ZTNA: Zero Trust Network Access

Soluzioni Zero Trust: 5 categorie di soluzioni e come scegliere

Cosa sono le soluzioni Zero Trust?

Le soluzioni Zero Trust sono kit di sicurezza che incorporano controlli di accesso alla rete e misure di sicurezza per implementare il principio di Zero Trust, che considera tutti gli utenti e le entità come potenzialmente dannosi finché non si dimostra che sono sicuri. Implementare reti Zero Trust spesso richiede alle organizzazioni di combinare più strumenti e processi.

Le soluzioni di sicurezza Zero Trust offrono una serie di funzioni di sicurezza e monitoraggio che proteggono la rete dalle violazioni della sicurezza. Ad esempio, una soluzione di sicurezza Zero Trust combina più processi per l’autenticazione di un utente, offrendo misure di sicurezza aggiuntive come la gestione di più reti, la segmentazione e il monitoraggio.

5 categorie di soluzioni Zero Trust

Zero Trust non è una tecnologia, ma un paradigma di sicurezza. Ciò significa che molte tecnologie esistenti possono essere utilizzate per implementare un’architettura Zero Trust. Inoltre, stanno emergendo nuove categorie di soluzioni costruite da zero per un modello di sicurezza Zero Trust.

1. Autenticazione a più fattori (MFA) e single sign on (SSO)

Una parte importante di un’implementazione Zero Trust è garantire che la fiducia non si basi sul segmento di rete in cui opera l’utente, ma sulla verifica esplicita dell’identità. Inoltre, nomi utente e password possono essere facilmente compromessi dagli aggressori e non sono più adatti come unica forma di autenticazione. Per abilitare Zero Trust, si può fare leva su:

  • MFA: combina più forme di autenticazione per garantire una solida autenticazione delle identità degli utenti e ridurre l’impatto del furto di credenziali.
  • SSO: consente agli utenti di accedere con un unico set di credenziali a tutte le applicazioni aziendali, in base all’autorizzazione del proprio account. In questo modo si elimina la necessità di utilizzare più password, si consente un controllo centralizzato degli account utente e si rende più conveniente per gli utenti.

2. IAM

Un requisito fondamentale di Zero Trust è la sicurezza basata sull’identità. Questo è alimentato dai sistemi di gestione dell’identità e dell’accesso (IAM), che di solito sono basati sul cloud. Un sistema IAM fornisce funzionalità quali:

  • Gestione del ciclo di vita per utenti interni ed esterni
  • Governance centrale dell’identità
  • Gestione degli accessi privilegiati (PAM)
  • Controlli di accesso basati su ruoli e attributi (RBAC e ABAC)
  • Accesso just-in-time (JIT) che consente al personale di accedere ai sistemi in base alle necessità, consentendo l’accesso in caso di emergenza o di eccezioni

Grazie a queste funzionalità, i moderni sistemi IAM possono aiutarvi a imporre l’accesso con il minimo privilegio in tutta l’organizzazione. È inoltre possibile applicare le autorizzazioni in base all’ora e alla posizione dell’utente per ridurre la superficie di attacco. In questo modo si garantisce che ogni utente, sia esso un dipendente interno, un appaltatore terzo o un cliente, abbia accesso solo ai sistemi e alle operazioni di cui ha effettivamente bisogno per il proprio ruolo.

3. Zero Trust Network Access (ZTNA)

ZTNA, precedentemente noto come perimetro definito dal software (SDP), è una soluzione di accesso avanzata che consente agli utenti di connettersi a un’applicazione solo se ne hanno bisogno per svolgere il proprio ruolo. Le autorizzazioni degli utenti sono definite utilizzando ruoli che corrispondono direttamente al ruolo organizzativo del dipendente.

Una soluzione ZTNA autentica innanzitutto un utente, ne verifica l’identità e lo collega ai ruoli definiti nell’organizzazione. Tutti gli accessi ai sistemi della rete interna passano attraverso il sistema ZTNA. ZTNA consente il passaggio del traffico verso un sistema specifico o blocca l’accesso, a seconda del risultato dell’autenticazione e dei ruoli predeterminati dell’utente.

Le soluzioni ZTNA sostituiscono le reti private virtuali (VPN). Le VPN offrono un modo sicuro per connettersi a una rete, ma consentono agli utenti di accedere all’intera rete e a tutte le sue risorse e la mossa non è compatibile con Zero Trust. ZTNA crea un perimetro basato su software che definisce in modo granulare i data center, gli ambienti e le applicazioni specifiche a cui un utente deve avere accesso.

