Arrivare attraverso il telelavoro a espletare le attività ordinarie da remoto è diventata una necessità, sia per i collaboratori sia per le aziende. Si rende, quindi, necessario dare accesso sicuro ai servizi e agli asset aziendali evitando di esporre le aziende alle minacce cyber. Ed ecco che le stesse aziende si trovano a dover scegliere la soluzione migliore per consentire lo svolgimento delle quotidiane attività lavorative garantendo un monitoraggio continuo delle identità digitali.
Quindi, ecco l’ennesima sfida per l’IT aziendale: meglio adottare una moderna architettura Zero Trust Access Network (ZTNA) o affidarsi a una consolidata tecnologia VPN (Virtual Private Network)?.
Zero Trust Security: cos’è, quali sono i principi cardine e i fondamenti applicativi
Indice degli argomenti
Cosa sono le ZTNA, cenno introduttivo
Zero Trust Network Access o ZTNA è una soluzione di sicurezza che implementa tecniche di sicurezza Zero Trust con autorizzazioni di accesso specifiche dell’applicazione. L’accesso dei lavoratori remoti alle risorse aziendali sarà determinato caso per caso in base a controlli di accesso basati su ruolo e contesto, come indirizzi IP, posizione, gruppi di utenti o ruoli e limiti di tempo.
L’accesso alla rete ZTNA funziona su un modello di fiducia in cui l’ingresso viene assegnato in base alla necessità di determinate risorse. Il collegamento prevede l’accesso diretto a un’applicazione a più livelli isolata dall’architettura per fornire una maggiore sicurezza. L’adozione delle ZTNA è in aumento dall’inizio del 2020 a causa dell’emergere della pandemia. La crescente domanda di forza lavoro remota ha portato all’implementazione di un sistema dinamico di autenticazione e connessione in grado di prevenire minacce sia interne che esterne.
Approcci per implementare il Zero Trust Network Access
Esistono due approcci principali per implementare una Zero Trust Network Access: endpoint e servizio. Come implicano i loro nomi, l’approccio endpoint consente agli utenti di accedere da un dispositivo connesso all’endpoint, come un SDP (Software Defined Perimeter).
Al contrario, l’approccio del servizio impiega un intermediario diretto tra l’utente e l’applicazione di rete. In genere, un provider ZTNA vigilerà l’ingresso all’applicazione aziendale situata in sede o su provider Cloud. Allo stesso modo, le ZTNA vengono offerte in due metodi: ZTNA in autonomia o ZTNA come servizio.
Cosa sono le VPN: breve definizione
Una Virtual Private Network o VPN offre agli utenti remoti la stessa esperienza della connessione diretta a una rete aziendale. Tutti i dati vengono inviati su un canale crittografato dal software client VPN all’endpoint VPN sulla rete aziendale prima di essere instradati a destinazione. Utilizzando soluzioni di sicurezza perimetrali, tutto il traffico aziendale può essere ispezionato indipendentemente dalla sua origine, proteggendo il tutto dalle intercettazioni.
Nello scenario aziendale, le VPN rappresentano l’approccio tradizionale all’accesso remoto alla rete. Inoltre, una VPN ha molteplici implementazioni quando si tratta di utilizzo aziendale. Ad esempio, VPN di accesso remoto o VPN da P2P (peer-to-peer). Inoltre, abbiamo il popolare IPsec e le VPN SSL.
Talvolta l’azienda utilizza persino una VPN MPLS per la propria forza lavoro remota.
Tutte queste implementazioni presentano, però, delle problematiche di sicurezza. Alcuni problemi sono limitati da limiti fisici e altri da metodi di comunicazione. Nonostante tali difficoltà, le VPN hanno sempre dato prestazioni elevate in termini di sicurezza.
Le VPN utilizzano il tradizionale metodo del tunneling per connettere le reti su una rete di comunicazione pubblica. I tunnel funzionano grazie a protocolli di sicurezza come PPTP, IPsec, IKEv2 , L2TP, WireGuard, OpenVPN ed altri. Inoltre, utilizzano criteri di crittografia per proteggere il traffico dati.
