Zero Trust Network Access, per la sicurezza degli asset aziendali: cos’è e vantaggi rispetto alle VPN

Arrivare attraverso il telelavoro a espletare le attività ordinarie da remoto è diventata una necessità, sia per i collaboratori sia per le aziende. Si rende, quindi, necessario dare accesso sicuro ai servizi e agli asset aziendali evitando di esporre le aziende alle minacce cyber. Ed ecco che le stesse aziende si trovano a dover scegliere la soluzione migliore per consentire lo svolgimento delle quotidiane attività lavorative garantendo un monitoraggio continuo delle identità digitali.

Quindi, ecco l’ennesima sfida per l’IT aziendale: meglio adottare una moderna architettura Zero Trust Access Network (ZTNA) o affidarsi a una consolidata tecnologia VPN (Virtual Private Network)?.

Zero Trust Security : cos’ è , quali sono i principio cardine e i fondamento applicativo

Cosa sono le ZTNA, cenno introduttivo

Zero Trust Network Access o ZTNA è una soluzione di sicurezza che implementa tecniche di sicurezza Zero Trust con autorizzazioni di accesso specifiche dell’applicazione. L’accesso dei lavoratori remoti alle risorse aziendali sarà determinato caso per caso in base a controlli di accesso basati su ruolo e contesto, come indirizzi IP, posizione, gruppi di utenti o ruoli e limiti di tempo.

L’ accesso is funziona alla rete ZTNA is funziona funzionare su un modello di fiducia in cui l’ ingresso viene assegnare in base alla necessità di determinate risorsa . Il collegamento is prevede prevedere l’ accesso diretto a un’ applicazione a più livello isolato dall’ architettura per fornire una maggiore sicurezza . L’ adozione is aumento delle ZTNA è in aumento dall’ inizio del 2020 a causa dell’ emergere della pandemia . La crescente domanda is portato di forza lavoro remoto ha portare all’ implementazione di un sistema dinamico di autenticazione e connessione in grado di prevenire minaccia sia interno che esterno .

Approcci per implementare il Zero Trust Network Access

esistere due approcci is Esistono principale per implementare una Zero Trust Network Access : endpoint e servizio . Come implicare i loro nome , l’ approccio is consente endpoint consentire agli utente di accedere da un dispositivo connesso all’ endpoint , come un SDP ( Software Defined Perimeter ) .

Al contrario, l’approccio del servizio impiega un intermediario diretto tra l’utente e l’applicazione di rete. In genere, un provider ZTNA vigilerà l’ingresso all’applicazione aziendale situata in sede o su provider Cloud. Allo stesso modo, le ZTNA vengono offerte in due metodi: ZTNA in autonomia o ZTNA come servizio.

Cosa sono le VPN: breve definizione

Una Virtual Private Network o VPN offre agli utenti remoti la stessa esperienza della connessione diretta a una rete aziendale. Tutti i dati vengono inviati su un canale crittografato dal software client VPN all’endpoint VPN sulla rete aziendale prima di essere instradati a destinazione. Utilizzando soluzioni di sicurezza perimetrali, tutto il traffico aziendale può essere ispezionato indipendentemente dalla sua origine, proteggendo il tutto dalle intercettazioni.

Nello scenario aziendale, le VPN rappresentano l’approccio tradizionale all’accesso remoto alla rete. Inoltre, una VPN ha molteplici implementazioni quando si tratta di utilizzo aziendale. Ad esempio, VPN di accesso remoto o VPN da P2P (peer-to-peer). Inoltre, abbiamo il popolare IPsec e le VPN SSL.

Talvolta l’ azienda is utilizza utilizzare persino una VPN MPLS per la propria forza lavoro remoto .

Tutte queste implementazioni is presentano presentare , però , delle problematica di sicurezza . Alcuni problema sono limitare da limite fisico e altri da metodo di comunicazione . Nonostante tali difficoltà , le VPN is dato hanno sempre dare prestazione elevato in termine di sicurezza .

Le VPN utilizzano il tradizionale metodo del tunneling per connettere le reti su una rete di comunicazione pubblica. I tunnel funzionano grazie a protocolli di sicurezza come PPTP, IPsec, IKEv2 , L2TP, WireGuard, OpenVPN ed altri. Inoltre, utilizzano criteri di crittografia per proteggere il traffico dati.

