What is ZTNA?
ZTNA è una soluzione di accesso remoto sicuro che implementa i principi di sicurezza zero trust con autorizzazioni specifiche dell'applicazione. Ai lavoratori remoti che richiedono l'accesso alle risorse aziendali verrà concesso l'accesso a risorse specifiche caso per caso, tenendo conto dei controlli di accesso basati sui ruoli e dei dati di autenticazione contestuale, come l'indirizzo IP, la posizione, il gruppo o il ruolo dell'utente e le restrizioni temporali.
Che cos'è una VPN?
Le VPN offrono agli utenti remoti un'esperienza simile a quella di una connessione diretta alla rete aziendale. Il software client VPN e l'endpoint VPN sulla rete aziendale stabiliscono un canale crittografato su cui vengono inviati tutti i dati prima di essere instradati a destinazione. Questo protegge dalle intercettazioni e consente a tutto il traffico aziendale di essere ispezionato dalle soluzioni di sicurezza perimetrali, indipendentemente dalla sua origine.
Limitazioni della VPN
Le VPN sono la scelta tradizionale per l'accesso remoto sicuro, perché funzionano bene con i modelli di sicurezza tradizionali basati sul perimetro. Tuttavia, presentano diversi limiti che li rendono poco adatti alle esigenze di sicurezza dell'azienda moderna, tra cui:
- Sicurezza incentrata sul perimetro: La VPN aiuta a rafforzare il modello di sicurezza tradizionale basato sul perimetro, perché l'utente autenticato ottiene l'accesso completo alla rete aziendale. Ciò consente a un aggressore di muoversi lateralmente attraverso la rete aziendale dopo aver ottenuto l'accesso tramite credenziali VPN compromesse o lo sfruttamento di una vulnerabilità VPN.
- Controlli di accesso a livello di rete: Le VPN implementano i controlli di accesso a livello di rete, senza visibilità o controllo sul livello applicativo. Questo fornisce un accesso eccessivamente permissivo agli utenti, concedendo l'accesso in lettura, scrittura ed esecuzione alle risorse all'interno di diverse applicazioni.
- Nessun supporto cloud: Le VPN sono in genere progettate per fornire un accesso remoto sicuro alla rete aziendale. Spesso, hanno un supporto limitato per le risorse basate sul cloud situate al di fuori del perimetro tradizionale.
- Scarso supporto per i dispositivi BYOD: consentire ai dispositivi BYOD di accedere alla VPN aziendale consente di accedere alle risorse aziendali da endpoint non gestiti e non aziendali. Questo potrebbe consentire al malware o ad altre minacce informatiche di accedere direttamente alla rete aziendale.
Le VPN e l'ascesa dell'approccio Zero Trust
Le VPN sono progettate per la tradizionale strategia di sicurezza incentrata sul perimetro. Tuttavia, questa strategia presenta problemi importanti che, combinati con i limiti delle VPN, hanno ispirato Forrester a creare il modello di sicurezza zero trust.
A differenza della strategia basata sul perimetro, la fiducia zero non concede una fiducia implicita a qualsiasi dispositivo, utente e applicazione all'interno del perimetro di rete tradizionale. Invece, l'accesso alle risorse aziendali viene concesso in base al principio del minimo privilegio, in cui alle entità viene assegnato solo il set minimo di permessi necessari per svolgere il proprio ruolo.
Perché le soluzioni ZTNA sono migliori delle VPN aziendali
Con una strategia di sicurezza a fiducia zero, le VPN non sono più una soluzione di accesso remoto sicuro praticabile. ZTNA offre un'alternativa con diversi vantaggi rispetto alle VPN, tra cui:
- Perimetro di accesso logico: Lo ZTNA implementa il "perimetro" come software anziché come confine fisico della rete. Ciò consente di utilizzare lo ZTNA per la micro-segmentazione e per proteggere le risorse al di fuori del perimetro tradizionale.
- Autorizzazione per richiesta: La ZTNA autorizza individualmente ogni richiesta di accesso. Questo assicura che agli utenti non venga concesso l'accesso a risorse non necessarie per il loro ruolo.
- Dispositivo esterno e supporto all'utente: ZTNA è senza client, eliminando la necessità di installare il software sul dispositivo dell'utente. In questo modo è più facile per i partner esterni e per i dispositivi BYOD connettersi alle risorse aziendali.
- Infrastruttura IT oscurata: ZTNA mostra agli utenti solo le risorse a cui devono accedere. Questo rende più difficile per un attaccante spostarsi lateralmente attraverso la rete o per le risorse aziendali essere prese di mira da attacchi DDoS.
- Gestione dell'accesso a livello di applicazione: ZTNA ha visibilità sul livello dell'applicazione, consentendo alle organizzazioni di gestire le politiche a livello di applicazione, query e comando.
- Visibilità granulare delle attività degli utenti: Autenticando in modo indipendente ogni richiesta dell'utente, ZTNA può costruire un registro di audit SIEM-friendly delle interazioni degli utenti con le applicazioni aziendali e le risorse IT.
Passaggio a ZTNA con Harmony Connect
Oltre ai limiti di sicurezza, le VPN presentano anche problemi di scalabilità e prestazioni. Per le aziende che desiderano aggiornare le loro soluzioni di accesso remoto sicuro e implementare un'architettura a fiducia zero, ZTNA è una buona alternativa alla VPN aziendale tradizionale.
ZTNA può essere implementato al meglio come parte di una soluzione Secure Access Service Edge(SASE), che combina uno stack completo di sicurezza di rete con funzionalità di ottimizzazione della rete come la Software-Defined WAN (SD-WAN). Implementando SASE, le organizzazioni possono abbandonare i modelli di sicurezza basati sul perimetro per passare a un'architettura zero trust costruita per l'azienda distribuita.
Check Point’s Harmony SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Harmony SASE works and see it in action, request a demo.
Feedback