Tuttavia, il fascino delle VPN aziendali risiede nel fatto che possono modificare e ridefinire i prodotti di rete circostanti, ad esempio router VPN , gateway e concentratori . Questa serie di fattori rende tutt’oggi le VPN una scelta ancora valida.
Zero Trust, Zero Trust Access e Zero Trust Network Access: le differenze applicative
Quale sicurezza offrono ZTNA e VPN
Una soluzione ZTNA funziona combinando strumenti di automazione della sicurezza con politiche di sicurezza adattive per limitare o concedere l’accesso alla rete di un’azienda. Secondo questo principio, gli utenti hanno accesso solo ai dati e alle applicazioni di cui hanno bisogno in base ai loro ruoli.
Le organizzazioni possono proteggere efficacemente le proprie reti con un processo decisionale sulla sicurezza basato sul rischio e consapevole del contesto fornito dalla ZTNA, che “presuppone che ogni dispositivo o utente sia una potenziale minaccia”.
La sicurezza VPN assume un approccio completamente diverso. I dipendenti o altri collaboratori autorizzati possono connettersi da remoto tramite un tunnel, protetti da firewall in ogni punto di connessione o sul dispositivo stesso.
Per connettere in modo sicuro un utente a Internet dalla sua posizione, i dati vengono crittografati e trasmessi attraverso un tunnel virtuale. La sicurezza ZTNA è dinamica e basata su rischi in tempo reale nell’ambiente di un’azienda, a differenza delle VPN che utilizzano un punto di ingresso centrale per autenticare gli utenti.
La ZTNA o accesso alla rete “zero trust” è stato progettato fin dall’inizio per affrontare le sfide e le limitazioni con la VPN di accesso remoto, offrendo una soluzione migliore per gli utenti ovunque per connettersi in modo sicuro alle applicazioni e ai dati di cui hanno bisogno per svolgere il proprio lavoro, ma niente di più.
Zero Trust Access Network e VPN: le differenze
L’approccio zero trust elimina essenzialmente il concetto del vecchio “perimetro di mura e fossati del castello” a favore di rendere ogni utente, ogni dispositivo e ogni applicazione in rete il proprio perimetro e interconnetterli solo dopo aver convalidato le credenziali, verificato l’integrità del dispositivo e verificato la politica di accesso. Ciò migliora notevolmente la sicurezza, la segmentazione e il controllo.
Un’altra differenza fondamentale nel funzionamento delle ZTNA è che gli utenti non vengono semplicemente lasciati sulla rete con completa libertà di movimento, piuttosto vengono stabiliti singoli tunnel tra l’utente e il gateway specifico per l’applicazione a cui è autorizzato ad accedere e nient’altro, fornendo un livello di micro-segmentazione molto più sicuro.
Questo ha una serie di vantaggi per la sicurezza, il controllo, la visibilità, l’efficienza e le prestazioni. Ad esempio, la VPN di accesso remoto non fornisce informazioni dettagliate sulle applicazioni a cui accedono gli utenti, mentre una ZTNA può fornire lo stato e l’attività in tempo reale per tutte le applicazioni, rivelandosi preziosa per identificare potenziali problemi ed eseguire controlli di licenza e sicurezza.
La micro-segmentazione aggiuntiva fornita dalle ZTNA garantisce che non vi sia alcun movimento laterale dell’accesso del dispositivo o dell’utente tra le risorse sulla rete. Ogni utente, dispositivo e applicazione o risorsa ha letteralmente il proprio perimetro sicuro e non esiste più alcun concetto di fiducia implicita.
Le politiche che impongono l’autorizzazione all’accesso differiscono sia per VPN che per ZTNA. Mentre le VPN forniscono un accesso totale alla rete dopo l’autenticazione, le ZTNA funzionano maggiormente in base alla necessità di sapere, dove il meno meritevole viene deciso in base a una granularità predefinita.
Ciò significa che, una volta autenticato dalla VPN, si può fare tutto ciò che si vuole all’interno della rete impunemente. Tuttavia, con una ZTNA, non vi è alcun accesso a meno che le risorse non lo richiedano (dati, applicazione o servizio). Questo isolamento consente alle ZTNA di fornire una migliore sicurezza.
