Negli ultimi anni, il modo di lavorare è cambiato in modo radicale. Le aziende hanno adottato modelli ibridi e distribuiti, con dipendenti, collaboratori e partner che si connettono da sedi diverse, da casa o in mobilità. Aumentano i dispositivi in uso, talvolta anche personali, e parallelamente crescono le superfici di attacco e le minacce, che oggi colpiscono organizzazioni di ogni dimensione.
Come proteggere (preventivamente) l’accesso remoto a dati e applicazioni aziendali, garantendo quel giusto mix tra sicurezza e produttività? La risposta si chiama Zero Trust Network Access (ZTNA).
Il modello Zero Trust sta riscrivendo le regole della sicurezza IT. Una recente ricerca di Research and Markets stima, infatti, che il mercato delle soluzioni ZTNA crescerà con un tasso medio composto del 20,4% fino al 2030. A dire il vero, questo dato non stupisce, se si considera quanto è forte l’esigenza di proteggere l’accesso alle risorse aziendali nell’epoca del lavoro distribuito.
Per comprendere meglio ZTNA, conviene partire dal concetto di Zero Trust. Il National Institute of Standards and Technology (NIST) lo definisce “un paradigma di cybersecurity focalizzato sul principio secondo cui la fiducia (Trust) non è mai concessa implicitamente, ma deve essere valutata di continuo”. In altre parole, la fiducia non è concessa di default, ma va guadagnata e mantenuta continuamente.
Lo Zero Trust Network Access (ZTNA) rappresenta l’applicazione di questo paradigma alle modalità di accesso alla rete e alle risorse aziendali, siano esse on premise, in cloud o in un modello ibrido. Invece di concedere a un utente la possibilità di entrare in rete e muoversi liberamente, magari previo inserimento di un ID e una password, ZTNA adotta un approccio più granulare: l’accesso viene concesso solo alle singole applicazioni o risorse necessarie, e dopo un processo di autenticazione e autorizzazione dinamico e approfondito.
Per decenni, la risposta standard alla necessità di collegarsi da remoto è stata la VPN (Virtual Private Network), una soluzione semplice, diretta e funzionale in un’epoca in cui le risorse IT erano concentrate nel data center e nella rete aziendale.
Come si è visto, oggi lo scenario è molto diverso: le applicazioni non risiedono soltanto on-premise, ma sono distribuite tra cloud e ambienti SaaS. Gli utenti si collegano da diversi device e, cosa tutt’altro che secondaria, i cyber criminali hanno affinato le loro tecniche e sono in grado di sfruttare qualsiasi accesso per muoversi lateralmente nella rete, espandere il proprio raggio d’azione e compromettere dati e applicazioni critiche. In questo contesto, la VPN mostra limiti strutturali:
Adottare un paradigma Zero Trust Network Access significa concedere l’accesso alla rete, alle applicazioni e ai dati solo dopo aver verificato in maniera granulare l’identità dell’utente, l’affidabilità del dispositivo, le autorizzazioni e il contesto di connessione.
Per comprenderne meglio il funzionamento, immaginiamo il percorso di un utente che, da remoto e con il proprio smartphone personale (BYOD), decide di accedere a un applicativo aziendale: ad esempio, ad una piattaforma SaaS dedicata alla forza vendita.
L’utente apre l’applicazione sul proprio smartphone. La richiesta viene intercettata da un broker/controller ZTNA, che acquisisce dal terminale dell’utente tutte le informazioni del caso, gestisce e orchestra l’intero processo di validazione.
Il broker ZTNA acquisisce la richiesta e avvia un processo di validazione lungo due direttrici principali: il controllo del dispositivo e l’autenticazione dell’utente.
A tutto ciò si aggiunge una valutazione attenta del contesto di connessione: luogo da cui parte la richiesta, fascia oraria, rete utilizzata ed eventuali comportamenti anomali. Proprio quest’ultima dimensione, quella dell’analisi comportamentale, introduce l’uso di tecniche di machine learning, capaci di attribuire un indice di rischio a ogni tentativo di accesso e di decidere, in tempo reale, se accettarlo, sottoporlo a ulteriori verifiche o bloccarlo del tutto.
Superata la fase di autenticazione, vengono applicate le policy aziendali basate (solitamente) sul paradigma del role-based access control (RBAC): l’utente può accedere soltanto alle applicazioni e alle funzionalità previste dal suo ruolo.
Il broker stabilisce quindi una connessione cifrata end-to-end tra utente e applicazione autorizzata. Non c’è esposizione della rete interna, né possibilità di esplorare altre risorse: l’accesso è mirato, limitato e invisibile agli utenti non autorizzati.
Una volta garantito l’accesso alle risorse “minime necessarie”, il sistema non si ferma ed effettua un controllo continuo della postura di sicurezza, valutando parametri multipli soprattutto a livello comportamentale. Per esempio, dovessero essere rilevati comportamenti anomali come il tentativo di download massivo di file sensibili o un tentativo di accesso simultaneo da geografie incompatibili, i privilegi di accesso verrebbero immediatamente revocati.
Per implementare un’architettura ZTNA, è necessario che alcuni componenti operino in modo sinergico e integrato.
Adottare ZTNA significa intraprendere un percorso di modernizzazione certamente più complesso rispetto agli approcci tradizionali, ma anche molto più robusto, affidabile e in linea con lo scenario aziendale contemporaneo. Con il giusto partner, le aziende possono superare le difficoltà iniziali e ottenere vantaggi concreti su più livelli:
Ogni accesso viene verificato e monitorato, con drastica riduzione dei rischi di compromissione e di movimento laterale.
L’accesso è limitato alle sole applicazioni autorizzate, senza esposizione dell’intera rete interna.
L’utente raggiunge direttamente le risorse di cui ha bisogno, senza tunnel complessi e con impatto pressoché nullo sulle performance delle applicazioni.
Il modello si adatta facilmente a scenari di lavoro ibrido, che rendono le risorse (umane) più produttive, oltre ad attrarre e trattenere i migliori talenti.
In Kirey, consideriamo la sicurezza un abilitatore di crescita del business. Offriamo ai nostri clienti un ecosistema completo di competenze per proteggere le loro aziende e accompagnarle verso modelli di lavoro moderni e produttivi. In altre parole, ci facciamo carico tanto della modernizzazione infrastrutturale e applicativa quanto della gestione degli inevitabili rischi che ne derivano. L’adozione di un paradigma ZTNA è una delle misure che adottiamo per raggiungere questo obiettivo.
Per saperne di più, e scoprire come avviare insieme un percorso verso la sicurezza nell’era del cloud, contattaci: i nostri esperti sono a tua disposizione.