Cos'è ZTNA?

ZTNA (Zero Trust Network Access) è una soluzione di sicurezza IT che fornisce accesso remoto sicuro alle applicazioni, ai dati e ai servizi di un'organizzazione in base a criteri di controllo degli accessi chiaramente definiti. ZTNA differisce dalle reti private virtuali (VPN) poiché concede l'accesso solo a servizi o applicazioni specifici, mentre le VPN lo concedono a un'intera rete. Mentre cresce il numero di utenti che accede alle risorse da casa o da qualsiasi altro luogo, le soluzioni ZTNA possono aiutare a eliminare le lacune di altre tecnologie e metodologie di accesso remoto sicuro.

Come adottare un approccio zero-trust

Semplifica il tuo percorso zero-trust

Come funziona ZTNA?

Quando ZTNA è in uso, l'accesso ad applicazioni o risorse specifiche viene concesso solo dopo che l'utente ha effettuato l'autenticazione al servizio ZTNA. ZTNA concede quindi all'utente l'accesso all'applicazione specifica utilizzando un tunnel sicuro e crittografato che offre un ulteriore livello di protezione della sicurezza schermando applicazioni e servizi da indirizzi IP che altrimenti risulterebbero visibili.

Secondo questo approccio, ZTNA agisce in modo molto simile ai perimetri Software-Defined (SDP), contando sulla stessa idea di "dark cloud" per evitare che gli utenti abbiano visibilità su altri servizi e applicazioni a cui non sono autorizzati ad accedere. Ciò offre anche protezione contro gli attacchi laterali, pertanto se un hacker riuscisse ad accedere non sarebbe comunque in grado di individuare altri servizi.

Quali sono i casi d'uso di ZTNA?

Autenticazione e accesso: ZTNA è principalmente utilizzato per fornire un meccanismo di accesso altamente granulare basato sull'identità di un utente. Se l'accesso VPN basato su IP, una volta autorizzato, offre ampio accesso a una rete, ZTNA consente un accesso mirato e granulare ad applicazioni e risorse specifiche. ZTNA può fornire più livelli di sicurezza con criteri di controllo degli accessi specifici per posizione o dispositivo, che possono impedire ai dispositivi indesiderati o compromessi di accedere alle risorse dell'organizzazione. Tale accesso può essere contrastato con alcune VPN che offrono ai dispositivi di proprietà dei dipendenti gli stessi privilegi di accesso concessi agli amministratori locali.

Controllo e visibilità secondo un approccio olistico: poiché ZTNA non ispeziona il traffico degli utenti dopo l'autenticazione, potrebbe verificarsi un problema se un dipendente malintenzionato utilizza il proprio accesso per scopi malevoli o se le credenziali di un utente vengono perse o sottratte. Incorporando ZTNA in una soluzione SASE (Secure Access Service Edge), un'organizzazione può beneficiare della sicurezza, della scalabilità e delle funzionalità di rete necessarie per l'accesso remoto sicuro, nonché del monitoraggio post-connessione per prevenire perdite di dati, azioni dannose o compromissione delle credenziali.

Vantaggi di ZTNA

ZTNA offre un modo per connettere utenti, applicazioni e dati anche quando non risiedono tutti sulla rete dell'organizzazione: uno scenario sempre più comune negli ambienti multi-cloud di oggi, in cui le applicazioni basate su micro-servizi possono risiedere su più cloud e on-premise. Le organizzazioni moderne devono disporre delle proprie risorse digitali disponibili ovunque, in qualsiasi momento, da qualsiasi dispositivo da una base di utenti distribuita.

ZTNA soddisfa questa esigenza offrendo accesso granulare e sensibile al contesto per le applicazioni business-critical senza dover esporre altri servizi a possibili aggressori.

Il modello ZTNA è stato creato da Gartner per eliminare la concessione di un'eccessiva fiducia ad aziende, collaboratori esterni e altri utenti che necessitano solo di un accesso molto limitato. Il modello esprime il concetto secondo cui nulla deve essere considerato attendibile fino a quando non viene dimostrato tale e, ancora più importante, afferma che l'affidabilità deve essere riautenticata ogni volta che qualcosa nella connessione (posizione, contesto, indirizzo IP, ecc.) cambia.

Qual è la differenza tra VPN e ZTNA?

Esistono numerose differenze tra VPN e ZTNA. In primo luogo, le VPN sono progettate per offrire l'accesso a tutta la rete, mentre ZTNA concede l'accesso a risorse specifiche e richiede frequentemente la riautenticazione.

