A cura di Massimiliano Ballarin, Regional Sales Manager, Cradlepoint Italy
La nostra dipendenza dalle applicazioni basate su Internet continua a crescere, così come il tasso di criminalità informatica. Cybersecurity Ventures prevede che i costi globali causati dal cybercrime raggiungeranno i 10,5 trilioni di dollari all’anno entro il 2025, cifra, questa, più che triplicata rispetto ai 3 trilioni di dollari del 2015. Nel 2020, oltre 1,8 miliardi di dollari sono stati persi solo a causa della compromissione della posta elettronica aziendale (BEC).[3] Oggi, infatti, credenziali e informazioni personali rappresentano i dati più preziosi e desiderati dai criminali informatici. In un simile scenario risulta quindi fondamentale che le aziende siano pienamente consapevoli della presenza di una minaccia tanto incombente quanto reale, e che adottino le misure necessarie per proteggersi al meglio.
Per decenni la maggior parte delle aziende ha utilizzato le Virtual Private Network (VPN). Quando si definisce una rete privata virtuale (VPN) tradizionale, si usa spesso l’analogia del fossato che circonda un castello. Una volta attraversato, tutto ciò che si trova all’interno del suo perimetro diventa inevitabilmente accessibile. Sebbene secoli fa il fossato rappresentasse un’innovazione altamente funzionale ed efficace, oggi i Paesi utilizzano tecnologie decisamente più avanzate per proteggere i territori, come i droni e il monitoraggio satellitare. Allo stesso modo, le aziende che desiderano difendere la propria rete nell’ambiente di lavoro, che è oggi sempre più distribuito, dovrebbero prendere in considerazione altre opzioni.
Grazie a policy adattive e context-aware che limitano l’accesso e l’impatto potenziale delle credenziali compromesse, lo Zero Trust Network Access (ZTNA) fornisce l’accesso alle applicazioni private della rete aziendale in modo significativamente più sicuro di una VPN. Tuttavia, il passaggio allo ZTNA comporta alcuni aspetti che devono essere presi in considerazione.
Prima di esaminare le differenze tra ZTNA e VPN, focalizziamoci su alcuni aspetti chiave.
Il modello ZTNA
Come suggerisce il nome, lo ZTNA è un concetto di sicurezza basato sull’assunto che chiunque tenti di accedere ad una rete o a un’applicazione sia un potenziale malintenzionato che deve essere oggetto di verifiche continue. Per applicare i propri livelli di sicurezza, lo ZTNA utilizza una policy di verifica adattiva, basata su sessioni, che può prendere in considerazione una combinazione di fattori, quali identità, posizione, dispositivo, ora e data della richiesta dell’utente e modelli di utilizzo precedentemente osservati.
Una volta verificato tutto questo, la rete Zero Trust crea un tunnel sicuro dal dispositivo dell’utente all’applicazione richiesta. Questo tunnel autenticato impedisce il rilevamento pubblico o il movimento laterale verso altre applicazioni sulla rete e, in definitiva, riduce la probabilità di attacchi informatici.
Confronto e differenze tra ZTNA e VPN
Le VPN per l’accesso remoto hanno rappresentato lo standard di sicurezza aziendale per decenni, ma la loro funzionalità non si è evoluta con la stessa rapidità dell’astuzia degli hacker contemporanei. Sebbene le aziende possano utilizzare entrambe le soluzioni di sicurezza, il modello ZTNA presenta diversi vantaggi rispetto ad una VPN.
La sicurezza ZTNA limita l’estensione dell’accesso degli utenti
Per tornare alla nostra analogia del fossato, i danni più significativi alla fortezza da difendere si verificano quando un criminale lo attraversa. Nel caso della sicurezza di rete, le violazioni dei dati si verificano quando un hacker attraversa il firewall aziendale attraverso una VPN perimetrale ed è quindi libero di muoversi nelle applicazioni protette dell’azienda senza trovare più alcuna resistenza. Una rete di sicurezza perimetrale che consente ampie fasce di accesso crea maggiori opportunità di violazione dei dati e non è più adatta alle esigenze delle aziende moderne.
Lo ZTNA non considera nessuna parte della rete aziendale come una zona implicitamente priva di rischi. Al contrario, applica la micro-segmentazione e le policy di sicurezza prescrittive all’architettura edge aziendale per creare tunnel che consentano agli utenti di accedere solamente a specifiche applicazioni e a nient’altro. In questo modo, un utente può accedere solamente a ciò che si trova dietro i singoli micro-segmenti a cui ha accesso.
Le politiche di sicurezza adattive dello ZTNA riducono costantemente il rischio
Mentre una VPN utilizza una singola autenticazione per consentire agli utenti di accedere ad una rete aziendale, il modello ZTNA utilizza una policy adattiva in grado di valutare costantemente la sicurezza durante l’intera durata della sessione di ogni utente. Queste continue verifiche consentono di sapere, ad esempio, se un utente ha cambiato posizione, quando si è verificato il suo ultimo tentativo di accesso a un’applicazione, se sta utilizzando un nuovo dispositivo e se mostra un comportamento anomalo, come l’effettuazione rapida di modifiche o la cancellazione di dati. Le capacità di monitoraggio tipiche della sicurezza ZTNA non sono possibili con le sole VPN.
Le connessioni dirette all’applicazione (“direct-to-app”) offrono una migliore user experience
Le reti Zero Trust eliminano il concetto di perimetro e convogliano tutto il traffico degli utenti verso un punto di ispezione nel cloud ogni volta che vengono trasmesse informazioni. In questo modo – ovvero spostando la verifica nel cloud, in particolare su una rete 5G – il processo di autenticazione viene completato con una latenza talmente bassa da essere praticamente impercettibile per l’utente finale. Una VPN, invece, può essere rallentata da una larghezza di banda e da prestazioni del back-end limitate. Inoltre, poiché lo ZTNA è agnostico rispetto alla rete e alla posizione, le persone possono dedicare più tempo al loro lavoro e molto meno all’attesa che le applicazioni si carichino mentre loro lavorano da remoto.
Lo ZTNA consente alle aziende un risparmio maggiore
Il deployment di una rete aziendale basata su VPN richiede costi elevati e molta manodopera. Oltre all’acquisto di hardware e software (tra cui token di autenticazione) su laptop, telefoni cellulari e altri dispositivi, un’infrastruttura VPN nei data center può essere voluminosa e l’impiego di risorse IT per gestire e garantire l’aderenza alle policy risulta decisamente oneroso.
Al contrario, lo ZTNA è agile, veloce da implementare e altamente scalabile. Non avendo necessità di una infrastruttura complessa, è possibile allocare meno risorse IT alla formazione e alla gestione della sicurezza, rendendo le soluzioni ZTNA più economiche rispetto ad una VPN. Le aziende possono anche risparmiare sull’hardware consentendo ai dipendenti di utilizzare i propri dispositivi, una politica talvolta incompatibile con le VPN.
Lo ZTNA sta diventando essenziale per le reti aziendali
Sebbene lo ZTNA offra vantaggi significativi, non è sempre l’opzione migliore per tutte le applicazioni. La rete di oggi probabilmente includerà un mix di ZTNA e VPN tradizionali: capire ed implementare le giuste soluzioni è importante.
Una cosa è certa: man mano che l’operatività dell’azienda diviene più complessa e il personale più distribuito, la flessibilità e la scalabilità dello ZTNA, basato su cloud, lo rendono una parte sempre più essenziale della rete aziendale.