Cosa è la sicurezza Zero Trust?

Cosa è la sicurezza Zero Trust?

Cosa è la sicurezza Zero Trust?

Probabilmente avete sentito parlare di Zero Trust e vi è stato detto perché ne avete bisogno, ma cos’è Zero Trust e come può aiutare il vostro business?

Cos’è la sicurezza Zero Trust?

C’è molta ambiguità su cosa sia in realtà la sicurezza Zero Trust. Fornitori e analisti hanno tutti definizioni leggermente diverse, il che lo ha stigmatizzato come una parola d’ordine. Per essere sinceri, Wandera usa il termine Zero Trust Network Access, ma ci sono tante altre varianti tra cui zero trust networking, zero trust application access, zero trust authentication, la lista continua, ma alla fine tutti fanno riferimento al controllo degli accessi.

Il concetto centrale di Zero Trust è l’eliminazione della fiducia implicita dall’infrastruttura di rete di un’organizzazione. Probabilmente avete sentito l’espressione “mai fidarsi, verificare sempre”. Zero Trust è costruita intorno all’autenticazione e all’autorizzazione prima che venga concesso l’accesso.

Autenticazione: La rigorosa verifica di ogni individuo è necessaria quando si tenta di accedere alle risorse sulla rete aziendale. Sia l’utente che il dispositivo che si sta usando devono essere sicuri.

Autorizzazione: Viene applicata una politica di accesso con il minor numero possibile di privilegi, che fornisce agli utenti l’accesso alle applicazioni che hanno il permesso esplicito di utilizzare. Limitando l’accesso viene impedito il movimento laterale, limitando il raggio d’azione di qualsiasi potenziale violazione.

È importante sottolineare che l’autenticazione e l’autorizzazione non sono una cosa che si verifica una sola volta, ma è necessaria una valutazione costante per garantire la conformità alla sicurezza. Se viene rilevata una minaccia o un rischio sospetto l’accesso alle applicazioni deve essere interrotto immediatamente, durante la sessione dell’utente.

Perché l’identità è importante in Zero Trust?

Gartner, che ha coniato il termine Zero Trust Network Access (ZTNA), lo definisce come:

“ZTNA creates an identity and context-based, logical boundary around an application or set of applications. The applications are hidden from discovery and access is restricted via a trust broker. The broker verifies the identity, context and policy adherence of the specified participants before allowing access.”

L’identità è considerata una pietra miliare di Zero Trust. Il livello di autorizzazione di un utente deve essere direttamente legato alla sua identità. Piuttosto che avere gruppi con ampie autorizzazioni, i permessi di ogni utente devono essere controllati con precisione. Il processo di configurazione di ogni identità non può essere laborioso, ma deve essere in grado di scalare utilizzando un motore di policy centralizzato che può essere applicato su diversi tipi di dispositivi, applicazioni e gruppi di utenti.

Gli utenti dovrebbero avere accesso solo a ciò di cui hanno bisogno per fare il loro lavoro, limitando la possibilità di accesso non autorizzato.

Non basta fidarsi di qualcuno con le giuste credenziali utente, sono troppo facili da rubare e il controllo delle password degli utenti finali è tipicamente scarso. L’identità di un utente non dovrebbe mai garantire la conformità di un dispositivo. Solo perché qualcuno può dimostrare chi è, non significa che il suo dispositivo non contenga malware o che non sia stato compromesso in qualche modo, prendete l’hackeraggio del telefono Jeff Bezos per esempio.

Ci sono anche fattori contestuali che devono essere considerati come la geolocalizzazione. Se la sede permanente di una persona è a New York, allora perché accede da Nuova Delhi? Il contesto sta diventando una parte sempre più importante della maturità di Zero Trust. Sia Forrester che Gartner suggeriscono che, per un’implementazione di successo di Zero Trust, sia necessario considerare una gamma più ampia di metriche e non fare affidamento sull’identità dell’utente finale.

