Zero Trust Network Access (ZTNA): la risposta alle esigenze di sicurezza IT del futuro
A cura di Ricardo Nardini
La ZTNA (Zero Trust Network Access) è una soluzione di sicurezza IT che fornisce accesso remoto sicuro alle applicazioni individualmente, ai dati e ai servizi di un’organizzazione sulla base di criteri di controllo degli accessi strettamente definiti. Nonostante questa tecnologia di accesso sia di gran lunga migliore e preferibile ad altri metodi più “larghi e vulnerabili” la realtà attuale Italiana denota ancora lentezza al cambiamento verso il miglioramento.
Questo atteggiamento probabilmente è dovuto alla poca voglia di adattabilità a nuovi metodi o magari al poco budget disponibile per cambiare intere infrastrutture d’accesso del personale che opera da remoto. E’ probabile che con l’andar del tempo, a livello Europeo cavalcando le normative stringenti del GDPR, ci i orienti verso una legislazione d’obbligo che imponga questo tipo di sicurezza all’accesso dei dati da remoto.
Un altro motivo per il quale si cerca di scartare le ZTNA è il luogo comune che etichetta questa tecnologia come molto lenta rispetto le VPN, questo dato è totalmente falso in quanto gli accessi centralizzati delle VPN fungono da ingorgo per i dati, deprecando le connessioni anche quando le dorsali sono costituite da collegamenti con tecnologie hardware all’avanguardia.
La tecnologia ZTNA differisce dalle reti private virtuali (VPN) in quanto concede l’accesso solo a servizi o applicazioni specifici, mentre le VPN concedono l’accesso a un’intera rete, un segmento o sottoinsieme della rete stessa. Poiché un numero crescente di utenti accede alle risorse da casa o altrove per lo smartworking o lavoro agile, le soluzioni ZTNA possono aiutare a colmare le lacune di connettività sicura che in altre tecnologie e metodi di accesso remoto sono troppo permissive.
Questa è una tecnologia che nel resto del mondo sta progressivamente sostituendo le VPN come metodo più sicuro e scalabile per fornire connettività remota. A differenza delle VPN, la tecnologia ZTNA fornisce un modo scalabile per fornire una connettività sicura senza la necessità di apparecchiature centralizzate.
Quando si utilizza una ZTNA l’accesso ad applicazioni o risorse specifiche viene concesso solo dopo che l’utente si è autenticato al servizio. Una volta autenticato, la ZTNA concede all’utente l’accesso solo all’applicazione specifica attraverso un tunnel crittografato sicuro che fornisce un ulteriore livello di protezione proteggendo gli indirizzi IP di applicazioni e servizi che sarebbero altrimenti esposti, accessibili e visibili.
In questo modo, le ZTNA si comportano in maniera simile agli SDP (software defined perimeter) e si basano sulla stessa idea di “nuvola oscura” per impedire agli utenti di avere visibilità su altre applicazioni e servizi di cui non dispongono autorizzazione. Ciò offre anche protezione contro gli attacchi laterali, poiché anche se un utente malintenzionato dovesse ottenere l’accesso, non sarebbe in grado di eseguire metodi di scansione per individuare altri servizi attaccabili.
Cerchiamo di capire i punti chiavi di un’architettura Zero Trust
Prima definiamo tre concetti basici per comprendere meglio la tematica: Policy Engine (PE): è responsabile della decisione di concedere o negare l’accesso a una risorsa. Di solito prende la decisione in base alla politica aziendale, ma riceve anche informazioni da fonti esterne (inclusi sistemi CDM, servizi di intelligence sulle minacce) e dall’algoritmo di fiducia. Una volta presa la decisione, questa viene registrata e il gestore delle politiche esegue l’azione.
Policy Administrator (PA): è responsabile di stabilire o chiudere il percorso di comunicazione tra un richiedente (una persona o una macchina) e la risorsa (dati, servizio o applicazione). La PA può generare l’autenticazione specifica della sessione (o utilizzare token, credenziali o password) come parte del proprio processo. Se una richiesta viene accolta, la PA configura il Policy Enforcement Point (PEP) per consentire l’avvio della sessione. Se una richiesta viene negata, la PA ordina al PEP di chiudere la connessione.
Policy Enforcement Point (PEP): abilita, monitora e infine termina le connessioni tra un richiedente e la risorsa. Contatta la PA per inoltrare le richieste e per ricevere gli aggiornamenti delle politiche della PA.
A parte alcuni dei problemi di migrazione associati al passaggio dalla fiducia implicita a Zero Trust, ci sono altri problemi che i responsabili della sicurezza devono considerare. Innanzitutto, i componenti PE e PA devono essere configurati e mantenuti correttamente. Un amministratore aziendale con accesso alla configurazione delle regole PE potrebbe apportare modifiche o errori non approvati che possono interrompere le operazioni. A sua volta una PA compromessa potrebbe consentire l’accesso a risorse altrimenti non approvate. Questi componenti devono essere configurati e monitorati correttamente e qualsiasi modifica deve essere registrata e verificata.
Inoltre, poiché la PA e il PEP prendono decisioni per tutte le richieste di accesso alle risorse, questi componenti sono vulnerabili agli attacchi di Denial of Service. Qualsiasi interruzione del processo decisionale potrebbe influire negativamente sulle operazioni di un’azienda. L’applicazione delle policy può risiedere in un ambiente Cloud adeguatamente protetto o essere replicata in posizioni diverse per contribuire a ridurre questa minaccia, ma non la elimina completamente.
Oltretutto, credenziali rubate e dipendenti malintenzionati possono danneggiare le risorse di un’azienda. Tuttavia, un’architettura Zero Trust adeguatamente sviluppata e implementata limiterebbe danni di questo tipo, poiché i sistemi sarebbero in grado di capire chi ha effettuato la richiesta e se è corretta. Ad esempio, i sistemi di monitoraggio potrebbero rilevare se le credenziali rubate di un collaboratore aziendale tentano improvvisamente di accedere a un database di numeri di carte di credito, cosa normalmente inconsueta.
Infine, i responsabili della sicurezza devono garantire che l’adozione di una strategia Zero Trust non
comporti un grave affaticamento della sicurezza, in cui agli utenti vengono costantemente richieste
credenziali, password e controlli delle patch del sistema operativo che finiscono per influire negativamente sulla produttività demotivando l’organico. In questo caso, è necessario trovare un equilibrio tra la capacità dei dipendenti, collaboratori e consulenti di svolgere il proprio lavoro e garantire
la produttività.
Oggi a livello Europeo si guarda alla sicurezza dei dati come traguardo urgente da raggiungere e applicare da subito, per l’Italia è tempo di cambiare in meglio e adeguarsi implementando sistemi all’avanguardia per aumentare sicurezza e credibilità propria sul mercato.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Specialista elettronico in telecomunicazioni, si dedicò all'informatica dal 1987. Prestò servizio per Ericsson, Harris e Nokia. Negli anni novanta ha lavorato per clienti come Agusta, Siai Marchetti, e per Euratom (JRC) Ispra. Negli anni 2000 era IT di secondo livello presso Vodafone. Lavorò per otto anni su sistemi AS400 presso Intesasanpaolo. Attualmente è un IT System Specialist, e si occupa anche esternamente di problematiche inerenti il perimetro della sicurezza informatica e la cybersecurity.
