18 agosto 2022
Di Vishwas Manral - Tecnologo e responsabile della sicurezza nativa del cloud, Skyhigh Security
Sento molti miti su cosa sia Zero Trust Network Access (ZTNA) e su come si comporti rispetto alla VPN. Alcuni sono veri e molti sono lontani dalla verità. Avendo scritto gli standard relativi ad alcune delle principali tecnologie di sicurezza e VPN, come IPsec/ ADVPN e MPLS, ho deciso di approfondire la tecnologia e di sfatare qualche mito.
Cerchiamo di approfondire il nocciolo della questione - ZTNA vs VPN - qual è la realtà e la finzione tra i due? Facciamo un'immersione profonda nelle somiglianze e nelle differenze tra ZTNA e VPN.
Lo ZTNA riduce notevolmente la superficie di attacco e impedisce il movimento laterale. Come si è visto in questo attacco a Cisco, quando gli aggressori utilizzano il movimento laterale in modo efficace, può essere molto difficile per i team di sicurezza rilevarlo, ed è per questo che lo ZTNA diventa molto critico.
VPN
VPN è l'acronimo di Virtual Private Networks (reti private virtuali). Le VPN estendono le reti private attraverso la rete Internet pubblica. La rete può collegarsi al livello Data link (Layer-2 o Ethernet), al livello Internet (Layer-3 o IP) o al livello di trasporto (Layer-4 o TCP) attraverso un tunnel. Ad esempio, quando c'è una VPN Layer-2 tra i due siti, i siti possono condividere la stessa sottorete IP attraverso la rete Internet pubblica. Questo comporta un'ampia superficie di attacco, rendendo il servizio vulnerabile. La VPN di accesso remoto è un caso d'uso delle VPN in cui gli utenti remoti si collegano con i loro dispositivi aziendali alle reti e alle applicazioni aziendali attraverso una VPN.
ZTNA
Zero Trust Network Access (ZTNA) crea un modello di minimo privilegio (Zero Trust) per le VPN ad accesso remoto, consentendo all'utente di connettersi con le applicazioni. ZTNA fornisce l'accesso alle applicazioni attraverso un broker di sicurezza, e l'applicazione diventa non individuabile senza il broker. Con ZTNA, la connessione tra l'utente e l'applicazione avviene a livello di applicazione (Layer-7), consentendo all'utente di accedere solo all'applicazione in base al contesto del dispositivo, dell'utente e dell'applicazione. Inoltre, il broker può ispezionare e proteggere tutto il traffico prima che arrivi all'applicazione.
Domande difficili: Miti comuni su ZTNA e VPN
ZTNA e Zero trust sono la stessa cosa?
No. Zero Trust è un insieme di principi architettonici che si basano su "verifica sempre e poi fidati". ZTNA è il primo caso d'uso di Zero Trust. Applica i principi di Zero Trust al caso d'uso della VPN ad accesso remoto. Zero Trust è il "come", mentre ZTNA è il "cosa". Ora abbiamo casi d'uso di Zero Trust per l'accesso ai dati, l'accesso alle applicazioni e molto altro ancora.
Lo ZTNA è più adatto all'accesso remoto che alla VPN?
Sì. Le ragioni sono ovvie. Lo ZTNA offre una migliore sicurezza, una facile scalabilità e un'agevole gestione e onboarding. Con l'aumento del lavoro a distanza, le soluzioni ZTNA fornite nel cloud sono più facili da scalare.
Le VPN scompariranno presto e non ci saranno altri casi d'uso delle VPN?
No. Le VPN hanno molti casi d'uso diversi. Tra questi, la prevenzione dell'eves dropping, le VPN da sito a sito, il download anonimo e altri casi d'uso di VPN ad accesso non remoto che ZTNA non sostituisce. Le soluzioni VPN sono generalmente fornite come appliance fisiche o virtuali e sono più difficili da scalare.
Gli algoritmi di sicurezza ZTNA sono più sicuri delle VPN?
No. Gli stessi algoritmi di crittografia, generazione di chiavi e autenticazione possono essere utilizzati sia per le VPN che per le ZTNA. Non ci sono differenze tecnologiche, anche se possono esserci differenze nelle reali implementazioni.
Lo ZTNA non riguarda principalmente la connettività, i tunnel sicuri e i controlli di rete, proprio come le VPN?
Anche se lo ZTNA è nato come un sostituto della VPN, è molto di più dei controlli incentrati sulla rete e basati sull'identità. Lo ZTNA sta diventando più incentrato sui dati e sulla sicurezza. Con ZTNA, le politiche DLP possono essere applicate a tutti i file in uscita, per evitare fughe di dati dolose o involontarie.
Proprio come la VPN, anche ZTNA richiede il client ZTNA per funzionare?
No. ZTNA può essere supportato in modo clientless e non richiede necessariamente un agente. Per le applicazioni web, ZTNA può utilizzare le funzionalità native del browser e i plugin per creare una connettività sicura per l'utente finale.
Con tutte le strane idee sbagliate e le argomentazioni fallaci che ho sentito riguardo alle soluzioni ZTNA e VPN, è bene esaminare più da vicino ciò che queste soluzioni realizzano. Spero di averla aiutata a sfatare i suoi miti su ZTNA e VPN!
Torna ai blog