Come implementare Zero Trust: 5 passi e una checklist per l’implementazione
Cos’è l’implementazione Zero Trust?
Un modello di sicurezza Zero Trust può aiutare le aziende a migliorare la sicurezza dei dati e delle risorse IT, ottenendo al contempo una maggiore visibilità sul proprio ecosistema. L’implementazione Zero Trust comprende in genere almeno cinque fasi, tra cui l’aggiunta della microsegmentazione alla rete, l’aggiunta dell’autenticazione a più fattori e la convalida dei dispositivi endpoint.
Descriviamo queste fasi di implementazione e forniamo considerazioni chiave per la scelta delle soluzioni tecnologiche Zero Trust. Infine, presenteremo le sfide che la maggior parte delle organizzazioni incontra nell’implementazione Zero Trust e come superarle.
Questo fa parte della nostra serie di articoli su zero trust network access (ZTNA).
Implementare Zero Trust in 5 passi
Ecco alcuni principi e tecnologie che possono aiutarvi a implementare Zero Trust nella vostra organizzazione:
1. Implementare SASE
Secure access service edge (SASE) aiuta a unificare le soluzioni specifiche per SD-WAN e sicurezza di rete in un servizio centralizzato cloud-native. Potete implementare SASE come parte della vostra strategia Zero Trust. Ecco alcuni aspetti da considerare quando si prende in considerazione una soluzione SASE:
- Integrazione: la soluzione SASE scelta deve integrarsi perfettamente con l’architettura di rete esistente. Ad esempio, le organizzazioni che gestiscono infrastrutture critiche on-premises dovrebbero optare per una soluzione SASE che offra componenti Zero Trust in grado di connettersi in modo sicuro alle risorse cloud e all’infrastruttura tradizionale.
- Caratteristiche: la vostra soluzione SASE deve fornire funzionalità che vi consentano di bloccare le potenziali minacce e limitare i danni causati da una violazione. Ad esempio, la soluzione deve consentire di implementare la microsegmentazione, il patching, il sandboxing e di utilizzare la gestione delle identità e degli accessi.
- Contenimento: nulla può davvero garantire che non si verifichi una violazione. Idealmente, la soluzione SASE scelta dovrebbe aiutarvi a garantire che ogni minaccia che ha violato la rete sia contenuta per ridurre l’impatto complessivo.
SASE rende molto più semplice l’implementazione delle tecnologie elencate di seguito, perché le racchiude tutte in un unico servizio gestito.
2. Utilizzare la microsegmentazione
La microsegmentazione prevede la suddivisione dei perimetri di sicurezza in zone più piccole. Aiuta a definire l’accesso separato a determinate parti della rete. Questa separazione consente di fornire l’autorizzazione per l’accesso ad alcuni utenti, applicazioni o servizi a determinate zone rilevanti, limitando l’accesso ad altre.
Contenuti correlati: leggete la nostra guida sulla rete Zero Trust
3. Utilizzare l’autenticazione a più fattori (MFA)
L’MFA richiede agli utenti di inserire due o più fattori di autenticazione, tra cui:
- Un fattore di conoscenza: un’informazione che solo l’utente deve conoscere, come un modello, una password o un PIN.
- Un fattore di possesso: informazioni o oggetti di cui dispone solo l’utente, come una smart card, un telefono cellulare o una carta bancomat.
- Un fattore di inerenza: questo fattore si basa sulle caratteristiche biometriche dell’utente, come la scansione della retina, la scansione del volto o l’impronta digitale.
Il sistema si autentica solo se tutti i fattori sono convalidati.
4. Implementare il principio del privilegio minimo (PoLP)
Il PoLP consiste nel limitare l’accesso e i permessi degli utenti al minimo indispensabile per consentire loro di svolgere il proprio lavoro. Ad esempio, è possibile concedere agli utenti le autorizzazioni minime di esecuzione, lettura o scrittura solo per le risorse e i file.
È possibile applicare il principio del privilegio minimo anche per limitare i diritti di accesso alle risorse non umane, come sistemi, applicazioni, dispositivi e processi. A tal fine, è possibile concedere a queste risorse solo i permessi necessari per eseguire le attività per cui sono autorizzate.
5. Convalidare tutti i dispositivi endpoint
Non fidatevi dei dispositivi che non sono stati verificati. La sicurezza Zero Trust può aiutarvi a convalidare gli endpoint e a estendere i controlli incentrati sull’identità al livello degli endpoint. Di solito si tratta di garantire che i dispositivi siano registrati prima di poter accedere alle vostre risorse. La registrazione dei dispositivi facilita l’identificazione e la verifica di ogni dispositivo. Implementando la verifica dei dispositivi, è possibile determinare se l’endpoint che tenta di accedere alle risorse soddisfa i requisiti di sicurezza.
