete come VPN o DMZ, caratterizzati da un eccessivo grado di fiducia verso gli utenti richiedenti l’accesso.
In questo scenario, emerge un principio fondamentale nel campo della sicurezza informatica: lo Zero Trust Network Access (ZTNA). Quest’approccio nasce dalla necessità di proteggere i servizi e i beni digitali delle aziende. Una filosofia basata sullo Zero Trust Network Access mira a eliminare l’assegnazione di privilegi basati sulla posizione nella rete e ad introdurre sistemi di concessione degli accessi più affidabili e rigorosi. Questa mentalità non riguarda solamente gli utenti, ma coinvolge anche la visibilità delle risorse presenti in rete, spesso eterogenee e difficili da controllare. Ne parliamo in dettaglio in quest’articolo.
ZTNA, di che cosa si tratta?
Lo Zero Trust Network Access (ZTNA) costituisce un approccio moderno per garantire la sicurezza nell’accesso alle applicazioni e ai servizi, sia per gli utenti in ufficio che in mobilità. La sua filosofia operativa è negare l’accesso alle risorse a meno che non sia esplicitamente autorizzato. Questo modello permette di rafforzare la sicurezza della rete e dei dati grazie alla microsegmentazione, che limita la diffusione laterale in caso di violazione.
A differenza delle soluzioni di rete tradizionali basate su VPN, in cui gli utenti autenticati ottengono implicitamente accesso a tutte le risorse nella stessa subnet, ZTNA inverte questo paradigma. Gli utenti possono accedere solo alle applicazioni e alle risorse specificamente consentite dalla politica di sicurezza aziendale.
In pratica, le applicazioni web non sono direttamente esposte; sono protette da uno strato (broker) che verifica l’identità digitale dell’utente utilizzando metodi di autenticazione avanzati come l’autenticazione multi-fattore e valuta il contesto, come il comportamento dell’utente (posizione, tipo di dispositivo, orario di accesso), per prevenire l’accesso non autorizzato.
ZTNA rappresenta l’evoluzione del concetto di Zero Trust security sviluppato negli ultimi anni.
Questa evoluzione è una necessità poiché si basa sull’idea che la fiducia non debba essere concessa solo in base alla posizione all’interno della rete. Il diritto di accesso a ciascuna applicazione dipende da variabili come il ruolo dell’utente, la conformità del dispositivo e il contesto.
Lo ZTNA è un sostituto della VPN?
La tecnologia Zero Trust Network Access (ZTNA) non è necessariamente una sostituzione, ma piuttosto una evoluzione rispetto alle tradizionali Virtual Private Network (VPN).
Mentre le VPN estendono la rete aziendale a utenti remoti creando un tunnel sicuro, ZTNA implementa un modello di sicurezza che verifica l’identità e il contesto di ogni richiesta di accesso, indipendentemente dalla posizione dell’utente. ZTNA e VPN possono coesistere o essere utilizzate in scenari diversi a seconda delle esigenze specifiche di sicurezza e accesso di un’organizzazione.
Come funziona e come si implementa il modello ZTNA?
Per implementare la ZTNA, gli utenti devono autenticarsi per ciascuna applicazione individualmente, invece di ottenere accesso a un’intera rete aziendale dopo una singola autenticazione. Una volta che un utente è autenticato con successo, lo strumento ZTNA crea un tunnel sicuro e crittografato per consentire l’accesso a una specifica risorsa. Questo tunnel opera secondo principi noti come dark cloud, proteggendo l’indirizzo IP dell’utente e limitando la sua visibilità solo alle applicazioni e ai servizi a cui ha autorizzazione di accesso.
Questo approccio ha vantaggi significativi rispetto alla VPN e all’accesso di rete tradizionale.
Nel modello ZTNA, l’organizzazione può applicare politiche di accesso personalizzate basate su criteri avanzati, come la posizione dell’utente o il tipo di dispositivo. Ad esempio, può essere impedito a dispositivi obsoleti o device vulnerabili di connettersi alla rete, e si può richiedere che i dispositivi siano adeguatamente aggiornati prima di ottenere l’accesso.
Inoltre, ZTNA riduce la superficie di attacco, poiché le applicazioni e i servizi non risiedono direttamente sulla rete o su Internet, rendendoli più difficili da scoprire o accedere per utenti non autorizzati. L’accesso di rete è controllato da un trust broker designato, che verifica i diritti di accesso dell’utente prima di concedere l’accesso.
In quali contesti si applica lo ZTNA?
Lo ZTNA si adatta a diversi scenari applicativi.
Di seguito sono elencati alcuni dei più comuni:
- Alternativa alla VPN. Lo ZTNA consente di connettere in modo più sicuro gli utenti mobili e remoti rispetto alle tradizionali VPN. SI tratta di una metodologia più scalabile, offre una politica di sicurezza uniforme ovunque, funziona in un ambiente IT ibrido e offre un accesso più dettagliato.
- Riduzione del rischio dei terzi.
Con lo ZTNA è possibile concedere a contractor, fornitori e altre terze parti l’accesso a specifiche applicazioni interne e nient’altro.
Inoltre, consente di nascondere applicazioni sensibili agli utenti e ai dispositivi non autorizzati. Lo ZTNA può ridurre significativamente il rischio associato alle minacce interne. - Sicura integrazione nelle fusioni e acquisizioni (M&A).
Lo ZTNA riduce e semplifica il tempo e la gestione necessari per garantire una fusione o un’acquisizione di successo e fornisce valore immediato all’azienda.
In conclusione, lo ZTNA deve essere una componente fondamentale di una strategia completa di cyber sicurezza, poiché non è efficace nel contrastare moderni attacchi informatici, come ransomware o attacchi alla supply chain.
Infine, la maggior parte delle soluzioni ZTNA richiede un gateway, simile a quanto viene utilizzato da una VPN. Quest’aspetto richiede una pianificazione accurata per garantire la massima protezione possibile senza introdurre elevate difficoltà nell’esperienza dell’utente, il che potrebbe impedire agli utenti autorizzati di accedere agli strumenti e risorse essenziali per svolgere il loro lavoro.
- Autore articolo
- Ultimi articoli
Sono un giovane italo-tunisino appassionato della camminata. Da piccolo cambiavo sempre il mio tragitto per andare a scuola e nel 2008 mi trasferivo in Italia per iniziare un nuovo cammino.
Questa passione mi ha consentito di raggiungere importanti traguardi formativi, quali il diploma come perito tecnico industriale con il massimo dei voti e la laurea triennale in ingegneria biomedica.
Attualmente, sono uno studente laureando alla magistrale di Biomedical Engineering. Di recente ho vinto l’assegnazione della Cybersecurity Scholarship 2021 – 2022 Cisco.
