Zero Trust Network Access (ZTNA)
Cos’è Zero Trust Network Access (ZTNA)?

Zero Trust Network Access (ZTNA) si riferisce a una serie di tecnologie innovative progettate per garantire un accesso sicuro alle applicazioni private. Definite anche software-defined perimeter (SDP), le tecnologie ZTNA si basano su policy di accesso granulari per connettere gli utenti autorizzati a specifiche applicazioni, senza dover accedere all’intera rete aziendale, creando una segmentazione a livello di applicazione con privilegi minimi come una sostituzione della segmentazione della rete e, a differenza di un concentratore VPN, senza esporre la posizione delle applicazioni su Internet pubblico.

Scopri il SASE unificato di HPE Aruba Networking
Indice

    Tempo di lettura: 10 minuti e 33 secondi | Pubblicazione: 24 marzo 2026

    Diagramma: conoscere i servizi ZTNA e il loro funzionamento.

    ZTNA in dettaglio

    Il motivo di un’adozione ZTNA sempre più diffusa risiede nella necessità di lavorare da qualsiasi luogo e di consentire a ogni utente, applicazione e dispositivo di connettersi in modo sicuro tramite internet. Tutto questo è logico, dato che un numero sempre maggiore di applicazioni aziendali si basa su SaaS e le applicazioni private continuano a essere eseguite in ambienti ibridi o multi-cloud.

    La problematica è che Internet è stato progettato per connettere le entità, non per bloccarle. Con un indirizzo IP corretto e funzionalità di chiamata in uscita, tutti i dispositivi possono comunicare tramite Internet. Gli autori delle minacce sfruttano le organizzazioni che non dispongono di strategie zero trust adeguate.

    A differenza delle VPN e dei firewall, i servizi ZTNA sono progettati per connettere in modo sicuro specifiche entità tra di loro, senza la necessità di un accesso globale alla rete. Nella maggior parte dei casi, si tratta di dipendenti e utenti terzi che si connettono da casa, in viaggio o in ufficio. Ma tutto questo non si limita agli utenti: la tecnologia ZTNA può essere applicata anche al traffico da applicazione ad applicazione e sotto forma di microsegmentazione.

    Quali sono i concetti chiave di ZTNA?

    • Base zero trust: ZTNA si basa sul principio del modello zero trust, questo significa che nessun utente o sistema è considerato affidabile per impostazione predefinita, indipendentemente da dove o come si connette. Ogni richiesta di accesso deve essere completamente autenticata, autorizzata e crittografata prima di concedere l’accesso.
    • Accesso orientato alle applicazioni: a differenza degli approcci tradizionali che consentono di accedere alla rete, ZTNA garantisce che l’accesso venga fornito solo ad applicazioni specifiche. Questo avviene attraverso connessioni solo in uscita che riducono la superficie di attacco ed evitano di esporre la rete aziendale a Internet.
    • Accesso con privilegi minimi: ZTNA applica il principio del privilegio minimo fornendo agli utenti il livello minimo di accesso necessario per svolgere in modo efficace la propria mansione. Questo avviene attraverso policy di accesso granulari, applicate in modo coerente e globale in tutta l’organizzazione, indipendentemente dalla posizione dell’utente.
    • Cloud-native per velocità e scalabilità: per garantire un accesso rapido e affidabile, ZTNA sfrutta l’infrastruttura cloud. Questo consente di ottenere la scalabilità richiesta per soddisfare le diverse esigenze di larghezza di banda e garantire che gli utenti possano collegarsi immediatamente alle applicazioni di cui hanno bisogno senza compromettere la sicurezza.

    Quali sono le caratteristiche principali di ZTNA?

