Che cos'è Zero Trust Network Access (ZTNA)?

 

Zero Trust Network Access (ZTNA) è una soluzione di sicurezza IT che fornisce accesso remoto sicuro ad applicazioni, dati e servizi di un'organizzazione in base a criteri di controllo degli accessi chiaramente definiti.

 

ZTNA differisce dalle reti private virtuali (VPN) poiché concede l'accesso solo a servizi o applicazioni specifici, mentre le VPN lo concedono a un'intera rete. Dal momento che un numero sempre crescente di utenti accede alle risorse da casa propria o altrove, le soluzioni ZTNA possono aiutare a eliminare le lacune in altre tecnologie e metodi di accesso remoto sicuro.

 

 

 

Come funziona Zero Trust Network Access?

Quando ZTNA è in uso, l'accesso ad applicazioni o risorse specifiche viene concesso solo dopo che l'utente è stato autenticato al servizio ZTNA.

ZTNA concede quindi all'utente l'accesso all'applicazione specifica utilizzando un tunnel sicuro e crittografato che offre un ulteriore livello di protezione della sicurezza schermando applicazioni e servizi da indirizzi IP che altrimenti risulterebbero visibili.

Zero-trust

SASE & ZTNA for Dummies è una fonte utile per comprendere al volo queste tecnologie

Download gratuito 

Quali sono i casi d'uso di Zero Trust Network Access?

Autenticazione e accesso: l'uso principale di ZTNA è fornire un meccanismo di accesso altamente granulare basato sull'identità di un utente. Se da un lato l'accesso VPN basato su IP, una volta autorizzato, offre ampio accesso a una rete, dall'altro ZTNA offre accesso mirato e granulare ad applicazioni e risorse specifiche. ZTNA può fornire più livelli di sicurezza con criteri di controllo degli accessi specifici per posizione o dispositivo, che possono impedire ai dispositivi indesiderati o compromessi di accedere alle risorse dell'organizzazione. Tale accesso può essere contrastato con alcune VPN che offrono ai dispositivi di proprietà dei dipendenti gli stessi privilegi di accesso concessi agli amministratori locali.

 

Controllo e visibilità olistici: poiché ZTNA non ispeziona il traffico degli utenti dopo l'autenticazione, potrebbe verificarsi un problema se un dipendente malintenzionato utilizza il proprio accesso per scopi nefasti o se le credenziali di un utente vengono perse o rubate. Incorporando ZTNA in una soluzione SASE (Secure Access Service Edge), un'organizzazione può beneficiare della sicurezza, della scalabilità e delle funzionalità di rete necessarie per l'accesso remoto sicuro, nonché del monitoraggio post-connessione per prevenire perdite di dati, azioni dannose o compromissione delle credenziali.

 

 

Vantaggi di Zero Trust Network Access

ZTNA offre un modo per connettere utenti, applicazioni e dati anche quando non risiedono tutti sulla rete dell'organizzazione: uno scenario sempre più comune negli ambienti multi-cloud odierni in cui le applicazioni basate su micro-servizi possono risiedere su più cloud e on-premise. Le organizzazioni moderne devono disporre delle proprie risorse digitali disponibili ovunque, in qualsiasi momento, da qualsiasi dispositivo da una base di utenti distribuita.

 

ZTNA soddisfa questa esigenza offrendo accesso granulare e sensibile al contesto per le applicazioni business-critical senza dover esporre altri servizi a possibili aggressori.

Il modello ZTNA è stato coniato da Gartner per aiutare a eliminare la concessione di un'eccessiva fiducia a datori di lavoro, collaboratori esterni e altri utenti che necessitano solo di un accesso molto limitato. Il modello esprime il concetto secondo cui nulla deve essere considerato attendibile fino a quando non viene dimostrato tale e, più importante ancora, afferma che l'affidabilità deve essere riautenticata ogni volta che qualcosa nella connessione (posizione, contesto, indirizzo IP, ecc.) cambia.

 

 

Qual è la differenza tra VPN e ZTNA?

Vi sono numerose differenze tra VPN e ZTNA. In primo luogo, le VPN sono progettate per offrire l'accesso a tutta la rete, mentre ZTNA concede l'accesso a risorse specifiche e richiede frequentemente la riautenticazione.

 

Alcuni difetti delle VPN rispetto alle ZTNA:
 

Utilizzo delle risorse: con l'aumento del numero di utenti remoti, il carico sulla VPN può portare a una latenza inaspettatamente elevata e può richiedere l'aggiunta di nuove risorse alla VPN per soddisfare la domanda crescente o i picchi di utilizzo. Ciò può anche mettere a dura prova il personale IT.

