Cos'è lo Universal ZTNA?

Punti chiave da ricordare

Lo Universal ZTNA, o ZTNA universale (UZTNA) è un framework di sicurezza nativo del cloud e definito da software che applica i principi dello zero trust per garantire un accesso granulare e basato sul contesto ad applicazioni private, SaaS e reti, da qualsiasi posizione, eliminando la necessità di ricorrere alle VPN e riducendo significativamente la superficie di attacco. Garantisce una sicurezza costante, esperienze utente fluide e una scalabilità senza sforzo per supportare le forze lavoro ibride, collegando gli utenti direttamente alle applicazioni, anziché alla rete.

Oggi più che mai, le organizzazioni stanno scoprendo i vantaggi che un modello Universal ZTNA può offrire. Ecco alcuni dei principali motivi che spingono le aziende a passare a questo sistema:

• Non sono necessarie apparecchiature legacy: l'UZTNA consente alle organizzazioni di liberarsi delle apparecchiature legacy per l'accesso remoto, come le VPN, e di sfruttare una soluzione per il controllo degli accessi basata al 100% su software. 
• Esperienze utente molto più fluide: con l'UZTNA, si elimina il backhauling del traffico degli utenti al data center, ed è possibile offrire a questi ultimi un accesso rapido e diretto all'applicazione desiderata. 
• Sicurezza uniforme: l'UZTNA garantisce che ai dipendenti vengano applicate le stesse policy di sicurezza zero trust, che lavorino dall'ufficio o da remoto.
• Scalabilità semplice: un servizio cloud UZTNA semplifica la scalabilità, consentendo all'organizzazione di sfruttare licenze aggiuntive solamente quando ne ha bisogno.
• Distribuzione rapida: a differenza di altre soluzioni la cui distribuzione può richiedere settimane o mesi, l'UZTNA può essere distribuito ovunque nel giro di pochi giorni.

Nel linguaggio moderno dell'IT e della security, molti fornitori affermano di offrire lo ZTNA (Zero Trust Network Access), ossia l'accesso alla rete zero trust, ma molto spesso si tratta in realtà di distribuzioni rigide e on-premise della sicurezza con una microsegmentazione legacy della rete. Questa tecnologia potrebbe anche essere in grado di proteggere gli utenti che operano in ufficio, seppur attraverso controlli di accesso alla rete scarsamente integrati, ma solo una vera soluzione Universal ZTNA offre una sicurezza ideale e zero trust a tutti gli utenti, in qualunque posizione. 

Il motivo è che una soluzione Universal ZTNA nasce sul cloud, solitamente partendo dal framework Secure Access Service Edge (SASE) o Security Service Edge (SSE). Con lo Universal ZTNA, agli utenti viene concesso l'accesso sulla base del principio dei privilegi minimi indipendentemente dalla posizione, che sia in ufficio, a casa, in un bar o in qualsiasi altro luogo dotato di connessione Internet.

Proteggere la connettività alle reti, agli ambienti SaaS e alle applicazioni da qualsiasi luogo è impossibile con un modello on-premise e non universale. Inoltre, se una soluzione fornisce la sicurezza zero trust attraverso apparecchiature on-premise, come ad esempio i firewall, allora non si tratta di una vera soluzione zero trust, né tanto meno di una soluzione Universal ZTNA. Molte di queste tecnologie legacy, infatti, concederanno l'accesso solamente in base all'autenticazione, senza considerare il contesto, il profilo di sicurezza del dispositivo e/o la posizione. 

Inoltre, molte di queste tecnologie utilizzano un'architettura passthrough, che consente al traffico di accedere alla rete prima che venga ispezionato, una pratica in contrasto con i principi dello zero trust. Lo Universal ZTNA concede un accesso sicuro alla rete, alle app SaaS e alle applicazioni indipendentemente da dove lavorino gli utenti e senza assegnare l'attendibilità implicita; questa caratteristica unica deriva da un modello ZTNA nativo del cloud.

Le VPN fanno parte delle soluzioni di sicurezza legacy più diffuse e in uso al momento, e hanno lo scopo di semplificare la gestione degli accessi consentendo agli utenti finali di accedere in modo sicuro a una rete, e quindi alle risorse aziendali, attraverso un tunnel dedicato, di solito tramite il processo di autenticazione SSO (Single Sign-On).