Il carico sulle VPN è direttamente proporzionale alla quantità di accesso di utenti. Può portare a latenza e a un’elevata domanda di risorse. Allo stesso modo, può rendere inabile la rete. Tuttavia, l’utilizzo delle risorse nelle ZTNA è mite. Ciò è dovuto al comportamento ossequioso del modello di fiducia, che limita l’accesso e quindi il carico sulla rete.
Un sistema ZTNA è noto per essere flessibile e agile, l’opposto delle VPN. Le ZTNA possono essere adattabili perché l’accesso è soggetto al caso specifico, mentre le VPN sono rigide poiché non possono distinguere tra diverse richieste di accesso. Inoltre, una volta che l’utente ottiene l’accesso, la VPN è soggetta a esposizione da parte di fattori interni.
Le VPN non possono monitorare su scala applicativa perché una volta che un utente è all’interno della rete, non ha alcun controllo sulle sue azioni. Tuttavia, una ZTNA funziona esattamente nello spettro opposto. Registra ogni azione dell’utente e fornisce capacità di visibilità e monitoraggio approfondite. Inoltre, i log possono essere soggetti agli strumenti SIEM (Security information and event management) per la visibilità centralizzata e in tempo reale delle attività e delle minacce degli utenti.
Le VPN non possono tenere conto dei rischi associati ai dispositivi endpoint. Un dispositivo compromesso o infetto da malware può connettersi facilmente al server e accedere alla rete interna. Tuttavia, non è un problema per una ZTNA in quanto esegue una valutazione pianificata e continua dei dispositivi in arrivo. La ZTNA esegue una richiesta di autenticazione con il dispositivo per convalidare le sue posizioni di sicurezza, tuttavia, questa convalida è soggetta all’attendibilità del dispositivo in tempo reale.
La maggior parte delle VPN tradizionali non è in grado di gestire lo scenario della forza lavoro sempre più distribuita. Concettualmente, le VPN si basano su posizioni fisiche per fornire l’accesso remoto a una rete (VPN da sito a sito). Inoltre, il backtracking di ogni connessione utente tramite un hub VPN centralizzato crea problemi di larghezza di banda che si traducono in un sovraccarico.
Invece, gli utenti ZTNA possono stabilire un canale diretto all’applicazione, rinunciando del tutto alla rete. Ciò ridurrà al minimo il carico su una rete rispetto al ridimensionamento. Le ZTNA possono farlo affidandosi al concetto IaaS (Infrastructure as a Service) dei data center privati per impiegare soluzioni di Cloud computing.
Le VPN sono costose rispetto alla tecnologia ZTNA. Richiedono impianti fisici presso i locali in azienda e sono spesso limitati a locali fisici, inoltre hanno bisogno di hardware per il networking. Sebbene mantenere una VPN sia fattibile, il ridimensionamento è spesso costoso, tuttavia una ZTNA elimina qualsiasi necessità di hardware. Inoltre, non richiede costosi software client per funzionare.
Le VPN sono virtuali, ma la loro implementazione aziendale è irta di ruoli specifici per l’hardware. Ciò si applica sia ai dispositivi di rete che all’hardware in loco che fornisce l’accesso alle risorse di rete. Il sentore degli utenti conferma che il massimo che si può ottenere da una VPN si trova nelle mani di un hardware specifico. Anche uno ZTNA può essere configurato allo stesso modo, ma invece di un approccio incentrato sull’hardware, utilizzando servizi di Cloud computing, risparmia sui costi e lascia spazio alla crescita.
Zero Trust Network Access e VPN: complessità tecnologica
Per fornire buone prestazioni ed esperienza all’utente, le organizzazioni che utilizzano VPN per l’accesso remoto devono decidere dove posizionare i gateway VPN.
A causa della loro natura incentrata sull’infrastruttura, le VPN sono limitate in termini di capacità e numero di punti di ingresso per la loro dipendenza dalle appliance. Molte organizzazioni operano all’interno di ambienti Cloud ibridi con centinaia, se non migliaia, di endpoint che si connettono alla rete, rendendo le VPN meno appropriate per ambienti on-premise e reti piatte.
Oltre a regolare il routing, le organizzazioni devono creare regole del firewall o dell’elenco di controllo degli accessi per autorizzare le applicazioni quando utilizzano le VPN.