Quanto sopra può essere suddiviso in cinque principi guida per una strategia di Zero Trust.

Principi di zero trust

Ogni fornitore avrà i propri “principi” che si legano convenientemente al prodotto Zero Trust che sta cercando di vendere, ma ci sono degli aspetti comuni:

  • Non fidarsi di nessuno

La filosofia alla base di una rete Zero Trust presuppone che ci siano aggressori sia all’interno che all’esterno della rete fisica, quindi tutti gli utenti e i dispositivi devono dimostrare la loro affidabilità. Si collega alla frase “mai fidarsi, verificare sempre”.

  • Verifica le attestazioni di identità

L’identità e l’autenticazione di un utente finale è una pietra miliare della sicurezza di Zero Trust. Le prime forme di autenticazione a più fattori richiedevano agli utenti di inserire un codice di utilizzo una tantum oltre alla password per dimostrare di essere chi affermavano di essere. Gli approcci più moderni all’autenticazione utilizzano altre forme di verifica più snelle e meno onerose per l’utente, come il possesso di un dispositivo specifico o l’uso di un identificatore biometrico.

  • Non ignorare il dispositivo

Oltre ai severi controlli sull’accesso degli utenti, i sistemi di accesso alla rete Zero Trust devono essere consapevoli dei dispositivi e richiedono la garanzia che ogni dispositivo sia autorizzato. Negando le connessioni da dispositivi anonimi la superficie di attacco è ulteriormente ridotta al minimo. I modelli di sicurezza più avanzati di Zero Trust incorporano una valutazione del rischio di ogni dispositivo, non lasciando nulla al caso.

  • Date a chi conoscete solo ciò di cui ha bisogno

I principi di fiducia zero partono proprio da questo: zero. Gli utenti e i dispositivi non ricevono alcuna fiducia iniziale. Sulla base dei risultati della valutazione dell’utente e del dispositivo, la fiducia viene estesa, ma solo nella misura necessaria. Il risultato offre agli utenti solo l’accesso di cui hanno bisogno, il che rappresenta una chiara applicazione del principio del minor privilegio. Questo riduce al minimo l’esposizione di ogni utente alle parti sensibili della rete, riducendo l’impatto che una violazione può avere sull’organizzazione.

  • Difesa della Play Zone

Un modo di pensare all’accesso alla rete zero trust è questo: creare e gestire perimetri personalizzati che contengono due e solo due componenti: un utente e l’applicazione con cui sta interagendo. Prima di connettersi a un’applicazione, l’utente e il dispositivo devono autenticarsi e verificare di disporre dell’autorizzazione per accedere a quella specifica applicazione. Ad esempio, un’organizzazione con più applicazioni gestite dall’IT utilizzerebbe l’accesso alla rete a zero trust per costringere gli utenti, i dispositivi o i carichi di lavoro ad essere autorizzati separatamente per ogni applicazione a cui accedono.

Perché si è sviluppata la sicurezza Zero Trust?

La metodologia di sicurezza tradizionale dell’approccio “castello e fossato” utilizza tipicamente la localizzazione come indicatore di fiducia. Ad esempio, quando si è seduti in ufficio, la teoria è che ci si possa fidare automaticamente perché si è sottoposti a tutti i controlli dei badge necessari per entrare in ufficio e accedere alla rete. Tutto ciò che si trovava all’interno del perimetro della rete poteva essere considerato affidabile, e tutto ciò che si trovava al di là di esso poteva essere trattato come ostile.

La realtà è che le minacce possono ancora penetrare nella rete e muoversi lateralmente, basta guardare alle minacce interne, al malware e agli attacchi di phishing. Il modello di sicurezza tradizionale, basato sul perimetro, è ulteriormente indebolito dai moderni ambienti IT che hanno adottato i servizi cloud e hanno abilitato una forza lavoro mobile.

