ZTNA: Acceso a la red de confianza cero

Cos’Γ¨ l’architettura Zero Trust?

Zero Trust Γ¨ diventata una delle parole chiave piΓΉ popolari nel campo della sicurezza della rete. Tuttavia, con tutto il clamore che c’Γ¨, puΓ² diventare difficile separare le chiacchiere del marketing dal valore reale. Fortunatamente, a differenza di molte parole chiave, Zero Trust non Γ¨ un concetto privo di sostanza.

All’inizio di quest’anno il National Cybersecurity Center of Excellence (una parte del National Institute of Standards and Technology del governo degli Stati Uniti) ha pubblicato il progetto Implementing a Zero Trust Architecture, un approccio basato su standard per l’implementazione di un’architettura Zero Trust.

Quindi, qual Γ¨ esattamente la sostanza che sta alla base di Zero Trust e come si possono identificare le soluzioni che soddisfano le esigenze della vostra azienda? Diamo un’occhiata.

Cos’Γ¨ l’architettura della rete Zero Trust? Corso accelerato

In parole povere, Zero Trust si basa su questi principi: applicare controlli di accesso granulari e non fidarsi di alcun endpoint a meno che non sia stato esplicitamente concesso l’accesso a una determinata risorsa. L’architettura rete Zero Trust Γ¨ semplicemente un progetto che implementa i principi di Zero Trust e produce ciΓ² che Γ¨ noto come Zero Trust Network Access (ZTNA).

L’architettura Zero Trust rappresenta un cambiamento fondamentale rispetto alle soluzioni tradizionali “castle-and-moat”, come le appliance VPN basate su Internet per l’accesso remoto alla rete. Con queste soluzioni tradizionali, una volta che un endpoint si autentica, ha accesso a tutto ciΓ² che si trova sullo stesso segmento di rete ed Γ¨ potenzialmente bloccato solo dalla sicurezza a livello di applicazione.

In altre parole, le soluzioni tradizionali si fidavano di tutto ciΓ² che si trovava sulla rete interna per impostazione predefinita. Purtroppo, questo modello non regge bene per le moderne aziende digitali. Il motivo per cui Zero Trust Γ¨ diventata necessaria Γ¨ che le reti aziendali sono cambiate drasticamente nell’ultimo decennio e ancor piΓΉ negli ultimi sei mesi.

Il lavoro a distanza Γ¨ ormai la norma, i dati critici fluiscono da e verso piΓΉ cloud pubblici, il BYOD (Bring Your Own Device) Γ¨ una pratica comune e i perimetri della WAN sono piΓΉ dinamici che mai. CiΓ² significa che le reti aziendali che hanno una superficie di attacco piΓΉ ampia sono fortemente incentivate a prevenire le violazioni e a limitare il tempo di permanenza e i movimenti laterali nel caso in cui si verifichi una violazione. L’architettura Zero Trust consente la microsegmentazione e la creazione di micro-perimetri intorno ai dispositivi per raggiungere questi obiettivi.

Come funziona l’architettura Zero Trust

Sebbene gli strumenti specifici utilizzati per implementare un’architettura Zero Trust possano variare, il progetto “Implementing a Zero Trust Architecture” del National Cybersecurity Center of Excellence definisce quattro funzioni chiave:

Individuare. Comporta l’inventario e la categorizzazione di sistemi, software e altre risorse. Consente di impostare le linee di base per il rilevamento delle anomalie.
Proteggere. Comporta la gestione dell’autenticazione e dell’autorizzazione. La funzione di protezione comprende la verifica e la configurazione delle identitΓ  delle risorse su cui si basa Zero Trust, nonchΓ© il controllo dell’integritΓ  di software, firmware e hardware.
Rilevare. La funzione di rilevamento si occupa di identificare le anomalie e altri eventi di rete. La chiave Γ¨ il monitoraggio continuo in tempo reale per rilevare in modo proattivo le potenziali minacce.
Rispondere. Questa funzione gestisce il contenimento e la mitigazione delle minacce una volta rilevate.

L’architettura Zero Trust abbina queste funzioni a criteri di accesso granulari a livello di applicazione impostati sul rifiuto di default.

Il risultato Γ¨ un flusso di lavoro che in pratica assomiglia a questo:

Gli utenti si autenticano tramite MFA (autenticazione a piΓΉ fattori) su un canale sicuro
L’accesso alle applicazioni specifiche e alle risorse di rete viene concesso in base all’identitΓ  dell’utente
La sessione viene continuamente monitorata per rilevare anomalie o attivitΓ  dannose
La risposta alle minacce avviene in tempo reale quando viene rilevata un’attivitΓ  potenzialmente dannosa
Lo stesso modello generale viene applicato a tutti gli utenti e a tutte le risorse dell’azienda, creando un ambiente in cui Γ¨ possibile una vera e propria microsegmentazione.

Il contributo di SDP e SASE all’architettura Zero Trust

L’SDP (perimetro definito dal software), che viene anche chiamato ZTNA (Zero Trust Network Access), Γ¨ un approccio definito dal software per proteggere l’accesso remoto. L’SDP si basa su un’autenticazione forte dell’utente, su diritti di accesso a livello di applicazione e su una valutazione continua dei rischi durante le sessioni degli utenti. GiΓ  solo con questa descrizione Γ¨ facile capire come SDP renda possibile l’implementazione di un’architettura Zero Trust.

Quando l’SDP fa parte di una piΓΉ ampia piattaforma SASE (Secure Access Service Edge), le aziende ottengono ulteriori vantaggi in termini di sicurezza e prestazioni. L’SDP con SASE elimina la complessitΓ  dell’implementazione di appliance in ogni sede e l’imprevedibilitΓ  che deriva dalla dipendenza dalla rete Internet pubblica come dorsale di rete. Inoltre, con SASE, le funzioni di sicurezza avanzate sono integrate nell’infrastruttura di rete sottostante. In breve, l’SDP come parte di SASE consente all’architettura Zero Trust di raggiungere il suo pieno potenziale. A sua volta, questo semplifica la protezione della forza lavoro remota con ZTNA.

Ad esempio, la piattaforma SASE di Cato implementa Zero Trust e fornisce:

  1. Accesso remoto integrato basato su client o su browser clientless
  2. Autenticazione tramite MFA sicuro
  3. Autorizzazione basata su criteri di accesso a livello di applicazione basate sulle identitΓ  degli utenti
  4. DPI (deep packet inspection) e un motore anti-malware intelligente per una protezione continua contro le minacce
  5. Funzioni di sicurezza avanzate come NGFW (firewall di nuova generazione), IPS (sistema di prevenzione delle intrusioni) e SWG (secure web gateway)
  6. Prestazioni end-to-end ottimizzate per risorse on-premises e cloud
  7. Una piattaforma cloud scalabile distribuita a livello globale e accessibile da tutti gli edge della rete
  8. Una dorsale di rete supportata da oltre 50 PoP (punti di presenza) e uno SLA di tempo di funzionamento del 99,999%

Volete saperne di piΓΉ su SDP, SASE e Architettura Zero Trust?

Se desiderate saperne di piΓΉ su SDP, SASE o sull’Architettura Zero Trust, contattateci oggi stesso o iscrivetevi per ottenere una demo della piattaforma SASE di Cato. Se volete saperne di piΓΉ su come realizzare un approccio sicuro e moderno al lavoro da remoto per l’azienda, scaricate il nostro e-book Work from Anywhere for Everyone. In alternativa, per scoprire quanto sia facile configurare la vostra organizzazione con ZTNA, guardate la nostra demo su come configurare ZTNA.