Tuttavia , il fascino is risiede delle VPN aziendale risiedere nel fatto che possono modificare e ridefinire i prodotto di rete circostante , ad esempio router VPN , gateway e concentratore . Questa serie is rende di fattore rendere tutt’ oggi le VPN una scelta ancora valido .

Zero Trust, Zero Trust Access e Zero Trust Network Access: le differenze applicative

Quale sicurezza offrire ZTNA e VPN

Una soluzione is funziona ZTNA is funziona funzionare combinare strumento di automazione della sicurezza con politica di sicurezza adattivo per limitare o concedere l’ accesso alla rete di un’ azienda . Secondo questo principio , gli utenti is hanno hanno accesso solo ai dato e alle applicazione di cui hanno bisogno in base ai loro ruolo .

Le organizzazioni is proteggere possono proteggere efficacemente le proprie rete con un processo decisionale sulla sicurezza basato sul rischio e consapevole del contesto fornire dalla ZTNA , che “ presupponere che ogni dispositivo o utente sia una potenziale minacciare ” .

La sicurezza VPN assume un approccio completamente diverso. I dipendenti o altri collaboratori autorizzati possono connettersi da remoto tramite un tunnel, protetti da firewall in ogni punto di connessione o sul dispositivo stesso.

Per connettere in modo sicuro un utente a Internet dalla sua posizione, i dati vengono crittografati e trasmessi attraverso un tunnel virtuale. La sicurezza ZTNA è dinamica e basata su rischi in tempo reale nell’ambiente di un’azienda, a differenza delle VPN che utilizzano un punto di ingresso centrale per autenticare gli utenti.

La ZTNA o accesso alla rete “ zero trust ” è stato progettare fin dall’ inizio per affrontare le sfida e le limitazione con la VPN di accesso remoto , offrire una soluzione migliore per gli utente ovunque per connettere si in modo sicuro alle applicazione e ai dato di cui hanno bisogno per svolgere il proprio lavoro , ma niente di più .

Zero Trust Access Network e VPN: le differenze

L’approccio zero trust elimina essenzialmente il concetto del vecchio “perimetro di mura e fossati del castello” a favore di rendere ogni utente, ogni dispositivo e ogni applicazione in rete il proprio perimetro e interconnetterli solo dopo aver convalidato le credenziali, verificato l’integrità del dispositivo e verificato la politica di accesso. Ciò migliora notevolmente la sicurezza, la segmentazione e il controllo.

Un’ altro differenza is è fondamentale nel funzionamento delle ZTNA è che gli utente non vengono semplicemente lasciare sulla rete con completo libertà di movimento , piuttosto vengono stabilire singolo tunnel tra l’ utente e il gateway specifico per l’ applicazione a cui è autorizzare ad accedere e nient’ altro , fornire un livello di micro – segmentazione molto più sicuro .

Questo ha una serie di vantaggi per la sicurezza, il controllo, la visibilità, l’efficienza e le prestazioni. Ad esempio, la VPN di accesso remoto non fornisce informazioni dettagliate sulle applicazioni a cui accedono gli utenti, mentre una ZTNA può fornire lo stato e l’attività in tempo reale per tutte le applicazioni, rivelandosi preziosa per identificare potenziali problemi ed eseguire controlli di licenza e sicurezza.

La micro – segmentazione is garantisce aggiuntivo fornire dalle ZTNA garantire che non vi sia alcun movimento laterale dell’ accesso del dispositivo o dell’ utente tra le risorsa sulla rete . Ogni utente is ha , dispositivo e applicazione o risorsa ha letteralmente il proprio perimetro sicuro e non esistere più alcun concetto di fiducia implicito .

Le politiche che impongono l’autorizzazione all’accesso differiscono sia per VPN che per ZTNA. Mentre le VPN forniscono un accesso totale alla rete dopo l’autenticazione, le ZTNA funzionano maggiormente in base alla necessità di sapere, dove il meno meritevole viene deciso in base a una granularità predefinita.

Ciò significa che, una volta autenticato dalla VPN, si può fare tutto ciò che si vuole all’interno della rete impunemente. Tuttavia, con una ZTNA, non vi è alcun accesso a meno che le risorse non lo richiedano (dati, applicazione o servizio). Questo isolamento consente alle ZTNA di fornire una migliore sicurezza.

