ZTNA offre un modo per connettere utenti, applicazioni e dati anche quando non risiedono tutti sulla rete dell'organizzazione: uno scenario sempre più comune negli ambienti multi-cloud di oggi, in cui le applicazioni basate su micro-servizi possono risiedere su più cloud e on-premise. Le organizzazioni moderne devono disporre delle proprie risorse digitali disponibili ovunque, in qualsiasi momento, da qualsiasi dispositivo da una base di utenti distribuita.

ZTNA soddisfa questa esigenza offrendo accesso granulare e sensibile al contesto per le applicazioni business-critical senza dover esporre altri servizi a possibili aggressori.

Il modello ZTNA è stato creato da Gartner per eliminare la concessione di un'eccessiva fiducia ad aziende, collaboratori esterni e altri utenti che necessitano solo di un accesso molto limitato. Il modello esprime il concetto secondo cui nulla deve essere considerato attendibile fino a quando non viene dimostrato tale e, ancora più importante, afferma che l'affidabilità deve essere riautenticata ogni volta che qualcosa nella connessione (posizione, contesto, indirizzo IP, ecc.) cambia.

Esistono numerose differenze tra VPN e ZTNA. In primo luogo, le VPN sono progettate per offrire l'accesso a tutta la rete, mentre ZTNA concede l'accesso a risorse specifiche e richiede frequentemente la riautenticazione.

Le VPN presentano alcuni svantaggi e limiti rispetto all'accesso ZTNA, tra cui:

Utilizzo delle risorse: con l'aumento del numero di utenti da remoto, il carico sulla VPN può portare a una latenza inaspettatamente elevata e richiedere l'aggiunta di nuove risorse alla rete stessa per soddisfare la domanda crescente o i picchi di utilizzo. Ciò può anche mettere a dura prova il personale IT.

Flessibilità e agilità: le VPN non offrono la granularità di ZTNA. Inoltre, potrebbe essere difficile installare e configurare il software VPN su tutti i dispositivi degli utenti finali da collegare alle risorse aziendali. Al contrario, è molto più semplice aggiungere o rimuovere criteri di sicurezza e autorizzazioni in base alle singole e immediate esigenze aziendali. ABAC (controllo degli accessi basato sugli attributi) e RBAC (controllo degli accessi basato sui ruoli) nelle ZTNA semplificano questo compito.

Granularità: una volta all'interno di un perimetro VPN, un utente ottiene l'accesso all'intero sistema. Il modello ZTNA adotta l'approccio opposto, non concedendo alcun accesso a meno che una risorsa (applicazione, dati o servizio) non sia specificamente autorizzata per quell'utente. A differenza delle VPN, l'accesso ZTNA verifica continuamente l'identità in base alla relativa autenticazione. Ogni utente e ogni dispositivo vengono verificati e autenticati prima che venga loro concesso l'accesso ad applicazioni, sistemi o altre risorse specifiche. VPN e ZTNA sono utilizzabili in combinazione tra loro, ad esempio per rafforzare la sicurezza su un segmento di rete particolarmente sensibile, fornendo un layer di sicurezza aggiuntivo in caso di compromissione della VPN.

Esistono due approcci all'implementazione di ZTNA: avvio dall'endpoint e avvio dal servizio. Come suggerisce il nome, in un'architettura di rete zero-trust avviata dall'endpoint l'utente avvia l'accesso a un'applicazione da un dispositivo connesso all'endpoint, in modo simile a un SDP. Un agente installato sul dispositivo comunica con il controller ZTNA, che fornisce l'autenticazione e si connette al servizio desiderato.

Di contro, in una soluzione ZTNA avviata dal servizio la connessione tra l'applicazione e l'utente viene inizializzata da un intermediario. Ciò richiede un connettore ZTNA leggero da posizionare davanti alle applicazioni aziendali situate sia on-premise che presso i cloud provider. Una volta che la connessione in uscita dall'applicazione richiesta ha autenticato l'utente o un'applicazione, il traffico fluirà attraverso il service provider di ZTNA, isolando le applicazioni dall'accesso diretto tramite un proxy. Il vantaggio qui è che non è richiesto alcun agente sui dispositivi degli utenti finali, rendendola così una scelta più appetibile per l'accesso di consulenti o partner con dispositivi non gestiti o BYOD.

Esistono anche due modelli di distribuzione della soluzione Zero Trust Network Access: ZTNA indipendente o ZTNA come servizio. Ecco le principali differenze:

L'approccio di ZTNA indipendente richiede all'organizzazione di distribuire e gestire tutti gli elementi della soluzione ZTNA, che si trova ai margini dell'ambiente (cloud o data center), negoziando connessioni sicure. Anche se si adatta bene alle organizzazioni avverse al cloud, il deployment, la gestione e la manutenzione diventano oneri aggiuntivi.

Con ZTNA come servizio ospitato nel cloud, invece, le organizzazioni sfruttano l'infrastruttura del cloud provider per qualsiasi cosa, dal deployment all'applicazione delle policy. In questo caso l'organizzazione acquisisce semplicemente le licenze utente, distribuisce connettori davanti alle applicazioni protette e consente al cloud provider o vendor ZTNA di fornire connettività, capacità e infrastruttura. Ciò semplifica la gestione e il deployment. Inoltre, il servizio ZTNA fornito nel cloud può garantire che il percorso del traffico ottimale sia selezionato per la latenza più bassa per tutti gli utenti.

Gartner stima che oltre il 90% delle organizzazioni stia implementando ZTNA come servizio.