ZTNA - Cos'è e perché lo vuole?

L'abbreviazione ZTNA sta per Zero Trust Network Access. Si chiama anche perimetro definito dal software o SDP. Garantisce l'accesso sicuro alle applicazioni private senza consentire all'utente di accedere alla rete aziendale.

Perché le aziende vogliono uno ZTNA?

Tutto si sta spostando nel cloud e sempre più dati sensibili vengono archiviati in questo cloud. In passato, era possibile proteggere una rete assicurando la connessione a Internet con un firewall. Oggi gli utenti lavorano da casa o in viaggio e i dati stessi possono trovarsi in ufficio o essere archiviati in un'applicazione cloud. Di conseguenza, un semplice firewall come guardiano digitale non è più sufficiente.

Gli attacchi esterni e le minacce interne aumentano ogni giorno. Questi attacchi e minacce hanno aumentato la consapevolezza della sicurezza in tutti i settori e gli investimenti in sicurezza sono in crescita. Tuttavia, l'effetto della sicurezza non è così soddisfacente: un incidente di sicurezza dopo l'altro viene alla luce. La ZTNA è un must se un'organizzazione nel suo complesso deve essere protetta in modo adeguato, ovunque si trovino gli utenti e i dati.

L'architettura di rete a fiducia zero ha creato un perimetro dinamico, basato sull'identità digitale, con quattro importanti proprietà:

• Accesso basato sull'identità
• Accesso sicuro a file e applicazioni
• Valutazione continua dell'utente e del suo accesso nel corso della giornata
• Forte controllo degli accessi

La fiducia è il problema

La causa principale del fallimento dell'architettura di sicurezza tradizionale è la fiducia. La base fondamentale della sicurezza è la gestione dei rischi, questi rischi sono strettamente legati alle “falle”. L'architettura di sicurezza di rete tradizionale basata sul perimetro presuppone che le persone e i dispositivi della rete interna siano affidabili, motivo per cui la strategia di sicurezza si concentra sulla costruzione delle pareti digitali dell'azienda. Ma ci sono una serie di presupposti che si devono sempre fare:

• Ci sono sempre punti deboli non scoperti nei sistemi di rete.
• Ci sono sempre delle falle scoperte ma non ancora patchate nel sistema.
• Un hacker può sempre aver preso attivamente il controllo dell'organizzazione e dei sistemi.
• Gli insider sono sempre inaffidabili

Questi quattro presupposti annullano i metodi tecnici della sicurezza di rete tradizionale, segmentando la rete e costruendo muri. Annullano anche l'abuso di fiducia nell'ambito dell'architettura di sicurezza perimetrale. Inoltre, l'architettura e le soluzioni di sicurezza basate sul perimetro sono difficili da affrontare con le minacce di rete di oggi.

Creazione di un'architettura a fiducia zero

È necessaria una nuova architettura di sicurezza di rete per far fronte alla moderna e complessa infrastruttura di rete aziendale. E anche per essere in grado di affrontare le minacce sempre più gravi nella rete. L'architettura a fiducia zero nasce in questo contesto ed è un'evoluzione inevitabile del pensiero e dell'architettura di sicurezza.

Nel libro 'Reti a fiducia zero: Building secure systems in untrusted networks', Evan Gilman e Doug Barth definiscono la fiducia zero come costruita intorno a cinque affermazioni fondamentali:

1. Si suppone che la rete sia sempre ostile
2. Le minacce esterne e interne esistono sempre sulla rete
3. La posizione della rete non è sufficiente per determinare la fiducia in una rete.
4. Ogni dispositivo, ogni utente e ogni flusso di rete è autenticato e autorizzato.
5. La politica deve essere dinamica e calcolata sulla base del maggior numero possibile di fonti di dati.

Nessuna persona/dispositivo/applicazione nella rete aziendale deve essere fidata di default. La base fondamentale della fiducia deve basarsi su un rinnovato controllo degli accessi, utilizzando un'autenticazione e un'autorizzazione adeguate. L'architettura zero trust ha cambiato il meccanismo tradizionale di controllo degli accessi e la sua essenza è un controllo degli accessi affidabile e adattivo basato sull'identità.