Contact Us

ZTNA: Zero Trust Network Access

Framework Zero Trust

Spiegazione del framework Zero Trust

Il modello di sicurezza di rete tradizionale era incentrato sul perimetro e basato sulla fiducia. L’idea fondamentale era che tutte le minacce provenissero dall’esterno della rete e che chiunque si trovasse all’interno del perimetro della rete fosse un membro fidato. Implementando difese sul perimetro della rete, le aziende hanno cercato di identificare malware e altre minacce, bloccandole dall’ingresso nella rete.

Questo approccio alla sicurezza di rete presenta diversi problemi, tra cui la dissoluzione del perimetro di rete, il potenziale di minacce interne e il fatto che le soluzioni di sicurezza di rete forniscono una protezione imperfetta. Per risolvere questi problemi, John Kindervag, all’epoca vicepresidente e analista principale di Forrester Research, ha sviluppato il concetto di strategia di sicurezza Zero Trust, che si basa sul concetto che qualsiasi fiducia all’interno di criteri di sicurezza è una potenziale vulnerabilità.

Una strategia di sicurezza Zero Trust passa dalla fiducia implicita negli addetti ai lavori e dalla sfiducia negli estranei a non estendere automaticamente la fiducia a nessuno. L’accesso e le autorizzazioni vengono invece concessi caso per caso, in base alle esigenze aziendali e ai requisiti di ruolo. Per una buona introduzione al concetto di Zero Trust, scoprite di più sull’architettura Zero Trust.

Cos’è la rete Zero Trust?

L’implementazione dei principi Zero Trust all’interno di un’organizzazione richiede lo sviluppo di una rete Zero Trust. Una rete Zero Trust è una rete che implementa e applica criteri Zero Trust, come Zero Trust Network Access (ZTNA) o il perimetro definito dal software (SDP), in modo coerente nell’intero ambiente di un’organizzazione.

Di seguito descriviamo come passare da un modello di sicurezza tradizionale basato sul perimetro a una rete Zero Trust in grado di affrontare e gestire le moderne minacce informatiche.

Fase 1: identificare una superficie di protezione

La gestione dell’accesso agli asset aziendali è un elemento centrale di una strategia di sicurezza Zero Trust. Come accennato in precedenza, i criteri di Zero Trust forniscono l’accesso alle risorse caso per caso, in base ai controlli di accesso basati sui ruoli. Per poter gestire l’accesso alle risorse, le aziende devono sapere quali sono queste risorse.

Una fase critica nello sviluppo di una rete Zero Trust è la definizione della superficie di protezione, che è composta dalle risorse che un’azienda desidera proteggere. Una superficie di protezione è composta dal DAAS di un’organizzazione:

  • Dati: uno dei motivi più comuni per adottare una strategia Zero Trust è evitare le violazioni dei dati e soddisfare i requisiti di conformità alle normative sulla protezione dei dati. L’identificazione e la classificazione dei dati di un’organizzazione è essenziale per gestire in modo appropriato l’accesso a queste risorse.
  • Asset: l’azienda moderna dispone di un’ampia gamma di asset aziendali, tra cui computer tradizionali, dispositivi mobili, risorse basate sul cloud e dispositivi Internet of Things (IoT). A causa dell’aumento del lavoro da remoto e dei dispositivi mobili, molte aziende faticano a mantenere la visibilità sull’intero catalogo degli asset. Affrontare queste lacune di visibilità è fondamentale per un’efficace implementazione Zero Trust.
  • Applicazioni: le applicazioni sono risorse preziose per qualsiasi azienda e sono un obiettivo comune degli attacchi informatici. Lo sfruttamento delle vulnerabilità delle applicazioni può fornire a un aggressore l’accesso a dati preziosi o un punto di appoggio da cui sfruttare altri obiettivi. Le aziende hanno bisogno di un elenco completo delle applicazioni aziendali per sviluppare una strategia di protezione.
  • Servizi: La crescita del cloud significa che molte organizzazioni utilizzano o offrono servizi basati sul cloud. Anche questi servizi rappresentano potenziali vulnerabilità e vettori di attacco per i criminali informatici e devono essere identificati e protetti.

Fase 2: esplorare le interdipendenze

Le reti Zero Trust funzionano secondo il principio del privilegio minimo. Ciò significa che agli utenti vengono concessi solo i permessi necessari per svolgere il proprio lavoro.

Per assegnare in modo appropriato queste autorizzazioni, le aziende devono capire quali sono gli accessi e le autorizzazioni necessarie ai dipendenti e agli asset IT per svolgere i loro ruoli. Il modo migliore per raggiungere questo obiettivo è monitorare le attività svolte durante il lavoro quotidiano dell’organizzazione.

