Che cos'è l'accesso alla rete a fiducia zero (ZTNA)?

Il modello zero-trust descrive il principio di sicurezza "non fidarti mai, verifica sempre". Lo Zero Trust Network Access (ZTNA) è un modo per implementare questo modello di sicurezza nei punti di accesso di un'azienda. In pratica, questo si basa sul principio del privilegio minimo (PoLP), in base al quale gli utenti dovrebbero poter accedere solo alle risorse di cui hanno bisogno per il loro lavoro quotidiano.

Rapporto Forrester Wave Zero Trust Descrizione della soluzione ZTNA

Che cos'è l'accesso alla rete a fiducia zero (ZTNA)?

Come funziona lo ZTNA?

Zero-trust mira a eliminare la fiducia ereditata in modo che non danneggi l'esperienza utente o la produttività.

Lo fa permettendo agli utenti di accedere solo alle risorse richieste dal loro ruolo, e tutte le richieste di accesso vengono verificate in modo rigoroso e ripetuto. Il Principio del privilegio minimo (PoLP) è fondamentale per lo ZTNA: l'accesso e i permessi agli utenti sono concessi solo a ciò che gli serve per svolgere il loro lavoro. 

Ad esempio, agli utenti remoti nel reparto vendite possono essere concessi permessi di sola lettura ai dati dei clienti all'interno di Salesforce, ma non possono interagire con il codice su GitHub.

Universal PoLP richiederebbe l'impostazione opposta per il personale DevOps.

Semplificare tutto questo in un'organizzazione richiede una comprensione approfondita di ciò che ogni account richiede. Questo principio si applica anche alle risorse non umane, come:

  • Sistemi
  • Applicazioni
  • Dispositivi
  • Processi

Assegnando a queste risorse solo i permessi necessari per le loro attività autorizzate, i diritti di accesso vengono effettivamente minimizzati e controllati. Questa è anche la differenza tra ZTNA e VPN:

  • VPN stabiliscono semplicemente un tunnel crittografato tra il server VPN dell'azienda e il client sul dispositivo, indipendentemente dal comportamento dell'account sottostante.
  • Lo ZTNA tiene conto dello stato di sicurezza del dispositivo prima di concedere l'accesso alla singola risorsa.

Anche questo è diverso: invece di concedere l'accesso all'intera rete connessa, lo ZTNA fornisce accesso isolato solo alla risorsa richiesta.

Come implementare l'accesso alla rete a fiducia zero

Dal punto di vista di un CISO, è fondamentale bilanciare una verifica ad alta sicurezza garantendo al contempo il mantenimento dell'esperienza utente. L'obiettivo finale della sicurezza ZTNA è che ogni richiesta di accesso venga attentamente valutata rispetto alle politiche di accesso stabilite; questo dovrebbe verificare fattori come:

 

  • Lo stato attuale delle credenziali dell'utente
  • Se la postura del dispositivo soddisfa gli standard di sicurezza dell'azienda
  • L'applicazione o il servizio specifico richiesto

Passaggio 1: capire chi è chi

Lo zero-trust richiede di sapere chi sta accedendo a cosa. Il primo passo di qualsiasi implementazione zero-trust si concentra su stabilire un quadro chiaro degli utenti, dei dispositivi e dei carichi di lavoro che compongono la tua rete aziendale.

Per raggiungere questo obiettivo, molte organizzazioni optano per un fornitore di identità aziendale. 

Questo consente a tutti i dipendenti, clienti e appaltatori di essere inclusi nell'ecosistema di sicurezza e considerati individualmente. Inoltre pone le basi per un metodo coerente di applicazione dell'autenticazione. Mentre questo fornisce una visibilità granulare per gli utenti, non garantisce l'inventario per tutti i servizi che comunicano su una rete.

Questo può essere ottenuto attraverso la scansione della rete: sia internamente che tramite uno strumento di gestione delle risorse di terze parti. Con questo livello di granularità, diventa possibile identificare la superficie di attacco. Durante i seguenti passaggi, assicurati di dare priorità alle risorse digitali più preziose.

L'approccio DAAS di seguito si suddivide efficacemente in quattro passaggi:

  1. Dati: cosa deve essere protetto?
  2. Applicazioni: Quali applicazioni gestiscono informazioni sensibili?
  3. Risorse: quali sono le tue risorse più importanti?
  4. Servizi: Quali servizi potrebbe prendere di mira un attore malintenzionato per interrompere le normali operazioni IT?

Passaggio 2: sfrutta controlli di rete sicuri

Un framework zero-trust fornisce agli utenti accesso solo secondo il PoLP. Tutti gli altri utenti sono essenzialmente tagliati fuori dalle vaste porzioni dell'intera rete a cui non hanno alcun diritto di accesso.

Quindi, come si fa a bloccare tutti gli accessi in entrata non necessari? 