Flessibilità e agilità: le VPN non offrono la granularità di ZTNA. Inoltre, può risultare difficile installare e configurare il software VPN su tutti i dispositivi degli utenti finali che devono essere collegati alle risorse aziendali. Al contrario, è molto più semplice aggiungere o rimuovere criteri di sicurezza e autorizzazioni in base alle singole e immediate esigenze aziendali. ABAC (controllo degli accessi basato sugli attributi) e RBAC (controllo degli accessi basato sui ruoli) nelle ZTNA semplificano questo compito.

Granularità: una volta all'interno di un perimetro VPN, un utente ottiene l'accesso all'intero sistema. Le ZTNA adottano l'approccio opposto, non concedendo alcun accesso a meno che una risorsa (applicazione, dati o servizio) non sia specificamente autorizzata per quell'utente. A differenza delle VPN, le ZTNA forniscono una verifica continua dell'identità basata sull'autenticazione dell'identità. Ogni utente e ogni dispositivo vengono verificati e autenticati prima che venga loro concesso l'accesso ad applicazioni, sistemi o altre risorse specifiche. VPN e ZTNA sono utilizzabili in combinazione tra loro, ad esempio per rafforzare la sicurezza su un segmento di rete particolarmente sensibile, fornendo un layer di sicurezza aggiuntivo in caso di compromissione della VPN.

 

 

Come si implementa il modello ZTNA?

Esistono due approcci all'implementazione di ZTNA: avvio dall'endpoint e avvio dal servizio. Come suggerisce il nome, in un'architettura di rete zero trust avviata dall'endpoint l'utente avvia l'accesso a un'applicazione da un dispositivo connesso all'endpoint, in modo simile a un SDP. Un agente installato sul dispositivo comunica con il controller ZTNA, che fornisce l'autenticazione e si connette al servizio desiderato.

 

Di contro, in una ZTNA avviata dal servizio la connessione viene avviata da un broker tra l'applicazione e l'utente. Ciò richiede un connettore ZTNA leggero da posizionare davanti alle applicazioni aziendali situate sia on-premise che presso i cloud provider. Una volta che la connessione in uscita dall'applicazione richiesta ha autenticato l'utente o un'applicazione, il traffico fluirà attraverso il service provider di ZTNA, isolando le applicazioni dall'accesso diretto tramite un proxy. Il vantaggio qui è che non è richiesto alcun agente sui dispositivi degli utenti finali, rendendola così una scelta più appetibile per l'accesso di consulenti o partner con dispositivi non gestiti o BYOD.

 

Esistono anche due modelli di consegna di Zero Trust Network Access: ZTNA autonoma o ZTNA come servizio. Ecco le principali differenze:

 

ZTNA autonoma richiede che l'organizzazione distribuisca e gestisca tutti gli elementi della ZTNA, che si trova ai margini dell'ambiente (cloud o data center) per mediare connessioni sicure. Sebbene si adatti bene alle organizzazioni contrarie al cloud, il deployment, la gestione e la manutenzione diventano oneri aggiuntivi.

 

Con la ZTNA come servizio ospitata nel cloud, le organizzazioni possono sfruttare l'infrastruttura del cloud provider per qualsiasi cosa, dal deployment all'applicazione delle policy. In questo caso l'organizzazione acquisisce semplicemente le licenze utente, distribuisce connettori davanti alle applicazioni protette e consente al cloud provider o vendor ZTNA di fornire connettività, capacità e infrastruttura. Questo semplifica la gestione e il deployment, mentre la ZTNA fornita dal cloud può garantire che il percorso del traffico ottimale sia selezionato per la latenza più bassa per tutti gli utenti.


Gartner stima che oltre il 90% delle organizzazioni stia implementando ZTNA come servizio.

Risorse, soluzioni e prodotti VMware correlati per Zero Trust Network Access

VMware SD-WAN

VMware SD-WAN va oltre le basi per offrire una vera e propria soluzione SASE completa che supporta il passaggio delle aziende al cloud.

Sicurezza zero-trust semplificata

Ottieni visibilità e controllo con un approccio intrinseco alla sicurezza zero-trust modulare, che semplifica la protezione dell'intera impronta digitale.

Casi d'uso di VMware SD-WAN Enterprise

Le aziende devono affrontare i costi crescenti della larghezza di banda e le complessità di deployment della rete.

Secure Access Service Edge (SASE)

Secure Access Service Edge (SASE) è la convergenza di cloud networking e cloud security per semplicità, scalabilità, flessibilità e sicurezza pervasiva.

Magic Quadrant di Gartner 2020 per l'infrastruttura edge WAN

Leggi il report Gartner Magic Quadrant 2020 per ulteriori informazioni.

Soluzioni Anywhere Workspace

Consenti ai dipendenti di lavorare ovunque si trovino garantendo esperienze sicure e senza intoppi.