Monitorando la rete aziendale, le imprese possono sviluppare una mappa delle comunicazioni e delle interdipendenze tra il DAAS, l’infrastruttura, i servizi e gli utenti. Sulla base della visualizzazione di questi flussi di rete, è possibile determinare quali comunicazioni devono essere consentite nell’ambito di criteri Zero Trust e quali devono essere bloccate in quanto inappropriate o non necessarie.

L’esplorazione delle dipendenze e dei modelli di comunicazione all’interno della rete di un’organizzazione aiuta a gettare le basi per l’implementazione di una strategia Zero Trust, ma questo non è l’unico vantaggio. Se vengono rilevati flussi anomali o sospetti, possono essere avviate attività di risposte agli incidenti che aiutano le aziende a eliminare le infezioni all’interno delle loro reti.

Fase 3: implementare la microsegmentazione

I controlli degli accessi sono in genere applicati ai confini della rete, dove viene eseguito il routing del traffico tramite un’appliance di sicurezza di rete. Per implementare una strategia Zero Trust, le aziende devono disporre di molti di questi confini per fornire una protezione granulare e un controllo degli accessi alle risorse aziendali.

La creazione di confini di rete all’interno della rete aziendale richiede l’implementazione della microsegmentazione. La microsegmentazione colloca ogni asset aziendale all’interno del proprio perimetro ed esegue il monitoraggio e il filtraggio del traffico del livello 7.

Questo monitoraggio di livello 7 è essenziale per ottenere la visibilità richiesta per Zero Trust. L’ascesa del cloud computing e dei modelli di distribuzione basati sui servizi significa che l’analisi del traffico di livello 3/4 non fornisce più la granularità e la visibilità necessarie per determinare lo scopo del traffico di rete. Con l’analisi di livello 7, le aziende possono visualizzare i dati del livello applicativo e includerli nelle decisioni sul controllo degli accessi.

Nello sviluppo di criteri di microsegmentazione, il Metodo Kipling può essere una risorsa utile. Definisce criteri Zero Trust basati sulla risposta a sei domande, tra cui:

  1. Chi sta facendo la richiesta?
  2. Qual è la risorsa richiesta?
  3. Da dove proviene la richiesta?
  4. Quando è stata fatta la richiesta?
  5. Perché l’utente ha bisogno di accedere a quella risorsa?
  6. In che modo l’utente richiede l’accesso?

Rispondendo a queste domande, le aziende possono determinare se una particolare richiesta è conforme o meno ai criteri di sicurezza aziendali. Ad esempio, l’accesso a una particolare risorsa può essere consentito solo da alcuni computer, ma la richiesta può essere avanzata da un dispositivo di un lavoratore remoto. Anche se il lavoratore ha accesso legittimo alla risorsa, la richiesta non deve essere accolta se proviene dal dispositivo sbagliato. Sapere non solo chi, ma anche dove, è fondamentale per prendere una decisione corretta sul controllo degli accessi.

I primi passi con Zero Trust

Gli eventi recenti hanno dimostrato che le strategie di sicurezza tradizionali semplicemente non funzionano. Le violazioni dei dati sono all’ordine del giorno, gli attacchi ransomware sono in aumento e altre minacce informatiche non sono scomparse. Le aziende hanno sempre più bisogno di proteggere la propria forza lavoro remota che mai prima d’ora.

L’implementazione di una rete Zero Trust è un processo a più fasi, ma la fase più importante è la selezione delle corrette soluzioni di sicurezza per implementare i criteri aziendali di Zero Trust. Le soluzioni di sicurezza tradizionali non hanno la portata o la granularità di sicurezza necessarie per applicare i criteri di Zero Trust. ZTNA è un componente integrale del framework Secure Access Service Edge (SASE) di Gartner e rappresenta un’alternativa ideale per le soluzioni tradizionali.

SASE rende l’implementazione Zero Trust semplice e indolore. Con SASE, tutto il traffico passa attraverso un punto di presenza (PoP) SASE, che consente l’analisi del traffico di livello 7 e l’applicazione dei criteri di sicurezza. SASE ha anche la capacità di applicare criteri di Zero Trust per una forza lavoro remota con ZTNA, che è sempre più vitale per l’impresa moderna. Per saperne di più, consultate il seguente link su ZTNA capabilities of SASE.

Cato Networks è leader nel segmento SASE ed è stata apprezzata più volte nella Guida al mercato ZTNA di Gartner come fornitore di soluzioni di gestione delle reti e sicurezza di cui le aziende avranno bisogno in futuro. Per saperne di più su come utilizzare SASE per implementare Zero Trust, contattateci. In alternativa, potete richiedere una demo per scoprire le funzionalità di Cato SASE Cloud.