Sicurezza multilivello, solide informazioni di sicurezza e automazione sono tutte necessarie per gestire questa complessità e questo rischio, sono tutte caratteristiche implicite delle tecnologie ZTNA.
Zero Trust Network Access e VPN: quali prestazioni
Le prestazioni sono un’altra differenza tra ZTNA e VPN. A causa della necessità di eseguire il backhaul del traffico verso un data center aziendale, le VPN hanno spesso connessioni più lente. Come risultato della distanza tra la posizione di un utente e la posizione del server, più lontano sarà l’utente e più lenta sarà la connessione.
Di conseguenza, le applicazioni di lavoro da casa con elevati requisiti di dati, come le videoconferenze e gli spazi di lavoro digitali, possono subire latenze. Le soluzioni ZTNA sono più scalabili delle VPN tradizionali, ma richiedono molto tempo per essere implementate e non sono scalabili quando le esigenze aumentano.
Come risultato della sicurezza basata su VPN, le connessioni non sono trasparenti come con l’approccio “zero trust”, specialmente se sono infette da malware.
Se un utente si connette tramite la propria rete domestica, si trova su una rete Wi-Fi pubblica o se un’azienda desidera fornire un accesso sicuro ai dipendenti di diverse filiali, le VPN forniscono una certa misura di protezione.
L’odierno ambiente delle minacce e la maggiore possibilità di minacce interne possono rendere meno efficace per molte organizzazioni il tradizionale approccio basato sul “castello e sul fossato alla sicurezza”.
C’è un rischio nel concedere l’accesso a ogni utente, anche dopo che il perimetro si estende alle case dei dipendenti e ovunque scelgano di lavorare da remoto. Le organizzazioni devono quindi limitare l’accesso e verificare le identità per rafforzare il proprio livello di sicurezza.
I vantaggi delle ZTNA sulle VPN
La ZTNA si fonda sul principio di zero trust o “non fidarti di nulla, verifica tutto”. Ciò fornisce una sicurezza e una micro-segmentazione significativamente migliori trattando in modo efficace ogni utente e dispositivo come se fosse un unico perimetro e valutando e verificando costantemente identità e integrità per ottenere l’accesso alle applicazioni e ai dati aziendali. Gli utenti hanno accesso solo alle applicazioni e ai dati definiti esplicitamente dalle loro politiche, riducendo il movimento laterale e i rischi che ne derivano.
La ZTNA integra la conformità e l’integrità del dispositivo nelle policy di accesso, offrendo agli utenti la possibilità di escludere sistemi non conformi, infetti o compromessi dall’accesso alle applicazioni e ai dati aziendali ed eliminando un importante vettore di minacce e riducendo il rischio di furto o perdita di dati.
La tecnologia ZTNA è indipendente dalla rete, in grado di funzionare altrettanto bene e in modo sicuro da qualsiasi rete, sia essa domestica, hotel, bar o ufficio. La gestione della connessione è sicura e trasparente indipendentemente da dove si trovano l’utente e il dispositivo, rendendola un’esperienza senza interruzioni indipendentemente da dove l’utente sta lavorando.
Un sistema ZTNA offre un’esperienza dell’utente finale fluida stabilendo automaticamente connessioni sicure su richiesta dietro le quinte quando sono necessarie. La maggior parte degli utenti non sarà nemmeno a conoscenza del tipo di soluzione ZTNA che lo aiuta a proteggere i propri dati.
Una ZTNA può offrire una maggiore visibilità sull’attività delle applicazioni che può essere importante per il monitoraggio dello stato delle applicazioni, la pianificazione della capacità e la gestione e il controllo delle licenze.
Le soluzioni ZTNA sono spesso molto più snelle, pulite e quindi più facili da implementare e da gestire. Possono anche essere più agili in ambienti in rapida evoluzione con utenti che vanno e vengono, rendendo l’amministrazione quotidiana un’attività rapida e indolore e non un tedioso lavoro a tempo pieno.
Conclusione
La valutazione dell’implementazione di una certa tecnologia piuttosto che un’altra deve passare sotto attente valutazioni non solo economiche ma soprattutto, e fondamentalmente, una valutazione sulla cyber security da offrire alla propria azienda.