ZTNA (Zero Trust Network Access): cos’è, come funziona e perché sta sostituendo la VPN aziendale

La sicurezza delle reti aziendali si è basata per decenni su un principio molto semplice: chi è dentro il perimetro è affidabile, chi è fuori no. Un modello inizialmente funzionale, ma diventato obsoleto non appena dipendenti, applicazioni e dati hanno smesso di risiedere in un unico luogo fisico.

Oggi il lavoro è distribuito, i servizi in cloud sono onnipresenti e le minacce alla sicurezza possono arrivare anche dall’interno. La classica Virtual Private Network (VPN) – a lungo considerata lo standard per l’accesso da remoto – non è più sufficiente: crea accessi troppo estesi, è difficilmente scalabile e offre scarsa visibilità sulle attività degli utenti una volta connessi. Rischi e limiti, questi, che rendono necessario il passaggio dal vecchio modello perimetrale a quello più sicuro, adattivo e segmentato dello Zero Trust Network Access (ZTNA).

In questo articolo vediamo, quindi, come funziona il modello ZTNA, in cosa si differenzia dalla VPN, quando conviene adottarlo e quale ruolo gioca per le aziende che devono adeguarsi alla direttiva NIS2.

Lo Zero Trust Network Access (ZTNA) è un modello di sicurezza informatica fondato su un principio tanto chiaro quanto categorico: “mai fidarsi, verificare sempre”. A differenza dei sistemi tradizionali, basati su modello perimetrale, nessun utente, dispositivo o applicazione viene considerato automaticamente affidabile, a prescindere dal fatto che si trovi dentro o fuori dalla rete aziendale.

Il concetto di “Zero Trust” fu introdotto nel 2010 dall’analista John Kindervag, ma è diventato uno standard operativo solo di recente. L’esplosione del lavoro da remoto e l’adozione del cloud hanno, infatti, reso le aziende vulnerabili ad attacchi di tipo lateral movement: una tecnica in cui l’attaccante, una volta superata la barriera esterna, si muove liberamente nella rete per colpire le risorse più sensibili.

In concreto, lo ZTNA sostituisce l’idea di “perimetro statico” con un controllo granulare e continuo: ogni tentativo di connessione viene convalidato in tempo reale in base all’identità dell’utente, allo stato del dispositivo e al contesto specifico. Non esiste più un “dentro” sicuro: ogni singola risorsa è protetta individualmente e l’accesso è concesso solo per lo stretto necessario.

II funzionamento dello Zero Trust Network Access si basa su una serie di controlli rigorosi che avvengono prima, durante e dopo ogni singola sessione. Il punto di partenza è l’identità: l’utente deve autenticarsi – preferibilmente tramite Multi-Factor Authentication (MFA) – prima che venga stabilita qualsiasi connessione.

Una volta confermata l’identità, il sistema non si limita a “fare entrare” l’utente, ma analizza costantemente diverse variabili contestuali:

• integrità del dispositivo: non è sufficiente che l’utente sia chi dice di essere; il dispositivo utilizzato deve essere censito dall’azienda, avere il sistema operativo aggiornato all’ultima versione di sicurezza e disporre di un antivirus attivo e funzionante. Se il device è compromesso o non conforme alle policy, l’accesso viene negato a prescindere dalle credenziali
• contesto e geolocalizzazione: il sistema valuta la provenienza della connessione. Un tentativo di accesso che avviene da una posizione geografica insolita o tramite una rete Wi-Fi pubblica non protetta può far scattare un blocco automatico o la richiesta di un’ulteriore prova di identità, riducendo drasticamente il rischio di intrusioni da remoto
• ruolo e permessi (Least Privilege): l’utente non accede all’intera rete aziendale, ma solo alle specifiche applicazioni e database necessari per svolgere le sue mansioni in quel preciso momento. Questo limita la “superficie di attacco”: se un account venisse compromesso, l’attaccante resterebbe confinato in un perimetro estremamente ristretto
• analisi del comportamento (UEBA): lo ZTNA monitora le attività in tempo reale per identificare anomalie rispetto ai pattern abituali. Se un utente che solitamente consulta file amministrativi inizia improvvisamente a scaricare massivamente dati tecnici o a tentare l’accesso a server fuori orario, il sistema può intervenire tempestivamente

Solo se tutti i requisiti sono soddisfatti, l’accesso viene concesso. Il monitoraggio, inoltre, è dinamico: se durante la sessione il sistema rileva un cambiamento nel livello di rischio (ad esempio, l’antivirus del PC viene disattivato), l’accesso può essere revocato istantaneamente, interrompendo la sessione in corso.

Come ogni IT Manager sa, la tradizionale VPN funziona creando un tunnel cifrato tra il dispositivo dell’utente e la rete aziendale. Una volta stabilita la connessione, l’utente viene considerato “affidabile” e ottiene spesso accesso all’intera rete o a segmenti molto ampi della stessa. Questo approccio, sicuramente efficace nell’era degli uffici fisici, presenta, oggi come oggi, evidenti limiti di sicurezza e scalabilità.