Le VPN presentano alcuni svantaggi e limiti rispetto all'accesso ZTNA, tra cui:

Utilizzo delle risorse: con l'aumento del numero di utenti da remoto, il carico sulla VPN può portare a una latenza inaspettatamente elevata e richiedere l'aggiunta di nuove risorse alla rete stessa per soddisfare la domanda crescente o i picchi di utilizzo. Ciò può anche mettere a dura prova il personale IT.

Flessibilità e agilità: le VPN non offrono la granularità di ZTNA. Inoltre, potrebbe essere difficile installare e configurare il software VPN su tutti i dispositivi degli utenti finali da collegare alle risorse aziendali. Al contrario, è molto più semplice aggiungere o rimuovere criteri di sicurezza e autorizzazioni in base alle singole e immediate esigenze aziendali. ABAC (controllo degli accessi basato sugli attributi) e RBAC (controllo degli accessi basato sui ruoli) nelle ZTNA semplificano questo compito.

Granularità: una volta all'interno di un perimetro VPN, un utente ottiene l'accesso all'intero sistema. Il modello ZTNA adotta l'approccio opposto, non concedendo alcun accesso a meno che una risorsa (applicazione, dati o servizio) non sia specificamente autorizzata per quell'utente. A differenza delle VPN, l'accesso ZTNA verifica continuamente l'identità in base alla relativa autenticazione. Ogni utente e ogni dispositivo vengono verificati e autenticati prima che venga loro concesso l'accesso ad applicazioni, sistemi o altre risorse specifiche. VPN e ZTNA sono utilizzabili in combinazione tra loro, ad esempio per rafforzare la sicurezza su un segmento di rete particolarmente sensibile, fornendo un layer di sicurezza aggiuntivo in caso di compromissione della VPN.

Come si implementa il modello ZTNA?

Esistono due approcci all'implementazione di ZTNA: avvio dall'endpoint e avvio dal servizio. Come suggerisce il nome, in un'architettura di rete zero-trust avviata dall'endpoint l'utente avvia l'accesso a un'applicazione da un dispositivo connesso all'endpoint, in modo simile a un SDP. Un agente installato sul dispositivo comunica con il controller ZTNA, che fornisce l'autenticazione e si connette al servizio desiderato.

Di contro, in una soluzione ZTNA avviata dal servizio la connessione tra l'applicazione e l'utente viene inizializzata da un intermediario. Ciò richiede un connettore ZTNA leggero da posizionare davanti alle applicazioni aziendali situate sia on-premise che presso i cloud provider. Una volta che la connessione in uscita dall'applicazione richiesta ha autenticato l'utente o un'applicazione, il traffico fluirà attraverso il service provider di ZTNA, isolando le applicazioni dall'accesso diretto tramite un proxy. Il vantaggio qui è che non è richiesto alcun agente sui dispositivi degli utenti finali, rendendola così una scelta più appetibile per l'accesso di consulenti o partner con dispositivi non gestiti o BYOD.

Esistono anche due modelli di distribuzione della soluzione Zero Trust Network Access: ZTNA indipendente o ZTNA come servizio. Ecco le principali differenze:

L'approccio di ZTNA indipendente richiede all'organizzazione di distribuire e gestire tutti gli elementi della soluzione ZTNA, che si trova ai margini dell'ambiente (cloud o data center), negoziando connessioni sicure. Anche se si adatta bene alle organizzazioni avverse al cloud, il deployment, la gestione e la manutenzione diventano oneri aggiuntivi.

Con ZTNA come servizio ospitato nel cloud, invece, le organizzazioni sfruttano l'infrastruttura del cloud provider per qualsiasi cosa, dal deployment all'applicazione delle policy. In questo caso l'organizzazione acquisisce semplicemente le licenze utente, distribuisce connettori davanti alle applicazioni protette e consente al cloud provider o vendor ZTNA di fornire connettività, capacità e infrastruttura. Ciò semplifica la gestione e il deployment. Inoltre, il servizio ZTNA fornito nel cloud può garantire che il percorso del traffico ottimale sia selezionato per la latenza più bassa per tutti gli utenti.


Gartner stima che oltre il 90% delle organizzazioni stia implementando ZTNA come servizio.

 

Soluzioni e prodotti correlati

Sicurezza zero-trust semplificata

Proteggi i tuoi dati e le tue app con la verifica continua.

Soluzioni Anywhere Workspace

Consenti ai dipendenti di adottare modalità di lavoro distribuito.