Checklist per l’implementazione di Zero Trust
Ecco diversi aspetti da considerare quando si implementa una soluzione Zero Trust:
Facilità di implementazione | Siete in grado di mettere rapidamente in funzione il sistema?
Il fornitore richiede di modificare il proprio ambiente per allinearlo alla soluzione? Ad esempio, è necessario aprire le porte nel firewall? |
Supporto multi-cloud | La soluzione supporta l’integrazione con più fornitori di cloud pubblico in modo facile e semplice?
La soluzione consente di proteggere efficacemente i carichi di lavoro su più cloud? |
Scalabilità | L’architettura Zero Trust è scalabile?
La scalabilità offerta soddisfa le esigenze dei vostri carichi di lavoro? |
Sicurezza | Quali sono le misure di sicurezza applicate dal provider della soluzione?
La soluzione mantiene un ciclo di sicurezza semplificato? La soluzione implementa un sistema di rilevamento delle intrusioni (IPS) e scansiona tutto il traffico alla ricerca di malware? |
Visibilità | La soluzione consente agli amministratori di visualizzare le richieste di accesso attuali e storiche, da qualsiasi utente a qualsiasi risorsa, in un’interfaccia centrale?
Un facile accesso ai dati su ciò che è stato permesso e ciò che è stato bloccato è fondamentale per il monitoraggio e la verifica della conformità. |
Servizio e assistenza |
Il fornitore della soluzione Zero Trust può aiutare a risolvere i problemi? |
Valore | La soluzione offre un valore aggiunto?
Come e dove la soluzione offre valore, funzionalità e misure di riduzione del rischio che superano il valore degli strumenti di sicurezza esistenti? |
Le sfide dell’implementazione di Zero Trust
Nell’implementare Zero Trust nella vostra organizzazione, dovrete considerare e superare le seguenti sfide.
Infrastruttura complessa
Le organizzazioni moderne hanno in genere un’infrastruttura composta da proxy, server, applicazioni aziendali, database e soluzioni Software-as-a-Service (SaaS). Alcuni componenti dell’infrastruttura possono essere in esecuzione on-premise, mentre altri sono nel cloud.
Può essere difficile proteggere ogni segmento della rete e allo stesso tempo soddisfare i requisiti di un ambiente ibrido, con un mix di applicazioni e hardware tradizionali e nuovi. Questo ambiente complesso rende difficile per le organizzazioni ottenere un’implementazione completa Zero Trust.
Rendere operativa Zero Trust con più strumenti
Per supportare un modello Zero Trust, le organizzazioni utilizzano una serie di strumenti, tra cui:
- Strumenti Zero Trust Network Access (ZTNA) o perimetro definito dal software (SDP)
- Soluzioni Secure Access Service Edge (SASE) VPN
- Strumenti di microsegmentazione
- Autenticazione a più fattori (MFA)
- Soluzioni Single sign-on (SSO)
- Soluzioni per l’approvazione dei dispositivi
- Sistemi di prevenzione delle intrusioni (IPS)
Tuttavia, molti di questi strumenti sono specifici per sistemi operativi, dispositivi e provider di cloud. Molte organizzazioni non supportano un insieme omogeneo di dispositivi. Eseguono alcuni servizi in data center on-premises, altri in uno o più cloud, hanno utenti su Windows, Mac e altri dispositivi connessi alla rete e potrebbero eseguire server su più distribuzioni Linux e più versioni di Windows Server.
È difficile garantire che gli strumenti Zero Trust funzionino in modo coerente in tutti gli strumenti e gli ambienti, soprattutto in una grande organizzazione.
Contenuti correlati: leggete la nostra guida sull’ architettura Zero Trust
Adattare la mentalità
La creazione di un modello di fiducia zero in una grande organizzazione richiede il coinvolgimento delle parti interessate per garantire una formazione, una pianificazione e un’attuazione efficaci. Un progetto Zero Trust riguarda quasi tutti, quindi tutti i leader e i manager devono concordare l’approccio. In genere, le organizzazioni sono lente nell’implementare il cambiamento. I criteri sul posto di lavoro possono da soli minacciare l’efficacia del progetto.
Costi e sforzi
Le organizzazioni devono investire tempo, risorse umane e finanziarie per implementare Zero Trust. Un modello Zero Trust richiede la definizione di chi può accedere a quali aree della rete e la creazione di una segmentazione di rete appropriata: ciò richiede un’attenta pianificazione e collaborazione.
Le organizzazioni dovranno assumere o assegnare del personale per implementare la segmentazione della rete e mantenerla su base continuativa. Quanto più i sistemi Zero Trust si integreranno con l’ambiente, tanto più sarà facile farlo.