Per saperne di più, consultate la nostra guida su ZTNA

4. Secure Access Service Edge (SASE)

Secure Access Service Edge (SASE) è un servizio basato sul cloud che fornisce funzionalità di rete ad ampio accesso (WAN), accesso remoto e sicurezza. SASE estende le funzionalità di rete ovunque l’organizzazione operi: nel data center locale e in uno o più cloud pubblici.

SASE è un servizio che racchiude al suo interno diverse soluzioni tecnologiche:

  • ZTNA: descritto sopra.
  • SD-WAN: un’architettura WAN virtuale che migliora l’agilità e riduce i costi per le reti geografiche, sfruttando qualsiasi servizio dati disponibile, compresi MPLS, banda larga e wireless.
  • Firewall as a service (FWaaS): fornisce un firewall gestito ovunque l’organizzazione esegua servizi software.
  • Secure web gateway (SWG): gestisce l’accesso remoto degli utenti.
  • Cloud access security broker (CASB): esegue l’applicazione dei criteri di sicurezza per le risorse on-premises o per gli utenti che accedono al cloud.

Per saperne di più, consultate la nostra guida su SASE

Reti Zero Trust vs. rete privata virtuale (VPN)

Le reti private virtuali (VPN) consentono agli utenti di accedere in remoto a una rete aziendale. Il software client implementato sul dispositivo dell’utente comunica con un server o una appliance VPN nella rete aziendale attraverso un canale crittografato.

Sebbene la VPN consenta di comunicare attraverso un canale sicuro, il suo punto debole è che presuppone che il dispositivo dell’utente sia affidabile. Se l’utente fornisce le credenziali corrette, gli viene consentito l’accesso completo alla rete. Pertanto, se il dispositivo o l’account dell’utente vengono compromessi o se gli aggressori sfruttano una vulnerabilità della VPN, possono muoversi lateralmente attraverso la rete aziendale.

Le VPN non sono compatibili con un modello di sicurezza Zero Trust. Per ottenere Zero Trust, ZTNA sostituisce la VPN, consentendo un accesso granulare alle risorse della rete. Ogni utente può accedere in base al proprio ruolo e al contesto di sicurezza corrente, ad esempio il dispositivo che sta utilizzando e l’ora del giorno. ZTNA autorizza ogni richiesta di accesso, verificando continuamente che gli utenti siano autorizzati ad accedere alle risorse di rete.

Come scegliere le soluzioni Zero Trust?

Per determinare la soluzione Zero Trust più adatta a voi, considerate i seguenti punti chiave:

  • Supporto del fornitore: è necessario installare un agente endpoint e supportare tutti i sistemi operativi e i dispositivi mobili? Monitorare il comportamento dell’agente in presenza di altri agenti e verificare quali dispositivi e sistemi operativi supporta il fornitore.
  • Il tipo di tecnologia Zero Trust: ad esempio un broker ZTNA da installare e gestire o Zero Trust Network Access as a Service (ZTNAaaS).
  • Valutazioni della configurazione della sicurezza: il fornitore consente di valutare la postura di sicurezza dei dispositivi gestiti e non gestiti o è necessario utilizzare uno strumento di gestione unificata degli endpoint (UEM)?
  • Analisi del comportamento di utenti ed entità (UEBA): la soluzione include la funzionalità UEBA per identificare attività sospette all’interno della rete protetta?
  • Distribuzione globale: la diversità geografica dei punti di ingresso e di uscita (cioè le località edge e i POP). Determinare quali sono i provider di edge/infrastrutture fisiche o di ambienti condivisi che utilizza il fornitore.
  • Supporto delle applicazioni tradizionali: determinare se esiste un supporto di sicurezza per le applicazioni tradizionali oltre che per le applicazioni Web.
  • Conformità agli standard del settore: preferite un fornitore che soddisfi standard di sicurezza rigorosi. Un provider Zero Trust dovrebbe avere almeno la certificazione ISO 27001 e preferibilmente dovrebbe soddisfare i requisiti di sicurezza SOC2.
  • Il modello di licenza: controllare il tipo di licenza (ad esempio, per larghezza di banda o per utente) e verificare il protocollo per il superamento dell’utilizzo durante la durata del contratto (ad esempio, se esiste un periodo di grazia, l’obbligo di fornire un pagamento di compensazione o la perdita dell’accesso).