Garantire un accesso remoto sicuro con il modello ZTNA

L’architettura Zero Trust si è affermata come alternativa ai modelli di sicurezza basati sul perimetro

accesso remoto

Pur essendo fondamentale nella gestione delle infrastrutture critiche, l’accesso remoto introduce anche molte lacune di sicurezza. Per questo Claroty ha sviluppato xDome Secure Access, creato ad hoc per soddisfare le esigenze specifiche del dominio OT. L’accesso remoto infatti consente alle aziende di ottimizzare e scalare le operazioni e mantenere l’efficienza introducendo però anche vulnerabilità, che crescono con l’aumentare del numero di dispositivi connessi. Entro il 2025, ci saranno più di 41 miliardi di dispositivi IoT in ambienti enterprise e consumer. Quindi garantire un accesso remoto sicuro è diventata una priorità assoluta per le organizzazioni di infrastrutture critiche che desiderano proteggere i propri dispositivi IoT .

Puntare su soluzioni più affidabili

Questo processo, tuttavia, non è così semplice da attuare. Questo perché molte aziende utilizzano ancora soluzioni di accesso tradizionali, come VPN e Jump Box, non adatte a proteggere gli ambienti Extended Internet of Things (XIoT) . Le aziende dovrebbero, infatti, affidarsi, a soluzioni che integrano principi di sicurezza come Identity Governance and Administration (IGA), Privileged Access Management (PAM) e Zero Trust Network Access (ZTNA).

Che cos’è Zero Trust Network Access (ZTNA)?

Il modello di sicurezza Zero Trust Network Access (ZTNA) fornisce un accesso remoto sicuro ad applicazioni, dati e servizi, indipendentemente dalla posizione dell’utente. ZTNA opera secondo il principio “Never trust, always verify”, garantendo l’accesso solo ai servizi che sono stati esplicitamente concessi all’utente. L’architettura Zero Trust si è pian piano affermata come alternativa ai modelli di sicurezza basati sul perimetro, che presuppongono che ci si possa fidare solo di utenti e dispositivi già all’interno della rete. Questo approccio è, però, diventato obsoleto con l’avvento della trasformazione digitale e con la diffusione, in tutti i settori, dell’accesso remoto alla rete.

Cosa comporta l’impiego di un accesso remoto sicuro con ZTNA

L’adozione di un modello ZTNA richiede un cambiamento di mentalità per le organizzazioni di infrastrutture critiche, che attualmente implementano ancora soluzioni di sicurezza tradizionali. Oggi, infatti, molti rischi e lacune legate alla sicurezza derivano proprio dall’integrazione dell’accesso remoto nelle infrastrutture critiche. Come ad esempio l’intersezione di rete o l’aumento dei rischi per la supply chain.

Le criticità delle VPN

Con l’aumento della connettività all’interno degli ambienti CPS, le aziende si sono affidate a soluzioni di accesso tradizionali come VPN e jump-server. Tuttavia, secondo Gartner, questi approcci si sono “dimostrati poco sicuri e sempre più complessi da gestire. Spesso mancano anche di un’adeguata granularità per concedere l’accesso a un singolo dispositivo, fornendo invece l’accesso all’intera rete”. Ciò è dovuto al fatto che queste soluzioni non sono state sviluppate per soddisfare i vincoli operativi, la sicurezza o le esigenze uniche del personale degli ambienti CPS. Rispetto a soluzioni che implementano principi di sicurezza fondamentali come ZTNA, le VPN presentano, infatti, delle carenze nelle seguenti aree:

  • Controllo degli accessi. L’accesso alla rete Zero Trust consente l’implementazione di controlli di accesso granulari basati su identità, postura del dispositivo e altri fattori. Le VPN, invece, una volta che l’utente si è autenticato, consento un accesso più ampio alla rete e non danno la possibilità di implementare metodi Zero Trust, creando così delle potenziali lacune di accesso.

