Ricardo Nardini : 24 Aprile 2023 08:40
A cura di Ricardo Nardini
La ZTNA (Zero Trust Network Access) è una soluzione di sicurezza IT che fornisce accesso remoto sicuro alle applicazioni individualmente, ai dati e ai servizi di un’organizzazione sulla base di criteri di controllo degli accessi strettamente definiti. Nonostante questa tecnologia di accesso sia di gran lunga migliore e preferibile ad altri metodi più “larghi e vulnerabili” la realtà attuale Italiana denota ancora lentezza al cambiamento verso il miglioramento.
Questo atteggiamento probabilmente è dovuto alla poca voglia di adattabilità a nuovi metodi o magari al poco budget disponibile per cambiare intere infrastrutture d’accesso del personale che opera da remoto. E’ probabile che con l’andar del tempo, a livello Europeo cavalcando le normative stringenti del GDPR, ci i orienti verso una legislazione d’obbligo che imponga questo tipo di sicurezza all’accesso dei dati da remoto.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Un altro motivo per il quale si cerca di scartare le ZTNA è il luogo comune che etichetta questa tecnologia come molto lenta rispetto le VPN, questo dato è totalmente falso in quanto gli accessi centralizzati delle VPN fungono da ingorgo per i dati, deprecando le connessioni anche quando le dorsali sono costituite da collegamenti con tecnologie hardware all’avanguardia.
La tecnologia ZTNA differisce dalle reti private virtuali (VPN) in quanto concede l’accesso solo a servizi o applicazioni specifici, mentre le VPN concedono l’accesso a un’intera rete, un segmento o sottoinsieme della rete stessa. Poiché un numero crescente di utenti accede alle risorse da casa o altrove per lo smartworking o lavoro agile, le soluzioni ZTNA possono aiutare a colmare le lacune di connettività sicura che in altre tecnologie e metodi di accesso remoto sono troppo permissive.
Questa è una tecnologia che nel resto del mondo sta progressivamente sostituendo le VPN come metodo più sicuro e scalabile per fornire connettività remota. A differenza delle VPN, la tecnologia ZTNA fornisce un modo scalabile per fornire una connettività sicura senza la necessità di apparecchiature centralizzate.
Quando si utilizza una ZTNA l’accesso ad applicazioni o risorse specifiche viene concesso solo dopo che l’utente si è autenticato al servizio. Una volta autenticato, la ZTNA concede all’utente l’accesso solo all’applicazione specifica attraverso un tunnel crittografato sicuro che fornisce un ulteriore livello di protezione proteggendo gli indirizzi IP di applicazioni e servizi che sarebbero altrimenti esposti, accessibili e visibili.
In questo modo, le ZTNA si comportano in maniera simile agli SDP (software defined perimeter) e si basano sulla stessa idea di “nuvola oscura” per impedire agli utenti di avere visibilità su altre applicazioni e servizi di cui non dispongono autorizzazione. Ciò offre anche protezione contro gli attacchi laterali, poiché anche se un utente malintenzionato dovesse ottenere l’accesso, non sarebbe in grado di eseguire metodi di scansione per individuare altri servizi attaccabili.
Prima definiamo tre concetti basici per comprendere meglio la tematica: Policy Engine (PE): è responsabile della decisione di concedere o negare l’accesso a una risorsa. Di solito prende la decisione in base alla politica aziendale, ma riceve anche informazioni da fonti esterne (inclusi sistemi CDM, servizi di intelligence sulle minacce) e dall’algoritmo di fiducia. Una volta presa la decisione, questa viene registrata e il gestore delle politiche esegue l’azione.
Policy Administrator (PA): è responsabile di stabilire o chiudere il percorso di comunicazione tra un richiedente (una persona o una macchina) e la risorsa (dati, servizio o applicazione). La PA può generare l’autenticazione specifica della sessione (o utilizzare token, credenziali o password) come parte del proprio processo. Se una richiesta viene accolta, la PA configura il Policy Enforcement Point (PEP) per consentire l’avvio della sessione. Se una richiesta viene negata, la PA ordina al PEP di chiudere la connessione.
