Capire la differenza tra architettura tradizionale e architettura zero trust
Molti pensano che Zero Trust sia solo un’altra delle tante parole tecnologiche in voga o un’espressione tipica per parlare di sicurezza online, ma in realtà si intende molto di più: è un approccio che può fornire reali benefici alle aziende moderne. Per comprendere l’ampia gamma di vantaggi che l’approccio Zero Trust può offrire, è opportuno prima imparare come funziona e come si differenzia dalle architetture di sicurezza tradizionali, il che, ovviamente, richiede una buona conoscenza di queste ultime.
Qui di seguito condivido un esempio sulla base della mia esperienza personale che rappresenta una significativa analogia. Nel 2018 ho assistito a una partita dei Golden State Warriors alla Oracle Arena, uno degli stadi storici degli Stati Uniti. Sono riuscito a ottenere dei posti davvero ottimi, 10-15 file dal bordo del campo, e per accedervi ho dovuto solo mostrare il mio biglietto all’ingresso dello stadio.
Dopo aver comprato qualcosa da bere mi sono reso conto che superato l’ingresso non c’era quasi nessun addetto alla sicurezza a controllare; mi sono così avvicinato a bordo campo e mi sono seduto in un posto libero per guardare la partita. Sono rimasto lì per circa 30 minuti prima che arrivasse il proprietario di quel posto, quindi ho dovuto alzarmi e andarmene ma, in sintesi, non c’era nulla che si frapponesse tra me e i posti migliori dello stadio, nemmeno la sicurezza.
Si tratta di una metafora presa dal mondo reale per rappresentare un’architettura di sicurezza tradizionale. Una volta che qualcuno si trova all’interno del perimetro della rete, c’è ben poco che possa impedirgli di muoversi all’intero dell’infrastruttura. Questo è un problema concreto per le aziende. Se si continuano ad aggiungere altri punti di connessione in più luoghi, il rischio di sfruttamento della rete aumenta e le minacce, una volta violato il perimetro, possono spostarsi a piacimento.
L’approccio Zero Trust è la diretta antitesi di un’architettura tradizionale basata sul perimetro. In particolare, non garantisce l’accesso a un intero ecosistema di risorse con un’unica operazione. Al contrario, costruisce controlli solidi basati su policy aziendali e sul contesto per concedere solo il livello di accesso necessario a un dipendente per svolgere il proprio lavoro. Per tornare alla metafora di prima, l’approccio Zero Trust permette all’utente di raggiungere i “posti prenotati”, ma non di avvicinarsi ad altri posti.
Per analizzare meglio questo aspetto, prendiamo in considerazione i tre pilastri d’azione principali di Zero Trust.
Verifica: chi si sta collegando?
Qualsiasi persona, dispositivo o workload che avvia una connessione attraverso un’architettura Zero Trust deve passare attraverso un processo di verifica specifico. In primo luogo, la rete deve verificare l’identità dell’utente e determinare da quale dispositivo si sta connettendo. Ad esempio, un dipendente potrebbe tentare di accedere alla rete tramite il PC portatile aziendale, il notebook personale o il telefono.
Una volta effettuata la verifica del dispositivo, è necessario analizzare in modo preciso il contesto dal quale viene avviata la connessione: non solo il dispositivo (ad esempio, telefono, notebook, ecc.), ma anche l’utente che ha avviato l’operazione, il suo ruolo e le sue responsabilità. Questo contesto aiuta i team dell’infrastruttura e della sicurezza IT a stabilire policy e controlli più efficaci. Ad esempio, se un utente utilizza il suo dispositivo lavorando dalla propria abitazione, le sue autorizzazioni possono essere diverse da quelle che avrebbe se si trovasse in ufficio o su una rete wi-fi pubblica.
Controllo: valutazione continua del rischio
Una volta identificati sia l’utente che il dispositivo, la soluzione Zero Trust cerca di capire a cosa l’utente vuole accedere e controlla il suo accesso alla destinazione, il che richiede visibilità completa sulla connessione stessa.
Grazie alla piena visibilità sulla connettività, un’architettura Zero Trust può effettuare una valutazione dinamica del rischio associato a ciascun utente e dispositivo, anziché una valutazione statica una tantum come nel caso della connettività di rete tradizionale. Ad esempio, se un utente si connette a un sito Web pericoloso, la connessione potrebbe essere inizialmente consentita, ma se poi fa clic su un link che contiene un payload infetto, l’azione successiva che compie deve essere riconsiderata con un rischio maggiore. Grazie all’approccio Zero Trust, questo tipo di valutazione dinamica viene condotta dopo ogni azione intrapresa dall’utente.
La comprensione delle azioni passate, presenti e future di un utente contribuisce a creare un profilo di rischio a cui la rete può attribuire un punteggio. Questo viene utilizzato per determinare il livello di accesso consentito a ciascun utente. Se il punteggio di rischio di un utente supera una certa soglia, non gli sarà consentito l’accesso diretto al sito e potrà ricevere un avvertimento o vedersi isolato l’accesso.
Oltre al rischio per l’utente, i team IT e di sicurezza devono anche assicurarsi di proteggere le loro aziende, ossia isolare e analizzare qualsiasi contenuto dannoso a cui un utente potrebbe essere esposto. Infine, le aziende devono pensare a come prevenire la perdita di asset e dati fondamentali. La grande domanda a cui la maggior parte delle aziende non ha una risposta immediata è: “Che cosa si sta proteggendo?”. Una volta che si conosce la risposta, si possono creare adeguati controlli per proteggersi.