    • Accesso basato sull'identità: ZTNA analizza e verifica l'identità degli utenti e dei dispositivi prima di concedere l'accesso. Utilizza l'autenticazione e l'autorizzazione del tuo provider IDP esistente per garantire che solo gli utenti legittimi possano accedere alle risorse.
    • Controllo granulare degli accessi: anziché concedere un accesso generalizzato a una rete, ZTNA impone un accesso granulare ad applicazioni o servizi specifici in base ai ruoli degli utenti, al comportamento dei dispositivi e a fattori contestuali.
    • Principio del privilegio minimo: l'accesso è limitato solo a quanto è necessario all'utente per svolgere le proprie attività, riducendo al minimo la superficie di attacco.
    • Segmentazione delle applicazioni: ZTNA garantisce che utenti e dispositivi possano accedere solo alle risorse specifiche per cui sono autorizzati, impedendo movimenti laterali all'interno di una rete con policy zero trust anziché con una complessa segmentazione della rete.
    • Verifica continua: ZTNA monitora e verifica costantemente l'attività degli utenti e l’integrità dei dispositivi. Se la sessione di un utente diventa sospetta o il livello di sicurezza di un dispositivo cambia, l’accesso potrebbe essere revocato.
    • Supporto al lavoro da remoto e ibrido: ZTNA è ideale per le organizzazioni con personale da remoto o ibrido, poiché garantisce un accesso sicuro alle applicazioni indipendentemente dalla posizione fisica dell'utente.
    • Cloud-native: lo ZTNA spesso è basato su cloud e si integra con gli ambienti enterprise moderni, tra cui applicazioni SaaS, cloud pubblici, cloud privati e data center privati.

    Come funziona ZTNA?

    Lo ZTNA crea una connessione sicura e crittografata tra il dispositivo dell'utente e l'applicazione o il servizio privato a cui deve accedere. Di solito prevede quanto segue.

    • Autenticazione: l'utente fornisce le credenziali e la sua identità viene verificata tramite autenticazione a più fattori (MFA) o provider di identità (IdP).
    • Convalida del dispositivo: viene valutata la compliance alle policy di sicurezza del dispositivo (ad esempio, versione del sistema operativo, stato dell'antivirus, ecc.).
    • Applicazione delle policy: una volta autenticato, l'accesso viene concesso in base alle policy zero trust predefinite che tengono conto del ruolo dell'utente, della sicurezza del dispositivo, della posizione e di altri fattori contestuali.
    • Accesso specifico all'applicazione: lo ZTNA garantisce che gli utenti vedano e accedano solo alle applicazioni per cui sono autorizzati, senza visibilità o accesso al resto della rete.

    Come viene implementato ZTNA?

    L’implementazione di ZTNA varia in base al fornitore, ma molti affermano che la best practice per la sua implementazione sia un programma graduale che inizia con la fase di preparazione e termina con l’operatività. 

    • Fase 1 – Pianificazione e preparazione: analizza le applicazioni private e le popolazioni di utenti, individua i casi d'uso iniziali ad alto valore, come la migrazione di applicazioni note a ZTNA e la sostituzione della VPN. Successivamente, definisci gli input delle policy di accesso, come identità, dispositivo e sensibilità dell'applicazione.
    • Fase 2 – Configurazione e abilitazione: implementa il piano di controllo/livello delle policy di ZTNA, integra l'identità (IdP) e configura ZTNA in componenti SSE gestibili con un approccio strutturato, che includa policy e registrazione/visibilità. 
    • Fase 3 – Implementazione e transizione: integra il primo set di applicazioni e utenti, migra i flussi di lavoro da un accesso di rete di tipo VPN a un accesso ad applicazioni specifiche e convalida i risultati relativi all'esperienza dell'utente finale e all'accesso.
    • Fase 4 – Individuazione, configurazione, iterazione: espandi la copertura in modo iterativo e individua ulteriori applicazioni/flussi, applica le lezioni apprese e continua a restringere l'accesso con privilegi minimi durante la fase di espansione. 
    • Fase 5 – Adozione: standardizza i processi (ciclo di vita delle policy, runbook di onboarding, monitoraggio, hook di risposta agli incidenti), in modo tale che ZTNA diventi la "normale modalità di accesso", non un progetto speciale.

    In che modo ZTNA migliora la strategia di protezione della rete aziendale?

    In termini di strategia di protezione, ZTNA migliora la baseline dell'organizzazione modificando il significato di "accesso remoto" dall'estensione della rete all’accesso ad applicazioni specifiche, negoziato tramite policy. Le risorse interne sottolineano ripetutamente tre miglioramenti della sicurezza: riduzione della superficie di attacco, riduzione dei movimenti laterali e applicazione più coerente delle policy in tutte le sedi. 

