L’adozione sempre più frequente del lavoro ibrido richiede grande attenzione in termini di cybersecurity, e una delle maggiori priorità per le aziende è la sicurezza delle reti. La svolta, in questo senso, è rappresentata dall’adozione del modello Zero Trust per il controllo e la gestione degli accessi. In particolare, per quanto riguarda l’uso della rete aziendale in un ambiente di lavoro distribuito, è fondamentale valutare l’implementazione di un software ZTNA – Zero Trust Network Access, in modo da superare l’obsolescenza delle tradizionali soluzioni VPN.
Indice argomenti:
ZTNA: perché è importante per la sicurezza della rete aziendale
Basandosi sul modello Zero Trust, fondato sul principio never trust, always verify, le soluzioni ZTNA (Zero Trust Network Access) rappresentano uno step importante per garantire una maggiore sicurezza delle reti aziendali in un ambiente di lavoro ibrido.
L’evoluzione del Zero Trust Network Access: da VPN a ZTNA
Il passaggio dalle tradizionali VPN (Virtual Private Network) allo ZTNA (Zero Trust Network Access) rappresenta un cambiamento paradigmatico nella sicurezza delle reti aziendali. Mentre le VPN si basavano sul principio di fiducia implicita una volta stabilita la connessione, lo ZTNA adotta un approccio di never trust, always verify.
Secondo il report Market Guide for Zero Trust Network Access di Gartner, lo ZTNA sta rapidamente sostituendo le VPN per l’accesso alle applicazioni, con una crescita del mercato dell’87% tra il 2021 e il 2022 e una previsione di crescita del 51% tra il 2022 e il 2023. Questo slancio è guidato dalla necessità di supportare il lavoro ibrido e di migliorare la postura di sicurezza complessiva.
Lo ZTNA crea un perimetro logico di accesso basato sull’identità e il contesto, nascondendo le risorse dalla scoperta e limitando l’accesso a un insieme di entità nominate. Ciò riduce significativamente la superficie di attacco e migliora la granularità del controllo degli accessi.
Un aspetto chiave dello ZTNA è la sua capacità di fornire accesso just-in-time e just-enough, concedendo agli utenti solo i privilegi necessari per svolgere i loro compiti specifici. Questo contrasta nettamente con l’approccio “tutto o niente” spesso associato alle VPN.
Inoltre, lo ZTNA offre una migliore esperienza utente, consentendo l’accesso diretto alle applicazioni senza la necessità di connettersi prima a una rete aziendale. Ciò è particolarmente vantaggioso in scenari di multi-cloud e edge computing, dove le risorse possono essere distribuite su vari ambienti.
Secondo il Gartner Hype Cycle for Zero-Trust Networking del 2024, sia SASE che SSE sono considerate tecnologie trasformative con un’adozione mainstream prevista nei prossimi 2-5 anni. SASE integra SD-WAN, ZTNA, firewall as a service (FWaaS), secure web gateway (SWG) e cloud access security broker (CASB) in un’unica piattaforma cloud-native.
Questo approccio unificato offre numerosi vantaggi, tra cui una maggiore agilità, una sicurezza migliorata e costi operativi ridotti. SSE, d’altra parte, si concentra specificamente sulle funzionalità di sicurezza di SASE, includendo ZTNA, SWG, CASB e controllo dell’accesso adattivo. L’adozione di queste architetture è guidata dalla necessità di supportare una forza lavoro sempre più distribuita e di proteggere l’accesso alle applicazioni cloud.
Tuttavia, l’implementazione di SASE e SSE presenta anche delle sfide. Molte organizzazioni faticano a integrare queste nuove architetture con le loro infrastrutture esistenti e a gestire la transizione dai sistemi legacy. Inoltre, la scelta del giusto fornitore può essere complessa, dato il panorama in rapida evoluzione e la mancanza di standardizzazione nell’industria.
ZTNA: come funziona e principali caratteristiche
Come anticipato, il principio fondamentale dei software ZTNA è l’accesso basato su identità e contesto, e non più sull’appartenenza a un’intera rete. Questa caratteristica consente di isolare ogni applicazione interna dalla rete pubblica, per una maggiore sicurezza.
Come funziona, dunque, una soluzione ZTNA? Componente principale di questo tipo di soluzione è un trust blocker. Si tratta di un sistema di sicurezza che valuta le credenziali dell’utente e del dispositivo che intende accedere a un’applicazione ospitata sulla rete aziendale. Una volta verificata l’idoneità, il trust blocker comunica con un gateway vicino all’applicazione e crea la connessione con il dispositivo.
I criteri utilizzati dal trust blocker per la verifica comprendono:
Identità dell’utente
Integrità del dispositivo
Ruolo funzionale
Posizione geografica
Rete utilizzata per l’accesso
Data e ora della richiesta di accesso
Questo approccio consente di standardizzare le policy di sicurezza aziendali, applicando criteri universali indipendentemente dal dispositivo e dal luogo dai quali si effettua l’accesso alla rete.
