Chi non si evolve è destinato a soccombere. La massima, valida in natura, è ancora più efficace quando si parla di cyber security e, soprattutto, assume un valore fondamentale in una fase come quella che stiamo attraversando e che vede una radicale trasformazione delle architetture IT, sempre più incentrate sul concetto di identità digitale. Uno dei principi cardine nella nuova declinazione della sicurezza informatica è quella del Zero Trust Network Access.
Un concetto che risponde all’esigenza di mettere in sicurezza i servizi e gli asset digitali delle aziende nel nuovo contesto e che sta progressivamente guadagnando spazio come soluzione tecnologica all’avanguardia per rispondere alle nuove esigenze della cyber security.
Indice degli argomenti
Come il cloud ha cambiato tutto
A rendere necessario un radicale cambio di paradigma nella declinazione della cyber security hanno contribuito, prima di tutto, il successo delle piattaforme cloud e l’adozione di forme di remote working.
Questo spostamento contemporaneo di utenti e risorse al di fuori del tradizionale perimetro aziendale hanno infatti messo in crisi i canoni stessi del sistema di controllo degli accessi. “Le metodologie tradizionali di accesso, basate su identificazione dell’indirizzo IP o di specifici segmenti di rete come VPN o DMZ, consentivano un’eccessiva fiducia a chi effettuava l’accesso” spiega Marco Ceccon, Advisory Practice Director di Lutech. “L’idea per cui tutto ciò che si trova dentro la rete è affidabile, mentre tutto ciò che si trova al di fuori deve essere considerato sospetto e pericoloso non è più adeguata al contesto in cui ci troviamo”.
In altre parole, l’adozione di una filosofia basata su Zero Trust Network Access punta ad azzerare i privilegi legati alla collocazione sul network per introdurre sistemi più affidabili (e rigorosi) per assegnare i privilegi di accesso. Un’attitudine che non ha come oggetto soltanto il lato utente: nel nuovo contesto le problematiche non riguardano soltanto l’utente, ma anche la visibilità delle risorse presenti in rete, che spesso risultano molto eterogene e rischiano di “sfuggire” a qualsiasi forma di controllo.
Zero Trust Network Access: una nuova architettura
La nuova dimensione è quella di un accesso adattivo, che considera il contesto e si basa sulla fiducia e sull’identità.
I dati presi in considerazione sono sia quello del contesto, sia quello della validazione dell’utente, del dispositivo e dell’applicazione a cui l’utente stesso vuole accedere. Con il Zero Trust Network Access, in pratica, le applicazioni non sono esposte direttamente ma sono protette da un layer (broker) che consente di verificare l’identità digitale sia attraverso gli strumenti di autenticazione “forti” come quelli multi-fattore, sia attraverso l’analisi del contesto, come il comportamento dell’utente utente (luogo da cui l’utente si connette, tipo di dispositivo, orario di collegamento) per impedire accessi illeciti.
“ZTNA è l’evoluzione del concetto di Zero Trust sviluppato negli ultimi anni” conferma Alessandro Berta, Manager System Engineering per il nord Italia di Fortinet. “Si tratta di un passaggio obbligato legato all’idea che la fiducia non può essere concessa sulla base del semplice posizionamento all’interno della rete”. La somma di ruolo, compliance del dispositivo e contesto vanno in pratica a definire il diritto all’accesso per ogni singola applicazione a cui l’utente accede.
Si tratta, quindi, di una valutazione continua per ogni sessione, che porta a un livello di sicurezza decisamente superiore rispetto a quello di un semplice approccio Zero Trust.
Modulare l’approccio Zero Trust Network Access
“Da un punto di vista tecnico, l’implementazione di Zero Trust Network Access può avvenire attraverso un’appliance, una macchina virtuale dedicata o a livello SASE” sottolinea Alessandro Berta. “Sul dispositivo dell’utente, invece, l’elemento richiesto è un agent che deve essere distribuito e gestito a livello centralizzato”.
Insomma, la declinazione pratica della filosofia Zero Trust, nelle sfumature che arrivano alla sua ottimizzazione rappresentata da Zero Trust Network Access, richiede un livello di flessibilità che deve considerare anche una valutazione del livello di rischio che si deve affrontare.
“Nell’ottica di chi fa system integration, l’obiettivo di garantire un maggiore livello di sicurezza deve sposarsi necessariamente con le esigenze di business dell’azienda” spiega Marco Ceccon. “Nel contesto attuale, inoltre, è fondamentale fare riferimento ai temi di conformità a leggi, regolamenti e normative generali e proprie di ogni industry”. Nel caso del lavoro in remoto, per esempio, l’installazione di un agent sul dispositivo personale o la fornitura di un device aziendale gestito in maniera centralizzata rimangono due opzioni valide.
La scelta tra l’una e l’altra, così come quelle legate alle modalità pratiche di implementazione all’interno della rete, dipende dal contesto aziendale e dai livelli di integrità, disponibilità e riservatezza che è necessario garantire ai dati acceduti.
Una user experience superiore
Se il “dietro le quinte” del Zero Trust Network Access risulta essere decisamente più elaborato rispetto ai tradizionali sistemi di controllo degli accessi, l’esperienza lato utente è invece estremamente lineare.
Grazie all’intermediazione del broker, infatti, le modalità di accesso a qualsiasi applicazione e risorsa rimangono sempre le stesse, evitando una frammentazione delle modalità di accesso e la necessità per gli utenti di eseguire procedure differenti per ognuna di esse.
Una semplificazione che ha conseguenze estremamente rilevanti anche a livello della sicurezza complessiva dei sistemi: una maggiore linearità e facilità di utilizzo, infatti, riduce il rischio di errore umano, che ancora oggi rappresenta una delle cause più frequenti degli incidenti di sicurezza. Insomma: con l’adozione di sistemi di Zero Trust Network Access è possibile cogliere il doppio obiettivo di semplificare e migliorare la cyber security.
Contributo editoriale sviluppato in collaborazione con Lutech e Fortinet.