Una minaccia per la sicurezza

  • Modelli Trust. ZTNA presuppone zero trust , ovvero l’accesso non viene mai considerato attendibile solo sulla base di fattori come la posizione della rete o l’identità dell’utente. Le VPN, invece, poggiano le proprie fondamenta su un modello basato sul perimetro, concedendo fiducia in base alla posizione all’interno della rete o all’autenticazione riuscita. Una volta all’interno, gli utenti godono di ampi privilegi di accesso, il che può rappresentare una minaccia per la sicurezza.
  • Architettura di rete. ZTNA disaccoppia il controllo degli accessi dalla topologia di rete, fornendo in modo sicuro l’accesso alle risorse indipendentemente dalla posizione o dalla rete. Le VPN o altri approcci incentrati sulla rete possono essere limitati da vincoli di rete e possono essere complessi da gestire.

L’accesso remoto sicuro permette la verifica dell’affidabilità dell’utente

  • Postura. L’accesso alla rete Zero Trust riduce al minimo la superficie di attacco e fornisce una postura di sicurezza più solida, verificando costantemente l’affidabilità dell’utente e del dispositivo durante la sessione. Le VPN possono introdurre rischi per la sicurezza, tra cui vulnerabilità del controllo VPN, debolezza della crittografia o controlli di accesso statici.
  • User Experience. ZTNA fornisce un accesso fluido alle risorse in base al contesto dell’utente. Questi controlli di accesso vengono applicati in modo trasparente, riducendo al minimo eventuali interruzioni di servizio. Al contrario, le VPN possono introdurre attriti se gli utenti riscontrano problemi di connettività, difficoltà di autenticazione o colli di bottiglia delle prestazioni durante l’accesso remoto alle risorse.
  • Quale approccio è più adatto?

Sebbene le VPN siano state efficaci nel fornire connettività remota in passato, non affrontano completamente le sfide e i requisiti di sicurezza informatica degli ambienti di lavoro moderni. Secondo una ricerca del Team82 di Claroty, le imprese devono lottare con la proliferazione di strumenti di accesso remoto: il 55% di esse, infatti, attualmente presenta quattro o più strumenti di accesso remoto all’interno della propria rete industriale. Ancora più allarmante, però, è che il 79% utilizza soluzioni prive di controlli di sicurezza critici per gli ambienti OT.

Nelle aziende aumentano le esposizioni ad alto rischio

Questi strumenti non dispongono di funzionalità di base per la gestione degli accessi privilegiati, come la registrazione delle sessioni, l’audit, i controlli di accesso basati sui ruoli. E persino le funzionalità di sicurezza di base, come l’autenticazione a più fattori (MFA). La conseguenza dell’utilizzo di questi tipi di strumenti è un aumento delle esposizioni ad alto rischio e costi operativi aggiuntivi derivanti dalla gestione di una moltitudine di soluzioni. Per questo motivo, le aziende stanno valutando soluzioni alternative, come quelle che integrano i principi ZTNA, IGA e la gestione degli accessi privilegiati remoti (RPAM), per migliorare la sicurezza e adattarsi in modo efficace al panorama delle minacce in continua evoluzione.

Accesso remoto sicuro con ZTNA

Claroty, comprendendo le sfide dettate dalle soluzioni di accesso remoto tradizionali, la necessità di misure di sicurezza efficaci e di un’architettura Zero Trust, ha sviluppato una soluzione di accesso remoto per soddisfare le esigenze del dominio OT. xDome Secure Access sfrutta i principi IGA, RPAM e ZTNA personalizzati per gli ambienti CPS, consentendo operazioni scalabili e gestite centralmente tramite un servizio basato su cloud. Bilancia l’accesso e il controllo sicuro sulle interazioni di terze parti con i sistemi cyber-fisici, migliorando la produttività, riducendo i rischi e le complessità amministrative. Garantendo inoltre la conformità in architetture complesse e uniche in una varietà di ambienti CPS.