Lo ZTNA opera in modo radicalmente diverso. Ecco le differenze più rilevanti:

• ambito di accesso: la VPN garantisce l’accesso alla rete; lo ZTNA concede l’accesso esclusivamente a singole applicazioni o le necessarie risorse
• gestione della fiducia: la VPN dà fiducia implicita dopo l’autenticazione iniziale; lo ZTNA applica una verifica continua durante l’intera sessione
• scalabilità e cloud: la VPN fatica a scalare in ambienti multi-cloud e con team globali; lo ZTNA è cloud-native, progettato per connettere utenti distribuiti a risorse sparse su diversi provider senza cali di performance
• visibilità: la VPN offre una visibilità limitata su ciò che l’utente fa una volta “dentro”; lo ZTNA monitora e registra ogni singolo accesso in tempo reale, facilitando l’audit e la risposta agli incidenti

Va detto che la tecnologia VPN non scomparirà dall’oggi al domani: in molte realtà continua e continuerà ad avere senso come strumento complementare, soprattutto per accessi a sistemi legacy (datati) non ancora migrati. Tuttavia, per le aziende che operano in ambienti ibridi o completamente in cloud, lo ZTNA rappresenta un salto qualitativo ormai indispensabile in termini di protezione e controllo dei dati.

Non esiste un momento universalmente “giusto” per passare allo Zero Trust Network Access, ma ci sono scenari in cui la transizione diventa non solo conveniente, ma urgente. Nella nostra esperienza al fianco delle imprese, i segnali che indicano la necessità di passare allo ZTNA sono estremamente chiari.

Lo ZTNA, infatti, è la scelta più indicata se:

• il lavoro è ibrido o remoto: ci sono dipendenti che accedono stabilmente alle risorse aziendali da casa, in viaggio o da sedi distaccate
• l’infrastruttura è multicloud: si utilizzano applicazioni SaaS e infrastrutture cloud integrate a sistemi on-premise
• si gestiscono collaborazioni esterne: bisogna fornire accesso granulare a consulenti, partner o fornitori senza esporre l’intera rete aziendale
• si trattano dati sensibili: si opra in settori regolamentati. dove la protezione del dato e l’audit degli accessi sono requisiti normativi
• si vuole ridurre il rischio di data breach: urge prevenire attacchi basati sulla compromissione delle credenziali e di tipo lateral movement

Al contrario, per le micro-imprese con un’infrastruttura interamente locale e un team ridotto, una VPN ben configurata può ancora rappresentare una soluzione sufficiente. La valutazione, tuttavia, va fatta considerando il contesto specifico, il livello di rischio che l’azienda è disposta ad accettare e la complessità della rete.

La Direttiva NIS2, il cui recepimento è diventato pienamente operativo per le realtà italiane nell’ottobre 2024, impone requisiti rigorosi in materia di sicurezza delle reti e dei sistemi informativi. Per le aziende che rientrano nel suo perimetro, non si tratta più di un suggerimento, ma di un obbligo di legge che prevede l’adozione di misure tecniche “adeguate e proporzionate” per la gestione del rischio.

Lo ZTNA si allinea naturalmente ai pilastri della NIS2 su più livelli:

• controllo degli accessi: la direttiva richiede policy rigorose che lo Zero Trust Network Access soddisfa grazie alla verifica continua dell’identità
• sicurezza della Supply Chain: lo Zero Trust Network Access permette di dare accesso ai fornitori esterni solo a ciò che serve, riducendo i rischi legati alla catena di approvvigionamento citati esplicitamente dalla norma
• resilienza e monitoraggio: la visibilità in tempo reale offerta dal modello Zero Trust facilita la rilevazione e la notifica degli incidenti, un altro requisito cardine della direttiva

Adottare lo Zero Trust Network Access non è, quindi, solo una scelta tecnologica d’avanguardia, ma un passo concreto verso la compliance normativa, così da ridurre il rischio di pesanti sanzioni e, soprattutto, di incidenti reali.

Ora che abbiamo visto come funziona il modello di sicurezza Zero Trust Network Access (ZTNA), in cosa si distingue dalla VPN tradizionale e come si integra con i requisiti della direttiva NIS2, non mi rimane che rivolgere il consueto invito.

Se sei alla ricerca di una connessione in fibra ottica, ponte radio o satellitare per la tua azienda, compila il modulo di contatto o scrivici all’indirizzo helpdesk@fol.it.

Insieme, individueremo la soluzione di connettività aziendale più adatta alle tue esigenze di business, supportandoti con professionalità e competenza.

Massimiliano De Gabriele

CEO di FOL.it

Imprenditore digitale • Information Technology & TLC • founder FOL.it Srl • MiniVip è il mio migliore amico