L’altra caratteristica fondamentale di ZTNA è il controllo continuo e in tempo reale. Esattamente come per la più ampia filosofia Zero Trust, i software ZTNA effettuano verifiche continue sugli accessi alla rete. In questo modo si possono bloccare prontamente eventuali tentativi di intrusione, prima che questi possano causare danni.
Tipologie di ZTNA e relativi vantaggi
L’implementazione di una soluzione ZTNA non si applica con un metodo universale, in quanto esistono diversi approcci a questo tipo di servizio.
Prima di tutto, si distinguono i software ZTNA agent da quelli agentless. Nel primo caso, ogni dispositivo è dotato di un’applicazione con cui poter avviare la richiesta di accesso alla rete. Diversamente, i servizi ZTNA agentless non richiedono l’installazione di software specifici, e sono implementati direttamente all’interno della rete aziendale. Le soluzioni agentless sono gestite tramite cloud.
In entrambi i casi, però, è necessario specificare che si tratta di soluzioni che richiedono sforzi non indifferenti in termini di budget, dato che per implementare una soluzione ZTNA è richiesta un’infrastruttura hardware adeguata all’interno dei data center. Per questo motivo, l’azienda interessata a questa tecnologia può implementare ZTNA in due modi: tramite un servizio ZTNA self-hosted o un servizio ZTNA as-a-service.
ZTNA self-hosted
Con un servizio ZTNA self-hostedl’organizzazione ospita internamente l’hardware necessario all’utilizzo dei servizi ed è responsabile della gestione del software. Si tratta di una soluzione sicuramente vantaggiosa in termini di maggiore capacità di controllo e sicurezza, ma allo stesso tempo costosa per budget, tempo e capacità IT.
ZTNA as-a-service
Optando per una soluzione as-a-service, invece, l’azienda si rivolge a un provider esterno per l’utilizzo dei servizi ZTNA, che vengono forniti tramite cloud. Questo comporta un risparmio notevole, dato che non è necessario acquistare nuovo hardware. Inoltre, l’approccio cloud-native delle soluzioni ZTNA as-a-service aumenta la scalabilità dei servizi. Soprattutto, i servizi as-a-service sono una soluzione perfetta nel momento in cui si valuta la transizione verso l’architettura SASE.
Le migliori soluzioni ZTNA sul mercato
Harmony SASE
Harmony SASE, precedentemente conosciuto come Perimeter 81 ZTNA, è la più recente soluzione offerta da Check Point Software Technologies per la sicurezza della rete aziendale. Si tratta di una soluzione cloud-native, adatta alle organizzazioni che puntano non solo all’adozione di un servizio ZTNA per la gestione degli accessi remoti, ma anche alla transizione verso un’architettura SASE a 360 gradi.
In quanto servizio basato su cloud, Harmony SASE rientra nella categoria ZTNA as-a-service, il che rappresenta un valore aggiunto nel momento in cui un’azienda si vuole approcciare a questa tecnologia senza dover acquistare nuovo hardware. Tra le funzionalità presenti, inoltre, le funzionalità ZTNA di Harmony SASE possono essere implementate sia in maniera agent, sia agentless, in base alle proprie esigenze.
Secondo le recensioni rilasciate dalle organizzazioni che hanno implementato questa soluzione, Harmony SASE gode di una notevole facilità di implementazione e gestione, grazie alla possibilità di integrarsi con sistemi di autenticazione tra i più diffusi. Tra questi, Microsoft 365 e Google Workspace. Il software, inoltre, offre un’interfaccia utente intuitiva e di facile utilizzo.
Viene apprezzato anche il rapporto qualità/prezzo, specialmente per la mancanza di costi accessori rispetto alla licenza per il servizio e per la riduzione delle spese derivanti da riparazioni e interventi sulla rete. Questa caratteristica ha portato Harmony SASE a diventare una soluzione ZTNA molto diffusa nelle PMI.
Cisco Duo
Quando si parla di adozione di un modello di sicurezza Zero Trust, Cisco Duo è una delle piattaforme di riferimento. Rispetto a un più specifico servizio ZTNA, le funzionalità di Cisco Duo puntano a un approccio Zero Trust per tutti i sistemi di autenticazione.
Per l’accesso a tutte le applicazioni aziendali, dunque, Duo applica il modello Zero Trust con un sistema di autenticazione multi-fattore (MFA), gestibile tramite dispositivi token, notifiche push o semplici SMS. Per quanto venga applicato un controllo continuo sui dispositivi e gli utenti che effettuano gli accessi alla rete, Cisco Duo integra un sistema SSO (Single Sign-On) per semplificare il processo di autenticazione.
Come altre soluzioni di questa categoria, Cisco Duo può essere facilmente implementato come piattaforma cloud-native, gestibile tramite interfaccia web per la personalizzazione dei criteri di verifica e per la creazione di report.
Valore aggiunto di questa soluzione è la profonda integrazione nell’ecosistema di servizi Cisco, già ampiamente diffuso in tantissime realtà aziendali. Ciò non si traduce nell’impossibilità di implementare Duo in assenza di altri servizi Cisco. Tuttavia, la presenza di altre soluzioni del fornitore porta notevoli vantaggi in termini di compatibilità e facilità di gestione.
