Ridefinire il perimetro aziendale con Zero Trust Network Access

Le incertezze a cui ci ha sottoposto questo periodo di pandemia, da cui si comincia a vedere una uscita, hanno costretto aziende e scuole a lavorare/studiare da casa, sdoganando velocemente il tema dello smart working che spesso è stato relegato o visto come una alternativa di serie B.

La tematica avrebbe richiesto da parte di tutti una serie di passaggi atti a migliorare il coinvolgimento e la produttività del lavoratore da casa, ma purtroppo tutto è stato gestito con le tempistiche battute dal COVID 19 e non da un programma appropriato di messa dei lavoratori in smart working.

È importante comprendere che, in questo contesto, vi sono molti fattori che possono rendere il lavoro da remoto molto impegnativo e devono essere gestiti dall’organizzazione, alcune delle sfide che devono essere approcciate da chi sta largamente svolgendo questo tema sono: una mancanza di supervisione visiva/fisica, l’isolamento sociale, le distrazioni che l’ambiente casalingo può introdurre, la sicurezza e l’accesso alle informazioni.

Quest’ultimo è il tema sul quale concentreremo l’attenzione. Tema rilevante per garantire un adeguato accesso alle informazioni necessarie per l’esecuzione del proprio lavoro, garantendo allo stesso tempo i temi di sicurezza delle informazioni fondamentali per la salvaguardia del patrimonio aziendale.

L’accesso remoto con VPN

Il termine VPN sta per Virtual Private Network ed è diventato subito familiare a tutti in questo periodo di pandemia e di lavoro da casa. La VPN è quel software che ci permette di collegarci alla nostra rete aziendale ed avere accesso alle risorse aziendali necessarie allo svolgimento del nostro lavoro. La VPN tramite protocolli di sicurezza garantisce l’autenticazione del nostro dispositivo e la riservatezza dei dati che vengono cifrati e pertanto non sono leggibili sulla rete pubblica che attraversiamo.

Questo strumento ci consente quindi, di fare transitare dati privati su una rete pubblica (Internet). Queste architetture, che sono state vitali in questo periodo, derivano da un concetto di perimetro di rete dove il buono sta all’interno della rete e quello meno affidabile all’esterno.

Un modello che oggi stride con l’architettura in uso nella quale i dipendenti delle organizzazioni accedono in mobilità sia dall’interno che dall’esterno e dove le risorse spesso non risiedono più nel perimetro aziendale, ma in ambienti Cloud.

Inoltre, la pandemia ha sdoganato, per necessità, l’utilizzo di dispositivi personali (BYOD), ove la VPN viene abilitata su dispositivi che spesso vengono condivisi in famiglia, hanno pericolosi account amministrativi ed in un contesto dove il controllo sulla rispondenza alle policy e sulla presenza delle misure di sicurezza non è sempre perseguibile o possibile.

Inoltre, come abbiamo sperimentato tutti in questo periodo, la tecnologia VPN è dipendente dalla larghezza di banda della connessione esterna oltre che dall’architettura della rete interna, ovvero la segmentazione di rete utilizzata per isolare le connessioni esterne dalle risorse sensibili.

In base a queste ed ulteriori considerazioni sull’efficienza e la sicurezza offerta oggi da una architettura basata su VPN Gartner prevede che entro il 2023, il 60% delle aziende eliminerà gradualmente la maggior parte di queste infrastrutture a favore dell’accesso alla rete zero trust, una architettura considerata più flessibile molto più orientata agli scenari descritti precedentemente.

Zero Trust Network Access (ZTNA)

Il concetto che sta alla base di questa architettura di sicurezza è che solo il traffico che proviene da utenti, dispositivi e applicazioni autenticate possono accedere all’interno dell’organizzazione. In questo processo di autenticazione nessun traffico è considerato privo di intenti malevoli. Tutto il traffico proveniente da dispositivi/applicazioni note insieme al traffico internet non noto viene trattato come se fosse sospetto.

L’aspetto fondamentale di questa tecnologia è il concetto della fiducia zero (Zero Trust), principio che può essere riassunto come, “non fidarti mai, verifica sempre”.

L’altro principio alla base di ZTNA è quello del minimo privilegio, ovvero agli utenti viene concesso solo l’accesso alle applicazioni, dati e risorse di cui ha necessità per lo svolgimento del proprio lavoro.

Ovviamente come una VPN tradizionale le connessioni ZTNA sono crittografate in modo da garantire la riservatezza delle connessioni e dei suoi dati.

Questa architettura garantisce l’accesso in base all’identità degli utenti e dei loro dispositivi, oltre ad una serie di attributi di contesto quali ad esempio: ora/data, geolocalizzazione e postura del dispositivo. Il risultato è un ambiente più resiliente, che offre una maggiore flessibilità in tutti questi contesti in cui si necessiti di collaborazione tra ecosistemi digitali, lavoratori remoti e fornitori.

ZTNA fornisce pertanto, un accesso che ruota intorno all’identità, al contesto e alle risorse, riducendo la superficie per l’attacco. L’isolamento offerto da ZTNA migliora la connettività, ma soprattutto elimina la necessità di esporre direttamente le applicazioni sulla rete Internet.

L’architettura ZTNA si appoggia ad un broker/proxy di fiducia che media le connessioni tra applicazioni e utenti. Questo broker/proxy può essere un servizio Cloud gestito da un fornitore di servizi o può essere una appliance fisica installata nell’organizzazione.

Quando il broker/proxy ha valutato le credenziali dell’utente oltre al contesto del suo dispositivo, questo comunica con un gateway/connector in prossimità delle applicazioni stabilendo il percorso di uscita verso l’utente e creando la connessione

Conclusioni

La flessibilità offerta dalle soluzioni Zero Trust Access in tema di supporto alle aziende nel rispondere alle mutevoli condizioni di business e sicurezza risulta evidente, ma occorre tenere presente, per chi approcci questo viaggio, che non esiste una road map di implementazione e non ci sono dei veri e propri standard di settore oltre a non esserci alleanze solide tra i diversi vendor di queste soluzioni.

Occorrerà, quindi, metterci del proprio valutando pro e contro e pianificando con cura la sostituzione graduale dell’accesso basato su VPN, magari cominciando con gli utenti che non necessitano l’accesso completo alla rete, magari cominciando da quei progetti e applicazioni rivolte ai dipendenti e ai partner che espongono i servizi a connessioni Internet dirette.