Applicazione: stabilire le policy di accesso
L’ultimo elemento di un approccio alla sicurezza Zero Trust è l’applicazione e il rispetto delle policy. Le policy non devono limitarsi a stabilire se l’accesso debba essere consentito: questo approccio è troppo vincolante nell’odierno ambiente di lavoro flessibile e agile. È necessario disporre di policy che vengano applicate e possano essere modificate in base al livello di rischio dell’utente.
Sulla base delle informazioni raccolte durante le fasi di verifica e controllo, le policy possono essere applicate in modo granulare e condizionato a ogni richiesta di accesso. Ciò significa che un utente può essere in grado di accedere a Internet, ma se è esposto a un’attività potenzialmente dannosa, l’accesso ai siti sensibili sarà soggetto a criteri condizionali, ad esempio isolamento, quarantena, ecc.
Conclusioni
In questo momento c’è molta attenzione a proposito dell’approccio Zero Trust, e il livello di interesse è reso ancora più elevato dai numerosi standard architetturali in conflitto presentati da aziende, governi e organizzazioni. Tutto ciò può far percepire le soluzioni Zero Trust come complesse, ma Zscaler crede fermamente che i principi fondamentali dell’approccio Zero Trust possano essere semplificati per facilitarne l’adozione e l’implementazione. Al livello di base, l’approccio Zero Trust consiste nel verificare e contestualizzare le richieste di connessione e nel controllare l’accesso secondo il principio del minimo privilegio. In base a questo principio, l’accesso è consentito solo se necessario in base al proprio ruolo, proteggendo così le risorse più preziose. In un ambiente di lavoro ibrido, le aziende hanno bisogno di un’architettura che sia dinamica e fluida e che faciliti la capacità dei collaboratori di lavorare dove e come vogliono.
Nathan Howe, VP of Emerging Technology and 5G presso Zscaler
Contenuti correlati
-
Zero Trust e la segmentazione della rete
Un approccio alla sicurezza Zero Trust e una corretta segmentazione della rete garantiscono la conformità alla direttiva NIS2 e proteggono le reti OT in caso di accessi da remoto da parte di fornitori terzi I professionisti della...
-
Direttiva NIS 2: un’opportunità per la sicurezza
Sei fasi per gestire il processo di conformità alla Direttiva NIS 2 e migliorare la sicurezza informatica di settori critici per la vita di tutti Le nuove norme di sicurezza, come la Direttiva NIS 2, mirano a...
-
Giochi olimpici di Parigi 2024: il fattore sicurezza
Dopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora rivolta ai Giochi Olimpici di Parigi di quest’estate, uno dei più grandi palcoscenici del mondo che proprio per questo è...
-
Direttiva NIS2: uno studio Zscaler mette in evidenza criticità e opportunità
Una nuova ricerca di Zscaler suggerisce una discrepanza tra la fiducia che le aziende europee hanno di raggiungere l’obiettivo della conformità alla direttiva NIS 2 prima della scadenza del 17 ottobre 2024, quando entrerà in vigore, e...
-
Il vero potenziale dello Zero Trust
Per sbloccare il vero potenziale dello Zero Trust, soddisfacendo le esigenze aziendali al di là degli obiettivi immediati, occorre adottare una visione più ampia, che guarda alla piattaforma più che al prodotto Le aziende continuano a confrontarsi...
-
Le infrastrutture critiche nazionali sono sempre più privatizzate: una protezione Zero trust è fondamentale
Le infrastrutture critiche in tutto il mondo sono sempre più privatizzate. Ad esempio, i servizi di comunicazione per i consumatori e quelli satellitari (di cui più della metà sono già privati), i servizi ferroviari o i settori...
-
Soluzioni di cybersecurity per reti OT
Prodotti e soluzioni che permettono di proteggere le reti OT (operations technology) industriali della fabbrica, i sistemi Scada e ICS da attacchi malevoli e dai cyber criminali Dalla teoria alla pratica: vediamo quali sono le soluzioni disponibili...
-
Le aziende accelerano l’adozione di strumenti di AI generativa nonostante le preoccupazioni legate alla sicurezza
Una nuova ricerca di Zscaler, leader nella sicurezza del cloud, svela come le aziende sentano fortemente la pressione nell’accelerare sull’utilizzo di strumenti di intelligenza artificiale generativa (GenAI), nonostante i notevoli problemi di sicurezza legati al suo utilizzo. Secondo l’ultima...
-
Report Zscaler ThreatLabz 2023 sulle minacce IoT e OT
Zscaler, esperto di sicurezza cloud, ha reso noti i risultati del report Zscaler ThreatLabz 2023 Enterprise IoT and OT Threat . Il report di quest’anno fornisce uno sguardo approfondito sull’attività dei malware in un periodo di sei mesi,...
-
Soluzione di accesso remoto sicuro OT di Zscaler e Siemens
Nell’attuale contesto ibrido che caratterizza sia l’ambito professionale che quello economico, è più forte che mai l’esigenza di un’automazione di fabbrica, di una maggiore produzione e di un personale agile per gli ambienti OT. Contemporaneamente, le fabbriche...