    • ZTNA riduce le infrastrutture esposte e le opportunità di scansione: invece di pubblicare gateway VPN generici o lasciare aperti i percorsi inbound, ZTNA funge da broker per le connessioni in modo tale che l'unico livello raggiungibile sia quello di policy/broker e le applicazioni private non siano generalmente individuabili. In effetti, i malitenzionati  non possono quello che non vedono.
    • Lo ZTNA riduce il raggio d'azione limitando il movimento laterale: il modello di ZTNA evita di connettere l'utente alla rete aziendale, limitando l’accesso ad applicazioni specifiche. Tenendo gli utenti lontani dalla rete aziendale, l'azienda è in grado di ridurre drasticamente il movimento laterale e quindi il rischio.
    • Lo ZTNA migliora la coerenza e la resilienza negli ambienti ibridi: L’Universal ZTNA (UZTNA) viene descritto come un sistema che estende la stessa applicazione del principio zero trust a tutti i percorsi di accesso (da remoto e on-premise), con le stesse policy che si applicano se l’utente si trova in un bar o alla scrivania. Inoltre, le funzionalità ZTNA Private Edge mantengono il traffico a livello locale e possono supportare la continuità operativa quando Internet non è disponibile, migliorando la resilienza operativa e garantendo al contempo controlli di sicurezza coerenti. 
    • Lo ZTNA spesso accelera i risultati della riduzione del rischio nelle prime fasi di un programma zero trust: lo ZTNA è il punto di partenza per molte organizzazioni perché è una soluzione pratica che offre ai team risultati immediati, migliorando l'esperienza utente, riducendo i rischi, oltre a contribuire in scenari come l'accesso di terze parti, la sostituzione delle VPN e persino l'accelerazione dell'integrazione in caso di fusioni e acquisizioni. 

    Quali sono i vantaggi di ZTNA?

    • Sicurezza avanzata: lo ZTNA opera in base al principio di"non fidarsi mai e di verificare sempre", che riduce significativamente il rischio di accessi non autorizzati. Applicando rigorosi controlli di verifica dell'identità e di accesso contestuale, ZTNA garantisce che gli utenti e i dispositivi siano costantemente autenticati e autorizzati prima di accedere a qualsiasi risorsa. In questo modo si riducono al minimo le possibilità di spostamenti laterali all'interno della rete, anche se un aggressore ottiene l'accesso iniziale.
    • Superficie di attacco ridotta: uno dei punti di forza principali di ZTNA è la sua capacità di rendere le applicazioni e i servizi invisibili agli utenti non autorizzati. Nascondendo le risorse interne dietro livelli di autenticazione ed esponendole solo alle identità verificate, ZTNA limita in modo significativo i potenziali punti di ingresso per gli aggressori. Questo approccio "dark cloud" garantisce che, anche se un sistema viene preso di mira, rimanga inaccessibile senza le credenziali e il contesto corretti.
    • Esperienza utente migliorata: a differenza delle VPN tradizionali che spesso richiedono connessioni manuali e possono rallentare le prestazioni, ZTNA offre un'esperienza più efficiente e trasparente. Gli utenti possono accedere in modo sicuro alle applicazioni da qualsiasi luogo o dispositivo, senza dover ricorrere a client VPN complessi. Questo si traduce in tempi di accesso più rapidi, meno interruzioni e un flusso di lavoro più intuitivo, aspetti particolarmente vantaggiosi per gli ambienti di lavoro da remoto e ibridi.
    • Scalabilità: lo ZTNA è progettato per supportare ambienti IT dinamici e distribuiti. Se la tua organizzazione sta espandendo il suo modello cloud, supportando una forza lavoro da remoto in crescita o integrando fornitori di terzi, con ZTNA puoi scalare facilmente. La sua architettura cloud-native consente una distribuzione facile e una gestione in più ambienti, riducendo la complessità dei modelli tradizionali di protezione della rete.

    Quali sono i casi d'uso di ZTNA?

