Zero Trust Network Access (ZTNA) è la tecnologia principale che consente alle organizzazioni di implementare un modello di sicurezza Zero Trust.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Zero Trust Network Access (ZTNA) è la tecnologia che consente di implementare un modello di sicurezza Zero Trust. "Zero Trust" è un modello di sicurezza IT che presuppone che le minacce siano presenti sia all'interno che all'esterno di una rete. Di conseguenza, Zero Trust richiede una verifica rigorosa per ogni utente e ogni dispositivo prima di autorizzarli ad accedere alle risorse interne.
ZTNA è simile all'approccio del perimetro definito dal software (SDP) per il controllo degli accessi. In ZTNA, come in SDP, i dispositivi connessi non sono a conoscenza di alcuna risorsa (applicazioni, server, ecc.) sulla rete, a parte quella a cui sono connessi.
Immagina uno scenario in cui ogni residente riceve un elenco telefonico con i numeri di telefono di ogni altro residente della propria città e chiunque può comporre qualsiasi numero per contattare qualsiasi altra persona. Ora immagina uno scenario in cui tutti hanno un numero di telefono non elencato e un residente deve conoscere il numero di telefono di un altro residente per poterlo chiamare. Questo secondo scenario offre alcuni vantaggi: nessuna chiamata indesiderata, nessuna chiamata accidentale alla persona sbagliata e nessun rischio che persone senza scrupoli utilizzino l'elenco telefonico della città per ingannare o truffare i residenti.
ZTNA è come il secondo scenario. Ma invece dei numeri di telefono, ZTNA utilizza indirizzi IP, applicazioni e servizi "non elencati". Imposta connessioni uno a uno tra gli utenti e le risorse di cui hanno bisogno, come quando due persone che hanno bisogno di parlarsi si scambiano numeri di telefono. Ma a differenza di due persone che si scambiano numeri, le connessioni ZTNA devono essere verificate nuovamente e ricreate periodicamente.
Le reti private virtuali (VPN) sono ciò che molte organizzazioni utilizzano al posto di ZTNA per controllare l'accesso. Una volta che gli utenti hanno effettuato l'accesso a una VPN, ottengono l'accesso all'intera rete e a tutte le risorse su quella rete (questo è spesso chiamato "modello castello e fossato"). ZTNA invece concede l'accesso solo all'applicazione specifica richiesta e nega per impostazione predefinita l'accesso alle altre applicazioni e ai dati.
Le differenze tra ZTNA e VPN sono anche a livello tecnico. Alcune di queste differenze includono:
Infine, le VPN sono imprecise e trattano gli utenti e i dispositivi in gran parte allo stesso modo, indipendentemente da dove si trovino e a cosa debbano accedere. Con l'adozione sempre più diffusa di approcci "bring your own device" (BYOD), consentire questo tipo di accesso è pericoloso, poiché qualsiasi endpoint compromesso da malware può infettare un'intera rete. Per questi motivi, le VPN sono un obiettivo di attacco frequente.
ZTNA è configurato in modo leggermente diverso da ogni organizzazione o fornitore. Tuttavia, vi sono diversi principi di base che rimangono coerenti in tutte le architetture ZTNA:
ZTNA basato su agente richiede l'installazione di un'applicazione software denominata "agente" su tutti gli endpoint.
ZTNA basato su servizio o su cloud è un servizio cloud piuttosto che un'applicazione endpoint. Non richiede l'uso o l'installazione di un agente.
Le organizzazioni che desiderano implementare una filosofia Zero Trust dovrebbero considerare quale tipo di soluzione ZTNA si adatta meglio alle loro esigenze. Ad esempio, se un'organizzazione è preoccupata dal crescente mix di dispositivi gestiti e non gestiti, la soluzione ZTNA basata su agente potrebbe rivelarsi un'opzione efficace. In alternativa, se un'organizzazione si concentra principalmente sul blocco di determinate app basate sul Web, il modello basato sui servizi può essere implementato rapidamente.
Un'altra considerazione è che ZTNA basato sui servizi può integrarsi facilmente con le applicazioni cloud ma non così facilmente con l'infrastruttura in locale. Se tutto il traffico di rete deve passare dai dispositivi endpoint in locale al cloud per poi tornare all'infrastruttura in locale, le prestazioni e l'affidabilità potrebbero risentirne drasticamente.
Specializzazione dei fornitori: poiché la gestione delle identità e degli accessi (IAM), i servizi di rete e la sicurezza di rete sono tradizionalmente tutti settori separati, la maggior parte dei fornitori ZTNA solitamente si specializza in uno di questi settori. Le organizzazioni dovrebbero cercare un fornitore con un'area di specializzazione adatta alle loro esigenze o uno che combini tutte e tre le aree in un'unica soluzione di sicurezza di rete coesa.
Livello di implementazione: alcune organizzazioni potrebbero aver già investito in tecnologie adiacenti per supportare una strategia Zero Trust (ad esempio, IdP o fornitori di servizi di protezione degli endpoint), mentre alcuni potrebbero dover creare l'intera architettura ZTNA da zero. I fornitori ZTNA possono offrire soluzioni mirate per aiutare le organizzazioni a completare le loro implementazioni ZTNA, a creare intere architetture ZTNA o entrambe le cose.
Supporto per le applicazioni tradizionali: molte organizzazioni dispongono ancora di applicazioni tradizionali in locale che sono fondamentali per la loro attività. Poiché funziona su Internet, ZTNA supporta facilmente le applicazioni cloud, ma potrebbe essere necessaria una configurazione aggiuntiva per supportare le applicazioni tradizionali.
Integrazione degli IdP: molte organizzazioni dispongono già di un IdP. Alcuni fornitori di ZTNA lavorano solo con determinati IdP, costringendo i loro clienti a migrare il loro database di identità per utilizzare il loro servizio. Altri sono indipendenti dall'IdP, ovvero possono integrarsi con qualsiasi IdP.
Zero Trust Application Access (ZTAA), detto anche sicurezza delle applicazioni Zero Trust, applica gli stessi principi di ZTNA all'accesso alle applicazioni anziché all'accesso alla rete. Le soluzioni ZTAA verificano l'accesso degli utenti alle applicazioni integrandosi con i provider IdP e SSO, crittografando le connessioni, prendendo in considerazione ogni richiesta di accesso per un'applicazione singolarmente e bloccando o consentendo richiesta per richiesta. ZTAA può essere offerto senza agente tramite il browser o utilizzando un agente endpoint.
Per saperne di più, consulta Sicurezza Zero Trust.
Cloudflare offre una soluzione ZTNA basata sulla rete perimetrale globale Cloudflare per prestazioni veloci. Consulta la pagina della soluzione ZTNA.
Per ulteriori informazioni di base sulla filosofia di Zero Trust, consulta il nostro articolo sulla sicurezza Zero Trust.
Introduzione
Informazioni sulla gestione degli accessi
Informazioni su Zero Trust