A cura di Ricardo Nardini
La ZTNA (Zero Trust Network Access) è una soluzione di sicurezza IT che fornisce accesso remoto sicuro alle applicazioni individualmente, ai dati e ai servizi di un’organizzazione sulla base di criteri di controllo degli accessi strettamente definiti. Nonostante questa tecnologia di accesso sia di gran lunga migliore e preferibile ad altri metodi più “larghi e vulnerabili” la realtà attuale Italiana denota ancora lentezza al cambiamento verso il miglioramento.
Questo atteggiamento probabilmente è dovuto alla poca voglia di adattabilità a nuovi metodi o magari al poco budget disponibile per cambiare intere infrastrutture d’accesso del personale che opera da remoto. E’ probabile che con l’andar del tempo, a livello Europeo cavalcando le normative stringenti del GDPR, ci i orienti verso una legislazione d’obbligo che imponga questo tipo di sicurezza all’accesso dei dati da remoto.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Un altro motivo per il quale si cerca di scartare le ZTNA è il luogo comune che etichetta questa tecnologia come molto lenta rispetto le VPN, questo dato è totalmente falso in quanto gli accessi centralizzati delle VPN fungono da ingorgo per i dati, deprecando le connessioni anche quando le dorsali sono costituite da collegamenti con tecnologie hardware all’avanguardia.
La tecnologia ZTNA differisce dalle reti private virtuali (VPN) in quanto concede l’accesso solo a servizi o applicazioni specifici, mentre le VPN concedono l’accesso a un’intera rete, un segmento o sottoinsieme della rete stessa. Poiché un numero crescente di utenti accede alle risorse da casa o altrove per lo smartworking o lavoro agile, le soluzioni ZTNA possono aiutare a colmare le lacune di connettività sicura che in altre tecnologie e metodi di accesso remoto sono troppo permissive.
Questa è una tecnologia che nel resto del mondo sta progressivamente sostituendo le VPN come metodo più sicuro e scalabile per fornire connettività remota. A differenza delle VPN, la tecnologia ZTNA fornisce un modo scalabile per fornire una connettività sicura senza la necessità di apparecchiature centralizzate.
Quando si utilizza una ZTNA l’accesso ad applicazioni o risorse specifiche viene concesso solo dopo che l’utente si è autenticato al servizio. Una volta autenticato, la ZTNA concede all’utente l’accesso solo all’applicazione specifica attraverso un tunnel crittografato sicuro che fornisce un ulteriore livello di protezione proteggendo gli indirizzi IP di applicazioni e servizi che sarebbero altrimenti esposti, accessibili e visibili.
In questo modo, le ZTNA si comportano in maniera simile agli SDP (software defined perimeter) e si basano sulla stessa idea di “nuvola oscura” per impedire agli utenti di avere visibilità su altre applicazioni e servizi di cui non dispongono autorizzazione. Ciò offre anche protezione contro gli attacchi laterali, poiché anche se un utente malintenzionato dovesse ottenere l’accesso, non sarebbe in grado di eseguire metodi di scansione per individuare altri servizi attaccabili.
Prima definiamo tre concetti basici per comprendere meglio la tematica: Policy Engine (PE): è responsabile della decisione di concedere o negare l’accesso a una risorsa. Di solito prende la decisione in base alla politica aziendale, ma riceve anche informazioni da fonti esterne (inclusi sistemi CDM, servizi di intelligence sulle minacce) e dall’algoritmo di fiducia. Una volta presa la decisione, questa viene registrata e il gestore delle politiche esegue l’azione.
Policy Administrator (PA): è responsabile di stabilire o chiudere il percorso di comunicazione tra un richiedente (una persona o una macchina) e la risorsa (dati, servizio o applicazione). La PA può generare l’autenticazione specifica della sessione (o utilizzare token, credenziali o password) come parte del proprio processo. Se una richiesta viene accolta, la PA configura il Policy Enforcement Point (PEP) per consentire l’avvio della sessione. Se una richiesta viene negata, la PA ordina al PEP di chiudere la connessione.
Policy Enforcement Point (PEP): abilita, monitora e infine termina le connessioni tra un richiedente e la risorsa. Contatta la PA per inoltrare le richieste e per ricevere gli aggiornamenti delle politiche della PA.
A parte alcuni dei problemi di migrazione associati al passaggio dalla fiducia implicita a Zero Trust, ci sono altri problemi che i responsabili della sicurezza devono considerare. Innanzitutto, i componenti PE e PA devono essere configurati e mantenuti correttamente. Un amministratore aziendale con accesso alla configurazione delle regole PE potrebbe apportare modifiche o errori non approvati che possono interrompere le operazioni. A sua volta una PA compromessa potrebbe consentire l’accesso a risorse altrimenti non approvate. Questi componenti devono essere configurati e monitorati correttamente e qualsiasi modifica deve essere registrata e verificata.
Inoltre, poiché la PA e il PEP prendono decisioni per tutte le richieste di accesso alle risorse, questi componenti sono vulnerabili agli attacchi di Denial of Service. Qualsiasi interruzione del processo decisionale potrebbe influire negativamente sulle operazioni di un’azienda. L’applicazione delle policy può risiedere in un ambiente Cloud adeguatamente protetto o essere replicata in posizioni diverse per contribuire a ridurre questa minaccia, ma non la elimina completamente.
Oltretutto, credenziali rubate e dipendenti malintenzionati possono danneggiare le risorse di un’azienda. Tuttavia, un’architettura Zero Trust adeguatamente sviluppata e implementata limiterebbe danni di questo tipo, poiché i sistemi sarebbero in grado di capire chi ha effettuato la richiesta e se è corretta. Ad esempio, i sistemi di monitoraggio potrebbero rilevare se le credenziali rubate di un collaboratore aziendale tentano improvvisamente di accedere a un database di numeri di carte di credito, cosa normalmente inconsueta.
Infine, i responsabili della sicurezza devono garantire che l’adozione di una strategia Zero Trust non
comporti un grave affaticamento della sicurezza, in cui agli utenti vengono costantemente richieste
credenziali, password e controlli delle patch del sistema operativo che finiscono per influire negativamente sulla produttività demotivando l’organico. In questo caso, è necessario trovare un equilibrio tra la capacità dei dipendenti, collaboratori e consulenti di svolgere il proprio lavoro e garantire
la produttività.
Oggi a livello Europeo si guarda alla sicurezza dei dati come traguardo urgente da raggiungere e applicare da subito, per l’Italia è tempo di cambiare in meglio e adeguarsi implementando sistemi all’avanguardia per aumentare sicurezza e credibilità propria sul mercato.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cultura
Cybercrime
Cyber Italia
Vulnerabilità
Cultura