    • Alternativa alla VPN per il lavoro da qualsiasi luogo: usa la tecnologia ZTNA per sostituire le VPN di accesso remoto normalmente utilizzate per connettere gli utenti a una rete, garantendo un’esperienza più veloce e sicura.
    • Accesso dei dipendenti in ufficio: non fidarti in modo intrinseco degli utenti on-premise e sfrutta i broker zero trust in hosting nel cloud pubblico o quelli privati distribuiti all’interno del tuo ambiente per un accesso con privilegi minimi e una segmentazione più semplice, un’esperienza utente più rapida e una compliance più facile.
    • Protezione dell’accesso di terzi: sfrutta l’accesso agentless per consentire a partner, fornitori e clienti dell’ecosistema aziendale di accedere in modo sicuro ai dati aziendali critici, senza concedere l’accesso all’intera rete.
    • Accelerazione dell’integrazione dell’IT durante fusioni e acquisizioni o cessioni: lo ZTNA consente di accelerare ciascun processo, che normalmente richiede da 9 a 14 mesi, a pochi giorni o settimane, evitando la necessità di consolidare (o suddividere) le reti, di gestire la NAT per gli indirizzi IP sovrapposti o di creare un’infrastruttura VDI.
    • Alternativa VDI: evita i costi elevati, i problemi di scalabilità e la latenza della VDI tradizionale sostituendo gli ambienti virtuali complessi con ZTNA. Lo ZTNA garantisce un accesso remoto sicuro e senza interruzioni tramite connessioni dirette e basate su policy alle applicazioni, in base all'identità dell'utente, al comportamento del dispositivo e al contesto.

    HPE Aruba Networking ZTNA

    Come parte della piattaforma HPE Aruba Networking SSE, HPE Aruba Networking ZTNA fornisce un’alternativa moderna alle soluzioni VPN tradizionali per l’accesso remoto con una connettività globale sicura per qualsiasi utente, dispositivo e applicazione privata, con zero trust.

    Come già detto, ZTNA è parte integrante della piattaforma HPE Aruba Networking Security Service Edge (SSE). Tuttavia, la piattaforma complessiva abbina la potenza di ZTNA, SWG, CASB e Digital Experience Monitoring in un’unica soluzione cloud con un singolo punto di gestione per gestire tutti i componenti.

    Prodotti, soluzioni o servizi correlati

    HPE Aruba Networking SSE

    Consenti l'accesso costante e sicuro per ogni utente, dispositivo e applicazione, ovunque, con Security Service Edge (SSE).

    Per saperne di più

    Domande frequenti su ZTNA

    Qual è la differenza tra ZTNA e ZTA?

    L’architettura zero trust (ZTA) è la strategia o l'architettura di sicurezza complessiva che prevede di operare come se la rete fosse già ostile. La ZTA è l'approccio che consente di progettare sistemi in cui l'accesso è costantemente verificato, rigorosamente circoscritto e resiliente anche in caso di compromissione. In altre parole, è il modello di"come costruiamo e gestiamo la sicurezza" che abbraccia identità, dispositivi, applicazioni, dati e reti. Lo Zero Trust Network Access (ZTNA) è una capacità/tecnologia specifica che implementa parte di questo modello: fornisce accesso sicuro alle applicazioni private (nei data center e/o nel cloud) senza che l'utente si colleghi alla rete aziendale. I materiali interni descrivono lo ZTNA come una soluzione che consente l'accesso mantenendo gli utenti al di fuori della rete aziendale, riducendo al minimo l'esposizione e spesso sostituendo la VPN per l'accesso privato alle applicazioni.  

    Un modo pratico per ricordare la relazione tra ZTA e ZTNA: 

    • ZTA = il "progetto dell’intero edificio" (principi e architettura in tutti i domini della sicurezza).  
    • ZTNA = un "sistema di chiavi e serrature" all'interno del progetto dell’edificio (controllo dell'accesso delle applicazioni private che applica il principio del privilegio minimo e riduce la superficie di attacco). 
    Quali sono le funzioni chiave di ZTNA?

    In sostanza, ZTNA esiste per fornire l’accesso alle applicazioni private con privilegi minimi e un'esposizione ridotta. Il posizionamento interno di SSE riassume l'intento funzionale di ZTNA come: proteggere l'accesso alle applicazioni private, ridurre al minimo l'esposizione, rimuovere l'accesso alla rete, sostituire la VPN e ispezionare il traffico.  