Policy Enforcement Point (PEP): abilita, monitora e infine termina le connessioni tra un richiedente e la risorsa. Contatta la PA per inoltrare le richieste e per ricevere gli aggiornamenti delle politiche della PA.
A parte alcuni dei problemi di migrazione associati al passaggio dalla fiducia implicita a Zero Trust, ci sono altri problemi che i responsabili della sicurezza devono considerare. Innanzitutto, i componenti PE e PA devono essere configurati e mantenuti correttamente. Un amministratore aziendale con accesso alla configurazione delle regole PE potrebbe apportare modifiche o errori non approvati che possono interrompere le operazioni. A sua volta una PA compromessa potrebbe consentire l’accesso a risorse altrimenti non approvate. Questi componenti devono essere configurati e monitorati correttamente e qualsiasi modifica deve essere registrata e verificata.
Inoltre, poiché la PA e il PEP prendono decisioni per tutte le richieste di accesso alle risorse, questi componenti sono vulnerabili agli attacchi di Denial of Service. Qualsiasi interruzione del processo decisionale potrebbe influire negativamente sulle operazioni di un’azienda. L’applicazione delle policy può risiedere in un ambiente Cloud adeguatamente protetto o essere replicata in posizioni diverse per contribuire a ridurre questa minaccia, ma non la elimina completamente.
Oltretutto, credenziali rubate e dipendenti malintenzionati possono danneggiare le risorse di un’azienda. Tuttavia, un’architettura Zero Trust adeguatamente sviluppata e implementata limiterebbe danni di questo tipo, poiché i sistemi sarebbero in grado di capire chi ha effettuato la richiesta e se è corretta. Ad esempio, i sistemi di monitoraggio potrebbero rilevare se le credenziali rubate di un collaboratore aziendale tentano improvvisamente di accedere a un database di numeri di carte di credito, cosa normalmente inconsueta.
Infine, i responsabili della sicurezza devono garantire che l’adozione di una strategia Zero Trust non
comporti un grave affaticamento della sicurezza, in cui agli utenti vengono costantemente richieste
credenziali, password e controlli delle patch del sistema operativo che finiscono per influire negativamente sulla produttività demotivando l’organico. In questo caso, è necessario trovare un equilibrio tra la capacità dei dipendenti, collaboratori e consulenti di svolgere il proprio lavoro e garantire
la produttività.
Oggi a livello Europeo si guarda alla sicurezza dei dati come traguardo urgente da raggiungere e applicare da subito, per l’Italia è tempo di cambiare in meglio e adeguarsi implementando sistemi all’avanguardia per aumentare sicurezza e credibilità propria sul mercato.
Ricardo NardiniSempre più amministrazioni avviano simulazioni di campagne di phishing per misurare la capacità dei propri dipendenti di riconoscere i messaggi sospetti. Quando queste attività coinvolgono struttur...
I criminali informatici non hanno più bisogno di convincere ChatGPT o Claude Code a scrivere malware o script per il furto di dati. Esiste già un’intera classe di modelli linguistici specializzati...
Un gruppo di membri del Parlamento europeo hanno chiesto di abbandonare l’uso interno dei prodotti Microsoft e di passare a soluzioni europee. La loro iniziativa nasce dalle crescenti preoccupazioni...
Ciao a tutti… mi chiamo Marco, ho 37 anni e lavoro come impiegato amministrativo in uno studio commerciale. È la prima volta che parlo davanti a tutti voi e sono un pò emozionato … e vi assicuro...
Il presidente degli Stati Uniti Donald Trump ha firmato un ordine esecutivo, “Launching the Genesis Mission”, che avvia un programma nazionale per l’utilizzo dell’intelligenza artificiale nell...
