Cos’è l’architettura Zero Trust?
Zero Trust è diventata una delle parole chiave più popolari nel campo della sicurezza della rete. Tuttavia, con tutto il clamore che c’è, può diventare difficile separare le chiacchiere del marketing dal valore reale. Fortunatamente, a differenza di molte parole chiave, Zero Trust non è un concetto privo di sostanza.
All’inizio di quest’anno il National Cybersecurity Center of Excellence (una parte del National Institute of Standards and Technology del governo degli Stati Uniti) ha pubblicato il progetto Implementing a Zero Trust Architecture, un approccio basato su standard per l’implementazione di un’architettura Zero Trust.
Quindi, qual è esattamente la sostanza che sta alla base di Zero Trust e come si possono identificare le soluzioni che soddisfano le esigenze della vostra azienda? Diamo un’occhiata.
Cos’è l’architettura della rete Zero Trust? Corso accelerato
In parole povere, Zero Trust si basa su questi principi: applicare controlli di accesso granulari e non fidarsi di alcun endpoint a meno che non sia stato esplicitamente concesso l’accesso a una determinata risorsa. L’architettura rete Zero Trust è semplicemente un progetto che implementa i principi di Zero Trust e produce ciò che è noto come Zero Trust Network Access (ZTNA).
L’architettura Zero Trust rappresenta un cambiamento fondamentale rispetto alle soluzioni tradizionali “castle-and-moat”, come le appliance VPN basate su Internet per l’accesso remoto alla rete. Con queste soluzioni tradizionali, una volta che un endpoint si autentica, ha accesso a tutto ciò che si trova sullo stesso segmento di rete ed è potenzialmente bloccato solo dalla sicurezza a livello di applicazione.
In altre parole, le soluzioni tradizionali si fidavano di tutto ciò che si trovava sulla rete interna per impostazione predefinita. Purtroppo, questo modello non regge bene per le moderne aziende digitali. Il motivo per cui Zero Trust è diventata necessaria è che le reti aziendali sono cambiate drasticamente nell’ultimo decennio e ancor più negli ultimi sei mesi.
Il lavoro a distanza è ormai la norma, i dati critici fluiscono da e verso più cloud pubblici, il BYOD (Bring Your Own Device) è una pratica comune e i perimetri della WAN sono più dinamici che mai. Ciò significa che le reti aziendali che hanno una superficie di attacco più ampia sono fortemente incentivate a prevenire le violazioni e a limitare il tempo di permanenza e i movimenti laterali nel caso in cui si verifichi una violazione. L’architettura Zero Trust consente la microsegmentazione e la creazione di micro-perimetri intorno ai dispositivi per raggiungere questi obiettivi.
Come funziona l’architettura Zero Trust
Sebbene gli strumenti specifici utilizzati per implementare un’architettura Zero Trust possano variare, il progetto “Implementing a Zero Trust Architecture” del National Cybersecurity Center of Excellence definisce quattro funzioni chiave:
Individuare. Comporta l’inventario e la categorizzazione di sistemi, software e altre risorse. Consente di impostare le linee di base per il rilevamento delle anomalie.
Proteggere. Comporta la gestione dell’autenticazione e dell’autorizzazione. La funzione di protezione comprende la verifica e la configurazione delle identità delle risorse su cui si basa Zero Trust, nonché il controllo dell’integrità di software, firmware e hardware.
Rilevare. La funzione di rilevamento si occupa di identificare le anomalie e altri eventi di rete. La chiave è il monitoraggio continuo in tempo reale per rilevare in modo proattivo le potenziali minacce.
Rispondere. Questa funzione gestisce il contenimento e la mitigazione delle minacce una volta rilevate.
L’architettura Zero Trust abbina queste funzioni a criteri di accesso granulari a livello di applicazione impostati sul rifiuto di default.
Il risultato è un flusso di lavoro che in pratica assomiglia a questo:
Gli utenti si autenticano tramite MFA (autenticazione a più fattori) su un canale sicuro
L’accesso alle applicazioni specifiche e alle risorse di rete viene concesso in base all’identità dell’utente
La sessione viene continuamente monitorata per rilevare anomalie o attività dannose
La risposta alle minacce avviene in tempo reale quando viene rilevata un’attività potenzialmente dannosa
Lo stesso modello generale viene applicato a tutti gli utenti e a tutte le risorse dell’azienda, creando un ambiente in cui è possibile una vera e propria microsegmentazione.
Il contributo di SDP e SASE all’architettura Zero Trust
L’SDP (perimetro definito dal software), che viene anche chiamato ZTNA (Zero Trust Network Access), è un approccio definito dal software per proteggere l’accesso remoto. L’SDP si basa su un’autenticazione forte dell’utente, su diritti di accesso a livello di applicazione e su una valutazione continua dei rischi durante le sessioni degli utenti. Già solo con questa descrizione è facile capire come SDP renda possibile l’implementazione di un’architettura Zero Trust.
Quando l’SDP fa parte di una più ampia piattaforma SASE (Secure Access Service Edge), le aziende ottengono ulteriori vantaggi in termini di sicurezza e prestazioni. L’SDP con SASE elimina la complessità dell’implementazione di appliance in ogni sede e l’imprevedibilità che deriva dalla dipendenza dalla rete Internet pubblica come dorsale di rete. Inoltre, con SASE, le funzioni di sicurezza avanzate sono integrate nell’infrastruttura di rete sottostante. In breve, l’SDP come parte di SASE consente all’architettura Zero Trust di raggiungere il suo pieno potenziale. A sua volta, questo semplifica la protezione della forza lavoro remota con ZTNA.
Ad esempio, la piattaforma SASE di Cato implementa Zero Trust e fornisce:
- Accesso remoto integrato basato su client o su browser clientless
- Autenticazione tramite MFA sicuro
- Autorizzazione basata su criteri di accesso a livello di applicazione basate sulle identità degli utenti
- DPI (deep packet inspection) e un motore anti-malware intelligente per una protezione continua contro le minacce
- Funzioni di sicurezza avanzate come NGFW (firewall di nuova generazione), IPS (sistema di prevenzione delle intrusioni) e SWG (secure web gateway)
- Prestazioni end-to-end ottimizzate per risorse on-premises e cloud
- Una piattaforma cloud scalabile distribuita a livello globale e accessibile da tutti gli edge della rete
- Una dorsale di rete supportata da oltre 50 PoP (punti di presenza) e uno SLA di tempo di funzionamento del 99,999%
Volete saperne di più su SDP, SASE e Architettura Zero Trust?
Se desiderate saperne di più su SDP, SASE o sull’Architettura Zero Trust, contattateci oggi stesso o iscrivetevi per ottenere una demo della piattaforma SASE di Cato. Se volete saperne di più su come realizzare un approccio sicuro e moderno al lavoro da remoto per l’azienda, scaricate il nostro e-book Work from Anywhere for Everyone. In alternativa, per scoprire quanto sia facile configurare la vostra organizzazione con ZTNA, guardate la nostra demo su come configurare ZTNA.