    • Autorizzazione a livello di applicazione, invece dell’ammissione alla rete: viene concesso l'accesso ad applicazioni specifiche autorizzate senza connettere l'utente alla rete aziendale. 
    • Riduzione della superficie di attacco: essenzialmente "rendere invisibile la rete". ** Le applicazioni e i servizi non sono generalmente accessibili, gli utenti non autorizzati non possono vederli per analizzarli o accedervi.  
    • Applicazione del principio del privilegio minimo: l'accesso è limitato agli elementi che l'utente è autorizzato a raggiungere e nient'altro, riducendo il rischio di movimenti laterali rispetto all'accesso a livello di rete.  
    • Ispezione del traffico e applicazione delle policy sui percorsi di accesso delle applicazioni private: lo ZTNA è un framework che consente l'accesso sicuro, ispezionando al contempo il traffico e costituisce il "primo pilastro" fondamentale in uno stack SSE che include anche SWG, CASB, FWaaS e DEM. 
    • Ampia copertura tra utenti, dispositivi e protocolli: applicazione coerente per utenti da remoto, on-premise, appaltatori, partner, dispositivi gestiti e non gestiti e protocolli multipli (ad esempio SSH/RDP/database).
    Qual è la differenza tra ZTNA e VPN?

    Una VPN fornisce principalmente la connettività a livello di rete: una volta connesso, l'utente si trova effettivamente sulla rete aziendale e il modello di sicurezza si basa principalmente sui controlli perimetrali, oltre che sull’eventuale segmentazione interna già esistente. Al contrario, lo ZTNA è progettato per l'esperienza opposta, con accesso a livello di applicazione senza accesso alla rete. 

    • VPN: il modello "connessione prima, protezione poi" prevede che gli utenti vengano integrati nella rete aziendale. Le VPN tendono ad aumentare l'importanza e la complessità della segmentazione interna per impedire movimenti laterali dopo la connessione di un dispositivo. 
    • ZTNA: "verifica prima e connessione specifica"—gli utenti accedono solo ad applicazioni autorizzate senza essere sulla rete stessa, spesso esplicitamente posizionata come "sostituzione della VPN." Lo ZTNA riduce la dipendenza dalla segmentazione interna evitando di concedere agli utenti di raggiungere la rete più ampia: l'accesso è limitato alle singole applicazioni.
    Qual è la differenza tra ZTNA e i firewall?

    Sia Zero Trust Network Access (ZTNA), sia i firewall consentono di proteggere l'accesso ai sistemi, ma lo fanno in modo fondamentalmente diverso. Un firewall è principalmente un controllo del perimetro della rete o della segmentazione della rete che filtra e ispeziona il traffico in base ad attributi orientati alla rete (ad esempio, indirizzi IP, porte, protocolli e, sui firewall di nuova generazione, ispezione di applicazioni/contenuti) per decidere quale traffico può transitare tra le zone di rete. 

    Al contrario, lo ZTNA è un modello di accesso incentrato sull'identità e sul contesto che sposta la sicurezza dalla "fiducia di quello che si trova all'interno della rete" alla verifica esplicita di ogni richiesta di accesso, concedendo l'accesso con il privilegio minimo a livello di applicazione a risorse specifiche piuttosto che a un’ampia sezione della rete e spesso rivalutando continuamente la fiducia in base a segnali come l'identità dell'utente, il comportamento del dispositivo e il rischio della sessione, riflettendo la mentalità che "presuppone le violazioni". 

    In pratica, questo significa che i firewall sono eccellenti nel controllo e nel monitoraggio dei flussi tra le reti, mentre lo ZTNA è ideale nella connessione sicura di utenti/dispositivi ad applicazioni specifiche, indipendentemente dalla loro posizione, riducendo la fiducia implicita e limitando i movimenti laterali nel caso in cui un account o un endpoint venga compromesso.

    Argomenti correlati

    Zero Trust
         Security Service Edge (SSE)
         Secure Access Service Edge (SASE)
         Secure Web Gateway (SWG)
         Cloud Access Security Broker (CASB)
         Gestione delle minacce unificata (UTM)