ZTNA e remote working, in viaggio verso lo zero trust completo
Indice dell'articolo
Lo Zero-Trust Network Access, in sigla ZTNA, è un approccio alla sicurezza attuale e che fa parte della filosofia zero trust, pur non rappresentandone una totale implementazione, rivolta al controllo degli accessi esterni – ma non solo – a risorse informatiche aziendali.
L’implementazione di una completa architettura di sicurezza zero-trust non è semplicissima e soprattutto è molto articolata. Chi deve imbarcarsi in questo processo, può essere tentato di credere che procurarsi una soluzione ZTNA permetta una completa implementazione di una zero-trust solution, ma le cose purtroppo non stanno così.
ZTNA viene anche spesso considerato come un’alternativa alle VPN, ma anche in questo caso questo paragone è un’interpretazione molto parziale, perché da un lato offre un controllo molto più granulare e affidabile, ma dall’altro non può sostituire le reti private virtuali in tutto e per tutto.
Cerchiamo quindi di approfondire questa tecnologia, cominciando col chiederci perché dovrebbe interessarci, con uno sguardo al mercato. Il rapporto State of Zero Trust di Okta (agosto 2022) ha rivelato che le iniziative zero-trust in EMEA sono cresciute del 24% rispetto al 2021 ed oggi il 45% delle organizzazioni ha in corso un’iniziativa di questo tipo. Inoltre, il 53% delle organizzazioni prevede di iniziare a implementare Zero Trust entro i prossimi 12-18 mesi.
Secondo Forrester, un’organizzazione non può dire in modo credibile di aver implementato lo zero-trust senza aver implementato la gestione delle identità privilegiate e la microsegmentazione, realizzando il Software Defined Perimeter.
Controllo degli accessi alla rete: in principio era la VPN
La VPN, rete privata virtuale, è un meccanismo che maschera l’IP e cifra i dati trasmessi. Viene generalmente usata per collegare al sistema aziendale i dipendenti, ma anche altri sistemi, come per esempio infrastrutture, piattaforme e software aziendali che stanno nel cloud.
La persona o la risorsa che dall’esterno si collega alla rete aziendale con una VPN, risulterà a tutti gli effetti come se fosse direttamente collegata a una presa di rete all’interno degli uffici. Ma questa “presa” è direttamente accessibile da internet. È facile intuire che se qualcosa va storto (le credenziali vengono sottratte al legittimo utente, il concentratore di accesso viene compromesso o altra causa), l’intruso avrà un accesso implicito, ampio e privilegiato, alle risorse interne alla rete aziendale, con la possibilità di portare attacchi devastanti.
Come funziona lo Zero Trust Network Access
Fino a qualche tempo fa i perimetri di sicurezza venivano definiti separando le comunicazioni trusted da quelle untrusted. Oggi questa soluzione non è più sufficiente. I dipendenti accedono a web, cloud e sistema aziendale da luoghi diversi e a qualsiasi ora. In queste condizioni di lavoro, è molto più frequente che un account o un dispositivo vengano compromessi. In caso di compromissione, i dati aziendali sono a rischio.
Autenticazione e autorizzazione richiedono un altro modello e l’approccio zero-trust è ideale: nessun utente, dispositivo o comunicazione è attendibile (da cui la “fiducia zero”) finché non ricevono una verifica positiva. Le verifiche hanno una validità limitata nel tempo e vengono quindi ripetute periodicamente.
L’accesso temporaneo garantito da ZTNA è limitato alle sole applicazioni e ai file di dati. Pertanto, questa soluzione può controllare il percorso dell’utente molto più facilmente e non consente che l’utente autenticato possa vagare per i sistemi aziendali. Ecco in che modo lo “zero trust” riduce significativamente il rischio di movimento laterale all’interno di un’organizzazione attraverso un accesso compromesso.
ZTNA è sicuro anche quando è necessario concedere l’accesso ad applicazioni di terze parti: i dati non devono essere trasferiti al server della sede centrale. Ciò è particolarmente rilevante per le aziende che fanno molto affidamento sulle applicazioni SaaS.
Controllo granulare e continuato
L’enorme numero di differenti accessi di un’azienda competitiva richiede una gestione innovativa che controlli periodicamente le credenziali di ciascuno degli utenti loggati. Questo punto di arrivo, detto zero-trust, non è semplice da implementare, per di più nella crescente complessità che regolano lo scambio di dati tra aree geografiche non omogenee.
Inoltre ciascuna azienda ha una sua suite di prodotti di sicurezza, più o meno compatibili e con un diverso rapporto tra staff e outsourcing. Ancora più complessa è la migrazione dalla situazione di sicurezza attuale ad una effettivamente zero-trust.
Su questo punto si scontreranno competitività e sopravvivenza delle aziende oggi sul mercato.