Cos'è Zero Trust Network Access (ZTNA)?

Zero Trust Network Access (ZTNA) è importante perché è in linea con la crescente necessità di sicurezza informatica adattabile e resiliente in un luogo di lavoro sempre più distribuito e con priorità digitale.

Ecco perché è diventato un framework critico:

Protezione dalle minacce in continua evoluzione. I modelli di sicurezza tradizionali, che concedono un ampio accesso alla rete agli utenti interni, non sono sufficienti contro le minacce informatiche sofisticate di oggi, in particolare le minacce interne o le minacce derivanti da credenziali compromesse. ZTNA presuppone che nessuna entità sia intrinsecamente attendibile, limitando i potenziali vettori di attacco.

Supporto per il lavoro remoto e per le risorse basate sul cloud. Con la crescita del lavoro remoto e l'adozione del cloud, le aziende stanno passando dalle tradizionali reti locali alle infrastrutture ibride o completamente basate sul cloud. ZTNA offre accesso sicuro alle risorse da qualsiasi posizione, applicando criteri di sicurezza in modo coerente in ambienti locali e cloud.

Mitigazione dello spostamento laterale negli attacchi informatici. In uno scenario di violazione della sicurezza, l'accesso segmentato di ZTNA impedisce lo spostamento laterale da parte degli utenti malintenzionati, limitando l'ambito dei potenziali danni. Poiché l'accesso viene concesso solo quando necessario, gli utenti malintenzionati trovano molto più difficile spostarsi tra i sistemi e ottenere l'accesso agli asset critici.

ZTNA offre numerosi vantaggi per le aziende, tra cui:

Protezione avanzata. Il modello di verifica continua delle identità e dei dispositivi di ZTNA riduce il rischio di accesso non autorizzato, riducendo le minacce derivanti da credenziali compromesse. Verificando ogni tentativo di accesso in base a fattori quali identità, posizione e integrità del dispositivo, ZTNA rafforza la postura di sicurezza generale e riduce al minimo l'accesso non autorizzato.

Miglioramento del controllo di accesso e dell'applicazione dei criteri. ZTNA consente alle organizzazioni di applicare criteri di accesso granulari e basati sui ruoli. Agli utenti viene concesso l'accesso solo alle applicazioni o alle risorse di cui hanno bisogno, riducendo le probabilità di accesso accidentale o intenzionale a dati sensibili. Semplifica anche la conformità alle normative sulla protezione dei dati e sulla privacy, garantendo che l'accesso sia limitato e registrato.

Superficie di attacco ridotta. Poiché ZTNA non espone l'intera rete a un singolo utente o dispositivo, riduce significativamente la superficie di attacco. Solo utenti e dispositivi autorizzati possono accedere a risorse specifiche e solo tramite connessioni sicure e crittografate, riducendo il rischio di una violazione dei dati o di un'esposizione non autorizzata.

I modelli di sicurezza tradizionali si basano principalmente sul concetto di rete interna "attendibile" e rete esterna "non attendibile", protette da firewall e VPN. Le differenze principali tra Zero Trust Network Access (ZTNA) e questi modelli tradizionali includono:

Sicurezza perimetrale o sicurezza basata sull'identità. La sicurezza tradizionale si basa sulla protezione del perimetro della rete, presupponendo che gli utenti all'interno della rete siano attendibili. ZTNA considera ogni tentativo di accesso come potenzialmente rischioso, indipendentemente dalla posizione, richiedendo la verifica dell'identità ogni volta.

Attendibilità implicita o esplicita. Nei modelli tradizionali, una volta autenticati, gli utenti sono attendibili e spesso si spostano lateralmente all'interno della rete con poche restrizioni. ZTNA, tuttavia, implementa la micro-segmentazione e l'accesso con privilegi minimi per limitare lo spostamento laterale e ridurre i rischi associati alle credenziali compromesse.

Controllo di accesso statico o dinamico. I modelli di sicurezza legacy hanno in genere regole statiche, che sono meno flessibili e spesso obsolete negli ambienti attuali. ZTNA utilizza criteri dinamici che si adattano in base ai fattori di rischio, al comportamento dell'utente e ad altri elementi contestuali.

VPN o accesso diretto e sicuro. I modelli tradizionali di connettività di rete spesso utilizzano le VPN per l'accesso remoto, ma possono introdurre latenza e risultare difficili da scalare. Le soluzioni ZTNA offrono accesso sicuro direttamente alle applicazioni senza instradare tutto il traffico attraverso una VPN, migliorando le prestazioni e la scalabilità.

Zero Trust Network Access (ZTNA) fa parte del framework Security Service Edge e si usa per proteggere l'accesso alle risorse private basate sui principi Zero Trust. In un ambiente ZTNA, gli utenti, i dispositivi e le applicazioni devono dimostrare continuamente la loro legittimità prima di accedere alle risorse, indipendentemente dalla loro posizione all'interno o all'esterno della rete. I meccanismi operativi principali includono:

Gestione delle identità e degli accessi. ZTNA parte da una verifica rigorosa dell'identità. Ogni utente o dispositivo deve autenticare la propria identità, spesso tramite l'autenticazione a più fattori (MFA), prima di ottenere l'accesso a qualsiasi applicazione o risorsa. In questo modo viene identificato e concesso l'accesso solo agli utenti legittimi.

Micro-segmentazione. Invece di basarsi su un singolo perimetro di rete, ZTNA divide la rete in segmenti più piccoli e isolati. Ogni segmento contiene risorse o applicazioni specifiche, rendendo difficile agli utenti malintenzionati spostarsi lateralmente all'interno della rete nel caso in cui compromettano un segmento.