Check Point SASE achieves this by establishing a secure gateway: all access requests are filtered via this gateway, which first establishes the role of the user and the associated resources they have access to. All unauthorized devices are automatically prevented from gaining access, and the individual nature of each connection means that no device has visibility into other ongoing connections.

L'implementazione di questo protocollo di connessione sicura è leggermente diversa a seconda dell'applicazione da proteggere. Esistono due principali tipi di applicazione:

  • Ospitato in proprio. Il tunnel zero-trust del gateway SASE può essere stabilito tra l'applicazione e il livello di policy del firewall.
  • SaaS. L'accesso SaaS può essere regolato tramite l'elenco consentito degli indirizzi IP: ciò significa che la tua soluzione SaaS può accettare solo richieste che provengono dal gateway SASE verificato.

Passaggio 3: implementa la protezione NGFW

Una volta stabilita una forma di accesso sicura, è il momento di stabilire chi può accedere a cosa.

Che siano auto-ospitate o basate su SaaS, tutte le richieste di rete vengono instradate tramite un firewall di nuova generazione. Il NGFW può impiegare l'ispezione HTTPS e la decrittazione TLS per esaminare ogni pacchetto di dati. Parallelamente, l'ispezione di stato consente di esaminare il comportamento di un utente e del dispositivo prima che venga concesso l'accesso.

Con questi strumenti a disposizione, lo ZTNA può essere raggiunto!

Da lì, è importante iterare continuamente: tenere d'occhio i log del firewall aiuta a determinare se le policy di accesso sono ben bilanciate. Una lente di threat intelligence orientata verso l'esterno può ulteriormente affinarle, ma questa sta diventando una lista di cose da fare sempre più impegnativa.

Ecco perché una soluzione di Edge di servizio accesso sicuro (SASE) può offrire il modo più efficiente per implementare lo ZTNA e innovare all'interno della tua organizzazione.

Vantaggi della ZTNA

ZTNA consente alle organizzazioni di implementare un modello di sicurezza zero trust all'interno dei loro ecosistemi di rete. Questo può essere applicato a diversi casi d'uso e migliora la posizione di sicurezza dell'organizzazione.

  • Accesso Remoto Sicuro

Sulla scia del COVID-19, la maggior parte delle organizzazioni è passata a una forza lavoro prevalentemente o totalmente remota. Molte aziende utilizzano reti private virtuali (VPN) per supportare questo aspetto. Tuttavia, le VPN presentano una serie di limitazioni, tra cui la scalabilità e la mancanza di sicurezza integrata.

Uno dei problemi principali delle VPN è che garantiscono a un utente autenticato l'accesso completo alla rete, il che aumenta l'esposizione dell'azienda alle minacce informatiche. ZTNA, implementato come parte di una soluzione WAN definita dal software(SD-WAN) o Secure Access Service Edge (SASE), offre la possibilità di integrare ZTNA in una soluzione di accesso remoto, riducendo l'accesso dei lavoratori remoti alla rete solo a quanto necessario per il loro lavoro.

  • Accesso sicuro al cloud

La maggior parte delle organizzazioni sta abbracciando il cloud computing e molte aziende dispongono di più piattaforme cloud. Per ridurre la superficie di attacco, le organizzazioni devono limitare l'accesso a queste risorse basate sul cloud.

Lo ZTNA consente all'organizzazione di limitare l'accesso ai propri ambienti e applicazioni cloud in base alle esigenze aziendali. Ad ogni utente e applicazione può essere assegnato un ruolo all'interno della soluzione ZTNA con i diritti e i permessi appropriati associati all'infrastruttura cloud-based dell'organizzazione.

  • Rischio ridotto di compromissione del conto

La compromissione dell'account è un obiettivo comune dei criminali informatici. Un aggressore tenterà di rubare o indovinare le credenziali dell'account di un utente e di utilizzarle per autenticarsi come utente nei sistemi dell'organizzazione. In questo modo l'aggressore ottiene lo stesso livello di accesso dell'utente legittimo.

L'implementazione di ZTNA consente di ridurre al minimo questo livello di accesso e i danni che un utente malintenzionato può causare utilizzando un account compromesso. La capacità dell'attaccante di muoversi lateralmente nell'ecosistema di un'organizzazione è limitata dai diritti e dalle autorizzazioni assegnate all'account utente compromesso.

Choose Full-Enterprise Zero Trust with Check Point SASE

La tua rete non è l'unica superficie che deve aderire ai principi dello zero-trust.

I canali di comunicazione e gli endpoint richiedono tutti una protezione continua, e il principio dello zero-trust può essere applicato a tutti.

Check Point’s Check Point SASE goes one step further with a full-mesh network architecture that provides zero trust protection across every access point, for every user. Identity-centric security policies combine the real-term resource requirements of every team, with continuous verification to identify and stop suspicious behavior.

Discover how Check Point SASE grants zero-trust protection, in-depth reporting, and high performance with a demo today.