Il carico sulle VPN è direttamente proporzionale alla quantità di accesso di utenti. Può portare a latenza e a un’elevata domanda di risorse. Allo stesso modo, può rendere inabile la rete. Tuttavia, l’utilizzo delle risorse nelle ZTNA è mite. Ciò è dovuto al comportamento ossequioso del modello di fiducia, che limita l’accesso e quindi il carico sulla rete.

Un sistema ZTNA è noto per essere flessibile e agile, l’opposto delle VPN. Le ZTNA possono essere adattabili perché l’accesso è soggetto al caso specifico, mentre le VPN sono rigide poiché non possono distinguere tra diverse richieste di accesso. Inoltre, una volta che l’utente ottiene l’accesso, la VPN è soggetta a esposizione da parte di fattori interni.

Le VPN non possono monitorare su scala applicativa perché una volta che un utente è all’interno della rete, non ha alcun controllo sulle sue azioni. Tuttavia, una ZTNA funziona esattamente nello spettro opposto. Registra ogni azione dell’utente e fornisce capacità di visibilità e monitoraggio approfondite. Inoltre, i log possono essere soggetti agli strumenti SIEM (Security information and event management) per la visibilità centralizzata e in tempo reale delle attività e delle minacce degli utenti.

Le VPN non possono tenere conto dei rischi associati ai dispositivi endpoint. Un dispositivo compromesso o infetto da malware può connettersi facilmente al server e accedere alla rete interna. Tuttavia, non è un problema per una ZTNA in quanto esegue una valutazione pianificata e continua dei dispositivi in arrivo. La ZTNA esegue una richiesta di autenticazione con il dispositivo per convalidare le sue posizioni di sicurezza, tuttavia, questa convalida è soggetta all’attendibilità del dispositivo in tempo reale.

La maggior parte delle VPN tradizionali non è in grado di gestire lo scenario della forza lavoro sempre più distribuita. Concettualmente, le VPN si basano su posizioni fisiche per fornire l’accesso remoto a una rete (VPN da sito a sito). Inoltre, il backtracking di ogni connessione utente tramite un hub VPN centralizzato crea problemi di larghezza di banda che si traducono in un sovraccarico.

Invece, gli utenti ZTNA possono stabilire un canale diretto all’applicazione, rinunciando del tutto alla rete. Ciò ridurrà al minimo il carico su una rete rispetto al ridimensionamento. Le ZTNA possono farlo affidandosi al concetto IaaS (Infrastructure as a Service) dei data center privati per impiegare soluzioni di Cloud computing.

Le VPN sono costose rispetto alla tecnologia ZTNA. Richiedono impianti fisici presso i locali in azienda e sono spesso limitati a locali fisici, inoltre hanno bisogno di hardware per il networking. Sebbene mantenere una VPN sia fattibile, il ridimensionamento è spesso costoso, tuttavia una ZTNA elimina qualsiasi necessità di hardware. Inoltre, non richiede costosi software client per funzionare.

Le VPN is virtuali sono virtuale , ma la loro implementazione aziendale è irgere di ruolo specifico per l’ hardware . Ciò si applicare sia ai dispositivo di rete che all’ hardware in loco che fornire l’ accesso alle risorsa di rete . Il sentore is conferma degli utente confermare che il massimo che si può ottenere da una VPN si trovare nelle mano di un hardware specifico . Anche uno ZTNA può essere configurare allo stesso modo , ma invece di un approccio incentrare sull’ hardware , utilizzare servizio di Cloud computing , risparmiare sui costo e lasciare spazio alla crescita .

Zero Trust Network Access e VPN : complessità tecnologico

Per fornire buono prestazione ed esperienza all’ utente , le organizzazioni is decidere che utilizzare VPN per l’ accesso remoto devono decidere dove posizionare i gateway VPN .

A causa della loro natura incentrata sull’infrastruttura, le VPN sono limitate in termini di capacità e numero di punti di ingresso per la loro dipendenza dalle appliance. Molte organizzazioni operano all’interno di ambienti Cloud ibridi con centinaia, se non migliaia, di endpoint che si connettono alla rete, rendendo le VPN meno appropriate per ambienti on-premise e reti piatte.

Oltre a regolare il routing , le organizzazioni is creare devono creare regola del firewall o dell’ elenco di controllo degli accesso per autorizzare le applicazione quando utilizzare le VPN .