Adozione del cloud

Inizialmente, il cloud è stato introdotto con cautela. L’outsourcing dell’infrastruttura IT a terzi significa meno controllo. Ma ora, lo scetticismo iniziale del cloud è stato superato e l’adozione del cloud continua a crescere, in particolare sulla scia della pandemia di COVID; l’82% dei leader IT ha incrementato l’utilizzo del cloud dopo il passaggio al lavoro in remoto.

Il cloud computing cambia le dinamiche di accesso e sicurezza per le aziende. Un’infrastruttura distribuita significa che le tecnologie di sicurezza incentrate sul perimetro diventano inefficaci. Un firewall non può proteggere un’applicazione SaaS perché non è ospitata sulla rete che sta proteggendo. Quindi la sicurezza e il controllo degli accessi devono spostarsi dove si trovano i dati, gli utenti e i dispositivi.

La mobilità moderna

Consentire ai dipendenti di lavorare da qualsiasi luogo porta vantaggi in termini di produttività. Non ha senso che i dipendenti siano incatenati alla loro postazione di lavoro dalle 9 alle 5 per poter lavorare. Tuttavia, la mobilità moderna complica la sicurezza e l’accesso.

Tutto ciò che si trova al di fuori del perimetro della rete è considerato ostile, quindi come si permette agli utenti fidati di accedere alle risorse aziendali? I servizi di accesso remoto come VPN, VDI, RDS, DaaS sono stati tutti utilizzati per consentire l’accesso agli utenti remoti, ma hanno tutti i loro limiti e non sono progettati per gli ambienti mobili e per gli ambienti cloud, né forniscono una solida sicurezza.

Gli ultimi due decenni hanno dimostrato che il modello di sicurezza tradizionale non è appropriato per l’ambiente aziendale odierno. Abbiamo assistito a gravi violazione dei dati, che hanno costretto a introdurre nuove normative e le aziende di tutte le dimensioni a riconsiderare il loro approccio alla sicurezza.

Statistiche zero trust

Ci sono una serie di fattori di mercato dietro zero trust, e ci sono ricerche per sostenerle.

  • Le imprese gestiscono già il 77% del loro carico di lavoro nel cloud.
  • Il 48% degli intervistati ritiene che gli imprenditori lascino la loro azienda esposta a un significativo rischio di conformità.
  • Il 77% dei professionisti IT ritiene che la segmentazione della rete possa aiutare a prevenire la compromissione dei server
  • Il 73% deI CISO cita l’implementazione del minor privilegio come la sfida principale.
  • Il 66% del CISO considera la visibilità sull’utilizzo di dati strutturati nel cloud come una sfida critica.

Qui potete trovare altre statistiche su Zero Trust e le ricerche a supporto del caso d’uso.

Piattaforme e tecnologie Zero Trust

Se state cercando una piattaforma Zero Trust, scoprirete presto che non si tratta di un’unica tecnologia; Zero Trust è un modello di sicurezza che richiede un approccio olistico alla sicurezza della rete e la scelta di una selezione di tecnologie basate sui principi sopra citati.

È importante notare che ci sono diversi modi per implementare un modello Zero Trust, con due metodi principali: un Perimetro definito dal software e un Reverse Proxy.

Un buon punto di partenza per comprendere il panorama dei mercati Zero Trust è il Gartner Market Guide per ZTNA  che fornisce una panoramica completa del mercato, della direzione, dei casi d’uso, delle tecnologie e delle raccomandazioni per i professionisti della sicurezza e dell’IT.

Molte aziende hanno iniziato i loro progetti Zero Trust con i servizi IAM come Single Sign On (SSO) e Multifactor Authentication, centralizzando le identity directories per facilitare la gestione e mitigare la necessità per gli utenti di ri-autenticarsi manualmente durante una sessione.

Risorse aggiuntive

La vostra casella di posta elettronica è probabilmente piena di email con oggetto Zero Trust. Su Google ci sono oltre 400.000 risultati in merito alla sicurezza Zero Trust. Abbiamo quindi cercato su Internet le migliori informazioni:

Fonte: Wandera