Accesso con privilegi minimi. A ogni utente e dispositivo viene concesso l'accesso solo alle applicazioni o ai dati specifici necessari per i rispettivi ruoli, limitando la potenziale esposizione. Questo approccio con privilegi minimi riduce al minimo il rischio di violazioni dei dati o di accesso non autorizzato attraverso la limitazione di accesso a qualsiasi account compromesso.

Accesso a livello di applicazione. Anziché concedere l'accesso a livello di rete, ZTNA supporta connessioni specifiche dell'applicazione. Ciò significa che, anche se a un dispositivo viene concesso l'accesso, può comunicare solo con l'applicazione o la risorsa specifica per cui è autorizzato. Ciò riduce ulteriormente la superficie di attacco, in quanto utenti e dispositivi non hanno visibilità o accesso all'intera rete.

Valutazione continua dell'accesso. La valutazione continua del comportamento di utenti e dispositivi è un componente centrale di ZTNA. Sono inclusi il monitoraggio di eventuali modelli di attività insoliti, il comportamento del dispositivo (ad esempio se sono installati gli aggiornamenti della sicurezza) e le modifiche nella posizione. Quando vengono rilevate anomalie, l'accesso può essere revocato o è necessaria un'autenticazione aggiuntiva.

Zero Trust Network continua a evolversi per affrontare le crescenti complessità delle moderne minacce informatiche e degli ambienti di lavoro remoti. Inizialmente, ZTNA ha introdotto i principi di base di Zero Trust fornendo l'accesso in base all'identità utente e al comportamento del dispositivo, anziché alle tradizionali difese perimetrali di rete. Tuttavia, man mano che le minacce informatiche si sono evolute, è necessario un approccio più completo e adattivo, che consenta lo sviluppo di progressi in ZTNA, tra cui:

Controllo granulare dell'accesso alle applicazioni. ZTNA offre ora un controllo di accesso più dettagliato a livello di applicazione, oltre al semplice accesso basato su IP o rete. Garantisce che gli utenti abbiano accesso solo alle applicazioni e alle risorse specifiche di cui hanno bisogno e, all'interno di tali applicazioni, li limiti ai dati e alle operazioni specifici che sono autorizzati a eseguire.

Valutazione continua dell'attendibilità. La ZTNA tradizionale si basava in genere su una valutazione di attendibilità monouso all'inizio di una sessione. ZTNA adotta ora un modello di attendibilità continuo, valutando dinamicamente il comportamento di utenti e dispositivi durante l'intera sessione. Il monitoraggio continuo consente di rilevare e rispondere alle anomalie o al comportamento rischioso in tempo reale.

Prevenzione integrata delle minacce. ZTNA integra ora le funzionalità di prevenzione delle minacce, ad esempio il rilevamento di malware, la prevenzione delle intrusioni e altri controlli di sicurezza, direttamente nel modello di accesso. Questo livello di sicurezza proattivo consente di impedire agli utenti malintenzionati di spostarsi lateralmente all'interno di una rete, anche se ottengono l'accesso iniziale.

Riconoscimento avanzato del contesto di utenti e dispositivi. ZTNA ora va oltre la semplice verifica dell'identità utente e del comportamento del dispositivo, incorporando fattori più contestuali come i modelli di comportamento dell'utente, la cronologia dei dispositivi e i fattori ambientali come la georilevazione e il tempo di accesso. Ciò consente di creare un profilo di rischio più preciso per ogni richiesta di accesso.

Secure access service edge (SASE) è un framework di sicurezza informatica che combina i servizi di rete e di sicurezza in un modello unificato nativo del cloud. L'obiettivo è fornire l'accesso sicuro agli utenti indipendentemente dalla loro posizione integrando funzioni di sicurezza, ad esempio gateway Web sicuri, broker di sicurezza per l'accesso cloud, firewall-as-a-service e Zero Trust Network Access, con funzionalità di rete a livello di area. SASE offre un modo scalabile e flessibile per proteggere una forza lavoro distribuita, particolarmente utile negli ambienti moderni in cui il lavoro remoto e gli ambienti multi-cloud sono lo standard.

ZTNA è un componente chiave all'interno del modello SASE, incentrato in particolare sul controllo di accesso basato su architettura Zero Trust. Anche se ZTNA applica controlli di accesso rigorosi a livello di applicazione e di risorse, SASE amplia questo ambito fornendo un modello di sicurezza e rete completo. In sostanza, ZTNA è un elemento fondamentale di SASE, incentrato sulla gestione degli accessi con granularità fine, mentre SASE incorpora ZTNA all'interno di un set più ampio di strumenti di sicurezza, così da fornire una protezione end-to-end unificata nell'intera rete.

Le soluzioni Microsoft Zero Trust Network Access (ZTNA) sono progettate per fornire accesso sicuro ad applicazioni e risorse, indipendentemente dalla posizione degli utenti.


Il componente principale di questo approccio è Accesso privato Microsoft Entra, che sostituisce le VPN tradizionali. Aiuta a proteggere l'accesso a tutte le app e le risorse private per gli utenti ovunque, grazie a una soluzione ZTNA incentrata sulle identità. Accesso privato Microsoft Entra consente di sostituire la VPN legacy con ZTNA. Senza apportare modifiche alle app, è possibile estendere i criteri di accesso condizionale alla rete usando controlli di accesso incentrati sull'identità e abilitare l'accesso Single Sign-On (SSO) e l'autenticazione a più fattori (MFA) in tutte le app e le risorse private. Tramite la rete privata globale di Microsoft, i dipendenti ottengono un'esperienza di accesso semplice e veloce, che bilancia la sicurezza con la produttività.