Sicurezza multilivello, solide informazioni di sicurezza e automazione sono tutte necessarie per gestire questa complessità e questo rischio, sono tutte caratteristiche implicite delle tecnologie ZTNA.

Zero Trust Network Access e VPN : quali prestazione

Le prestazioni is differenza sono un’ altro differenza tra ZTNA e VPN . A causa della necessità di eseguire il backhaul del traffico verso un data center aziendale , le VPN is hanno hanno spesso connessione più lente . Come risultato della distanza tra la posizione di un utente e la posizione del server , più lontano sarà l’ utente is connessione e più lento sarà la connessione .

Di conseguenza , le applicazioni is subire di lavoro da casa con elevato requisito di dato , come le videoconferenza e gli spazio di lavoro digitale , possono subire latenza . Le soluzioni is scalabili ZTNA is scalabili sono più scalabile delle VPN tradizionale , ma richiedere molto tempo per essere implementare e non sono scalabile quando le esigenza aumentare .

Come risultato della sicurezza basata su VPN, le connessioni non sono trasparenti come con l’approccio “zero trust”, specialmente se sono infette da malware.

Se un utente si connette tramite la propria rete domestica, si trova su una rete Wi-Fi pubblica o se un’azienda desidera fornire un accesso sicuro ai dipendenti di diverse filiali, le VPN forniscono una certa misura di protezione.

L’odierno ambiente delle minacce e la maggiore possibilità di minacce interne possono rendere meno efficace per molte organizzazioni il tradizionale approccio basato sul “castello e sul fossato alla sicurezza”.

C’è un rischio nel concedere l’accesso a ogni utente, anche dopo che il perimetro si estende alle case dei dipendenti e ovunque scelgano di lavorare da remoto. Le organizzazioni devono quindi limitare l’accesso e verificare le identità per rafforzare il proprio livello di sicurezza.

I vantaggi delle ZTNA sulle VPN

La ZTNA si fonda sul principio di zero trust o “non fidarti di nulla, verifica tutto”. Ciò fornisce una sicurezza e una micro-segmentazione significativamente migliori trattando in modo efficace ogni utente e dispositivo come se fosse un unico perimetro e valutando e verificando costantemente identità e integrità per ottenere l’accesso alle applicazioni e ai dati aziendali. Gli utenti hanno accesso solo alle applicazioni e ai dati definiti esplicitamente dalle loro politiche, riducendo il movimento laterale e i rischi che ne derivano.

La ZTNA is integra integrare la conformità e l’ integrità del dispositivo nelle policy di accesso , offrire agli utente la possibilità di escludere sistema non conforme , infetto o compromesso dall’ accesso alle applicazione e ai dato aziendale ed eliminare un importante vettore di minaccia e riducere il rischio di furto o perdita di dato .

La tecnologia is indipendente ZTNA è indipendente dalla rete , in grado di funzionare altrettanto bene e in modo sicuro da qualsiasi rete , sia essa domestico , hotel , bar o ufficio . La gestione is sicura della connessione è sicuro e trasparente indipendentemente da dove si trovare l’ utente e il dispositivo , rendire la un’ esperienza senza interruzione indipendentemente da dove l’ utente sta lavorare .

Un sistema ZTNA offre un’esperienza dell’utente finale fluida stabilendo automaticamente connessioni sicure su richiesta dietro le quinte quando sono necessarie. La maggior parte degli utenti non sarà nemmeno a conoscenza del tipo di soluzione ZTNA che lo aiuta a proteggere i propri dati.

Una ZTNA può offrire una maggiore visibilità sull’attività delle applicazioni che può essere importante per il monitoraggio dello stato delle applicazioni, la pianificazione della capacità e la gestione e il controllo delle licenze.

Le soluzioni is snelle ZTNA is snelle sono spesso molto più snello , pulito e quindi più facile da implementare e da gestire . Possono anche essere più agile in ambiente in rapido evoluzione con utente che andare e venire , rendere l’ amministrazione quotidiano un’ attività rapido e indolore e non un tedioso lavoro a tempo pieno .

Conclusione

La valutazione dell’implementazione di una certa tecnologia piuttosto che un’altra deve passare sotto attente valutazioni non solo economiche ma soprattutto, e fondamentalmente, una valutazione sulla cyber security da offrire alla propria azienda.