This project presents an advanced prototype of Zero Trust Network Access (ZTNA) designed to overcome the limitations of traditional perimeter-based models by focusing access control on identity, context, and dynamic policies. The addressed challenge lies in balancing maximum security, performance, and scalability, supported by quantitative evidence that informs architectural choices. The proposed solution implements and compares two Zero Trust architectural variants: Classic ZTA, with real-time policy enforcement on each request (via Nginx gateway), and Proxyless ZTA, based on validation of short-lived JWT tokens with propagated revocation and controlled caching. At the core of the system is the Zero Trust Authority (ZTA), responsible for policy evaluation, issuing signed tokens, and managing revocation; the Application Server exposes the protected resource in dual-mode; and Nginx acts as a gateway through auth_request integration in the Classic variant. Classic ZTA emphasizes immediate policy compliance and defense-in-depth, making it suitable for high-risk environments or strict audit requirements, at the cost of higher operational complexity and enforcement overhead. Proxyless ZTA enhances user experience and scalability through local validation of ephemeral tokens but requires a reliable revocation mechanism, strict TTLs, and context binding to mitigate the exposure window. Furthermore, the model considers client posture assessment (device compliance, risk signals) as an integral part of the decision process.

Questo progetto presenta un prototipo avanzato di Zero Trust Network Access (ZTNA) volto a superare i limiti dei modelli perimetrali tradizionali, concentrando il controllo degli accessi su identità, contesto e politiche dinamiche. La problematica affrontata è la conciliazione tra massima sicurezza, prestazioni e scalabilità, con evidenze quantitative che guidano le scelte architetturali. La soluzione proposta implementa e confronta due varianti di architettura Zero Trust: Classic ZTA, con enforcement delle policy in tempo reale su ogni richiesta (gateway Nginx), e Proxyless ZTA, basata su validazione di token JWT a vita breve con revoca propagata e caching controllato. Il cuore del sistema è la Zero Trust Authority (ZTA), che esegue la valutazione policy, emette token firmati e gestisce la revoca; l’Application Server espone la risorsa protetta in dual-mode; Nginx funge da gateway per l’integrazione auth_request nella variante Classic. Classic ZTA privilegia la conformità immediata alle policy e una difesa in profondità, risultando ideale in contesti ad alto rischio o con requisiti di audit rigorosi, al costo di maggiore complessità operativa e overhead di enforcement. Proxyless ZTA ottimizza l’esperienza utente e la scalabilità tramite validazioni locali di token effimeri, ma richiede un meccanismo di revoca affidabile, TTL stringenti e binding al contesto per contenere la finestra di esposizione. Inoltre, il modello considera il controllo della postura del client (compliance del dispositivo, segnali di rischio) come parte della decisione.

Confronto Prestazionale tra Architettura "Zero Trust" Classica e Proxyless

MENDO, MARCELLO
2024/2025

Abstract

This project presents an advanced prototype of Zero Trust Network Access (ZTNA) designed to overcome the limitations of traditional perimeter-based models by focusing access control on identity, context, and dynamic policies. The addressed challenge lies in balancing maximum security, performance, and scalability, supported by quantitative evidence that informs architectural choices. The proposed solution implements and compares two Zero Trust architectural variants: Classic ZTA, with real-time policy enforcement on each request (via Nginx gateway), and Proxyless ZTA, based on validation of short-lived JWT tokens with propagated revocation and controlled caching. At the core of the system is the Zero Trust Authority (ZTA), responsible for policy evaluation, issuing signed tokens, and managing revocation; the Application Server exposes the protected resource in dual-mode; and Nginx acts as a gateway through auth_request integration in the Classic variant. Classic ZTA emphasizes immediate policy compliance and defense-in-depth, making it suitable for high-risk environments or strict audit requirements, at the cost of higher operational complexity and enforcement overhead. Proxyless ZTA enhances user experience and scalability through local validation of ephemeral tokens but requires a reliable revocation mechanism, strict TTLs, and context binding to mitigate the exposure window. Furthermore, the model considers client posture assessment (device compliance, risk signals) as an integral part of the decision process.
2024
Performance Comparison of Classic vs Proxyless Zero Trust Architectures
Questo progetto presenta un prototipo avanzato di Zero Trust Network Access (ZTNA) volto a superare i limiti dei modelli perimetrali tradizionali, concentrando il controllo degli accessi su identità, contesto e politiche dinamiche. La problematica affrontata è la conciliazione tra massima sicurezza, prestazioni e scalabilità, con evidenze quantitative che guidano le scelte architetturali. La soluzione proposta implementa e confronta due varianti di architettura Zero Trust: Classic ZTA, con enforcement delle policy in tempo reale su ogni richiesta (gateway Nginx), e Proxyless ZTA, basata su validazione di token JWT a vita breve con revoca propagata e caching controllato. Il cuore del sistema è la Zero Trust Authority (ZTA), che esegue la valutazione policy, emette token firmati e gestisce la revoca; l’Application Server espone la risorsa protetta in dual-mode; Nginx funge da gateway per l’integrazione auth_request nella variante Classic. Classic ZTA privilegia la conformità immediata alle policy e una difesa in profondità, risultando ideale in contesti ad alto rischio o con requisiti di audit rigorosi, al costo di maggiore complessità operativa e overhead di enforcement. Proxyless ZTA ottimizza l’esperienza utente e la scalabilità tramite validazioni locali di token effimeri, ma richiede un meccanismo di revoca affidabile, TTL stringenti e binding al contesto per contenere la finestra di esposizione. Inoltre, il modello considera il controllo della postura del client (compliance del dispositivo, segnali di rischio) come parte della decisione.
JSON Web Token
Token Revocation
Token Expiry
Device Posture Check
Lauree triennali
File in questo prodotto:
File Dimensione Formato  
Mendo_Marcello.pdf

accesso aperto

Dimensione 1.34 MB
Formato Adobe PDF
Visualizza/Apri
1.34 MB Adobe PDF Visualizza/Apri

The text of this website © Università degli studi di Padova. Full Text are published under a non-exclusive license. Metadata are under a CC0 License

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.12608/97839