Per molti anni, le VPN hanno funzionato bene per gli utenti che avevano bisogno di lavorare a distanza per uno o due giorni; tuttavia, con l'incremento degli utenti che lavorano stabilmente da remoto in tutto il mondo, la mancanza di scalabilità, i costi elevati e i requisiti di manutenzione hanno reso le VPN del tutto inefficaci. Inoltre, la rapida adozione del cloud pubblico ha reso molto più complessa l'applicazione delle policy di sicurezza ai dipendenti in remoto, e l'esperienza utente è diventata sempre più scadente.

Il problema principale delle VPN, tuttavia, è la superficie di attacco che creano. Qualsiasi utente o entità che dispone delle credenziali SSO necessarie può accedere a una VPN, muoversi lateralmente sulla rete e avere accesso a tutte le risorse e ai dati che la VPN avrebbe invece dovuto proteggere.

Lo Universal ZTNA mette in sicurezza l'accesso dell'utente, concedendolo sulla base del principio dei privilegi minimi. Invece di considerare un'entità attendibile in base alla correttezza delle credenziali, lo zero trust concede l'autenticazione solo a condizione che il contesto sia corretto, ovvero quando utente, identità, dispositivo e posizione corrispondono.

Inoltre, lo Universal ZTNA fornisce un accesso granulare solo alle risorse specifiche, e non all'intera rete. Gli utenti sono collegati direttamente e in modo sicuro alle app e ai dati di cui hanno bisogno per prevenire la possibilità che gli utenti malintenzionati mettano in atto il movimento laterale. Inoltre, con un'architettura ZTNA, le connessioni con gli utenti sono dirette, e di conseguenza le esperienze migliorano in modo significativo.

Lo Universal ZTNA non riguarda solo l'identità dell'utente, la segmentazione e l'accesso sicuro. Si tratta di una strategia su cui è possibile costruire un ecosistema di sicurezza informatica che si fonda su tre principi:

1. Interrompere tutte le connessioni: le tecnologie come i firewall utilizzano un approccio "passthrough" e ispezionano i file man mano che questi vengono consegnati. Se vengono rilevati file dannosi, gli avvisi arrivano quando ormai è troppo tardi. Una soluzione UZTNA efficace interrompe tutte le connessioni per consentire a un'architettura proxy inline di ispezionare tutto il traffico in tempo reale, incluso quello cifrato, prima che raggiunga la sua destinazione. In questo modo, è possibile prevenire ransomware, malware e molto altro.
2. Protezione dei dati utilizzando policy granulari basate sul contesto: le policy zero trust verificano le richieste di accesso e i diritti in base al contesto, prendendo in considerazione fattori come l'identità dell'utente, il dispositivo, la posizione, il tipo di contenuto e l'applicazione richiesta. Queste policy sono adattive, e le autorizzazioni di accesso degli utenti vengono continuamente riesaminate al mutare del contesto.
3. Ridurre i rischi eliminando la superficie di attacco: con l'UZTNA, gli utenti si connettono direttamente alle app e alle risorse di cui hanno bisogno, mai alle reti. Le connessioni dirette da utente ad app e tra app eliminano il rischio di subire il movimento laterale e impediscono ai dispositivi compromessi di infettare altre risorse. Inoltre, utenti e app risultano invisibili a Internet, e questo li rende impossibili da individuare e attaccare.

Siamo orgogliosi di offrire Zscaler Private Access™, la piattaforma ZTNA più distribuita al mondo e costruita sull'esclusiva architettura zero trust (ZTA) di Zscaler. ZPA è una soluzione con base cloud che applica il principio dei privilegi minimi per offrire agli utenti connessioni sicure e dirette alle applicazioni private, eliminando al contempo l'accesso non autorizzato e il movimento laterale. Trattandosi di un servizio nativo del cloud, questa soluzione può essere distribuita in poche ore per sostituire le VPN e gli strumenti di accesso remoto legacy con una piattaforma zero trust olistica.

Zscaler Private Access offre:

• Una sicurezza senza pari, che va oltre le VPN e i firewall tradizionali: gli utenti si collegano direttamente alle app, e non alla rete; questo consente di ridurre al minimo la superficie di attacco ed eliminare il movimento laterale.
• La fine della compromissione delle app private: una protezione delle app unica nel suo genere, con ispezione del traffico inline e prevenzione delle minacce, tecnologia di deception integrata e isolamento per ridurre al minimo il rischio di compromissione degli utenti.
• Produttività superiore per la forza lavoro ibrida di oggi: l'accesso rapidissimo e sicuro alle app private si estende in modo fluido a utenti in remoto, sedi centrali, filiali e partner terzi.
• Universal ZTNA unificato per utenti, workload e dispositivi: dipendenti e partner possono connettersi in modo sicuro ad app, servizi e dispositivi OT/IoT con la piattaforma ZTNA più completa.