Un ulteriore vantaggio, emerso dalle opinioni degli utenti che hanno optato per questa soluzione, è che Cisco Duo è una piattaforma ZTNA flessibile e scalabile, adattabile facilmente in base a specifiche esigenze e, soprattutto, in base alle dimensioni dell’organizzazione.
Zscaler Private Access
Tra le migliori soluzioni ZTNA basate sul cloud, Zscaler Private Access è annoverata come una delle più complete. Per le organizzazioni che puntano ad aggiornare il perimetro di sicurezza della propria rete, Zscaler Private Access garantisce la stessa facilità d’uso delle tradizionali VPN, ma si basa sul modello di sicurezza Zero Trust per ridurre al minimo l’esposizione ai cyber-attacchi.
Rispetto ad altre proposte in questa categoria, che spesso integrano il servizio ZTNA all’interno di un ampio ecosistema di prodotti, la soluzione di Zscaler permette di fare il primo passo verso una transizione al SASE in maniera graduale. Private Access, infatti, può essere successivamente integrato con il servizio Zscaler Internet Access, con funzioni SD-WAN e Firewall che vanno a completare il “pacchetto SASE”.
Rispetto ad altri servizi ZTNA, ma soprattutto rispetto alle VPN tradizionali, questa soluzione permette un accesso alle applicazioni fino a tre volte più velocemente. Questo indipendentemente dal dispositivo utilizzato o dal luogo in cui si effettua l’accesso.
Un altro aspetto da considerare per Zscaler Private Access è la compatibilità estesa sia con applicazioni legacy on-premise, sia con le più recenti soluzioni cloud-native, tra cui SaaS come Microsoft 365 e Google Workspace, e IaaS come AWS, Microsoft Azure e Google Cloud.
Ndr: questa selezione è basata su analisi di mercato di Gartner e utilizza le opinioni degli utenti provenienti da G2 e PeerSpot.
Verso una strategia zero trust completa: oltre il networking
Mentre lo Zero Trust Network Access (ZTNA) rappresenta un passo significativo verso un modello di sicurezza più robusto, una vera strategia zero trust va ben oltre il networking, abbracciando ogni aspetto dell’infrastruttura IT di un’organizzazione.
Una strategia zero trust completa dovrebbe coprire non solo la rete, ma anche dati, applicazioni, infrastruttura e identità. Questo approccio olistico richiede un cambiamento fondamentale nel modo in cui le organizzazioni pensano alla sicurezza, passando da un modello basato sul perimetro a uno basato sull’identità e sul contesto.
Un elemento chiave di una strategia zero trust completa è la microsegmentazione, che va oltre la segmentazione di rete tradizionale per creare zone di sicurezza più granulari. Secondo Gartner, la microsegmentazione è considerata una tecnologia ad alto impatto con un’adozione mainstream prevista nei prossimi 2-5 anni.
Un altro aspetto cruciale è l’autenticazione continua e adattiva. Invece di autenticare gli utenti una sola volta all’inizio di una sessione, una strategia zero trust richiede una valutazione continua dell’identità e del contesto dell’utente. Questo può includere l’uso di tecnologie come l’autenticazione multi-fattore (MFA) adattiva e l’analisi comportamentale degli utenti, anche con il supporto dell’intelligenza artificiale.
La protezione dei dati è un altro pilastro fondamentale di una strategia zero trust. Ciò include non solo la crittografia dei dati in transito e a riposo, ma anche l’implementazione di controlli di accesso granulari a livello di dati e la classificazione automatica dei dati per garantire che le politiche di sicurezza appropriate siano applicate in base alla sensibilità dei dati.
Le sfide per implementare una strategia zero trust
L’implementazione di una strategia zero trust completa presenta numerose sfide. Una delle principali è la complessità dell’integrazione di varie tecnologie e processi in un framework coerente. Molte organizzazioni faticano a bilanciare la necessità di una sicurezza migliorata con l’esigenza di mantenere l’agilità operativa e una buona esperienza utente.
Inoltre, l’adozione di un approccio zero trust richiede spesso un cambiamento culturale significativo all’interno dell’organizzazione, con una maggiore enfasi sulla collaborazione tra team IT, di sicurezza e di business.
Nonostante queste sfide, i benefici di una strategia zero trust completa sono significativi. Oltre a migliorare la postura di sicurezza complessiva, può anche portare a una maggiore visibilità e controllo sull’infrastruttura IT, una migliore conformità normativa e una maggiore agilità nel supportare nuovi modelli di business e di lavoro.
Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio.
Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.
Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.
ACCETTA
PIÙ OPZIONI
Cookie Center
ACCETTA TUTTO
RIFIUTA TUTTO
Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.
Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.
ACCETTA TUTTO
RIFIUTA TUTTO
COOKIE TECNICI
Strettamente necessari
I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.
COOKIE ANALITICI
I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
COOKIE DI PROFILAZIONE E SOCIAL PLUGIN
I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.
