L’evoluzione della sicurezza Zero Trust e 5 componenti chiave
Cos’è la sicurezza Zero Trust?
Il punto di partenza della sicurezza Zero Trust è che tutti i sistemi devono controllare l’accesso e negarlo per impostazione predefinita. Zero Trust significa progettare controlli di sicurezza senza fiducia implicita, partendo dal presupposto che tutti gli account e i dispositivi sono potenzialmente compromessi.
In passato, la maggior parte delle organizzazioni disponeva di una rete aziendale affidabile, con i dipendenti che si connettevano tramite postazioni di lavoro on-premises o da remoto tramite VPN. Le connessioni dall’esterno erano considerate non attendibili, mentre gli account autorizzati ad accedere alla rete erano considerati attendibili. Questo non è più efficace nell’ambiente IT distribuito di oggi. La mentalità Zero Trust afferma che le organizzazioni non possono più permettersi di fidarsi implicitamente di qualsiasi entità all’interno del perimetro di rete.
I recenti cambiamenti nel panorama della sicurezza, come il passaggio al lavoro da remoto e la crescita degli attacchi alla catena di approvvigionamento, sottolineano la necessità di Zero Trust. Componenti che in precedenza erano affidabili, come i dipendenti di un’organizzazione e i componenti di gestione IT, possono ora diventare uno strumento di attacco. Ciò rende fondamentale per le organizzazioni l’adozione di modelli di sicurezza Zero Trust e di soluzioni tecnologiche di supporto, in primo luogo Zero Trust Network Access (ZTNA).
Perché si è fatta strada la sicurezza Zero Trust?
Le tecniche di sicurezza tradizionali utilizzavano la posizione come indicatore di fiducia. Un dipendente all’interno di un ufficio era automaticamente considerato affidabile, dato che era stato sottoposto a controlli di identità per entrare nell’ufficio e aveva fornito le giuste credenziali per connettersi alla rete. Tutto ciò che rientrava nel perimetro dell’organizzazione e della sua rete era considerato affidabile, mentre tutto il resto era considerato ostile.
Tuttavia, le minacce possono infiltrarsi nella rete e spostarsi lateralmente. Gli aggressori possono compromettere un account utente o accedere in altro modo a un sistema all’interno del perimetro. In questo modo possono ottenere gradualmente l’accesso ad altri account e sistemi. Social engineering, malware e insider malintenzionati sono tutte strategie comuni che gli aggressori scelgono per far breccia nel perimetro della rete, violando il modello di fiducia implicita.
Se è sempre stato vero che gli aggressori potevano nascondersi all’interno dell’ambiente aziendale, negli ambienti IT moderni la preoccupazione è molto più seria. L’introduzione di servizi cloud, applicazioni mobili e lavoratori remoti mette ulteriormente in crisi i tradizionali modelli di sicurezza basati sui confini.
Contenuti correlati: leggete la nostra guida sui principi di Zero Trust.
Fattori trainanti della sicurezza Zero Trust
Ecco alcune tendenze dell’ambiente IT moderno che stanno portando all’adozione del modello di sicurezza Zero Trust.
Adozione del cloud
Agli albori del cloud, la migrazione verso il cloud sollevava seri problemi di sicurezza. Le organizzazioni esitavano a esternalizzare l’infrastruttura IT a terzi, temendo di perdere il controllo.
Tuttavia, oggi il cloud è diventato onnipresente, anche per i carichi di lavoro sensibili e mission critical. L’adozione del cloud continua a crescere, in particolare sulla scia della pandemia di COVID-19. Le ricerche dimostrano che la maggior parte delle organizzazioni ha aumentato l’uso del cloud con il passaggio al lavoro da remoto.
Il cloud computing sta cambiando le dinamiche dell’accesso e della sicurezza aziendale. Un’infrastruttura decentralizzata significa che qualsiasi tecnologia di sicurezza basata su periferiche o endpoint non è più efficace. Un firewall non può proteggere un’applicazione SaaS perché l’applicazione non è ospitata sulla rete aziendale e il server è fuori dal controllo dell’organizzazione. La sicurezza e il controllo degli accessi devono essere implementati dove risiedono i dati, gli utenti e i dispositivi.
Bring Your Own Device
Il BYOD è una strategia che consente ai dipendenti di un’organizzazione di utilizzare i propri dispositivi personali per le attività lavorative. Queste attività comprendono l’accesso alla posta elettronica, la connessione alla rete aziendale, l’accesso alle applicazioni e ai dati aziendali.
I dispositivi BYOD possono essere laptop, smartphone, altri dispositivi mobili e dispositivi di archiviazione come unità USB e dischi rigidi esterni. Il BYOD presenta notevoli vantaggi sia per i dipendenti (che possono godere di una maggiore produttività grazie a dispositivi di loro scelta) sia per le aziende (che eliminano i costi di acquisto e manutenzione dell’hardware). Ma comporta anche seri rischi per la sicurezza.
Le organizzazioni che implementano il BYOD devono disporre di un metodo valido per autenticare gli utenti sui dispositivi personali ed eseguire una valutazione contestuale delle richieste di accesso. Ad esempio, gli utenti che si connettono da un dispositivo personale alle 3 del mattino dovrebbero essere trattati in modo diverso rispetto a quelli che si connettono da una postazione di lavoro in ufficio alle 2 del pomeriggio.
Zero Trust è particolarmente adatto ai casi di utilizzo BYOD e fornisce una soluzione per l’accesso remoto granulare e sicuro alle applicazioni, riducendo al contempo i costi di gestione. Zero Trust Network Access (ZTNA) è una soluzione di sicurezza in grado di risolvere i problemi di sicurezza, gestibilità ed esperienza utente per i dispositivi BYOD.
Mobilità moderna
Nell’ambiente di lavoro odierno, i dipendenti possono lavorare da qualsiasi luogo e svolgere attività lavorative al di fuori dell’orario di lavoro. Questo migliora la produttività, ma complica la sicurezza e l’accesso.
È molto comune che i dipendenti attraversino i confini della rete, comprese le reti considerate ostili, per accedere ai sistemi aziendali. Come possono le organizzazioni consentire un accesso sicuro e remoto alle risorse aziendali?
I servizi di accesso remoto come la rete privata virtuale (VPN), il servizio di desktop remoto (RDS), l’infrastruttura di desktop virtuale (VDI) e il desktop as a service (DaaS) sono comunemente utilizzati. Ma queste soluzioni non sono progettate per un ambiente mobile-first e non sono sufficientemente sicure.
Le soluzioni Zero Trust come ZTNA aiutano le organizzazioni a regolamentare e standardizzare l’accesso remoto. Da un lato, offrono ai dipendenti la libertà di accedere alla rete da luoghi diversi e in momenti diversi, senza essere limitati a interfacce specifiche come gli scomodi desktop virtuali. D’altro canto, autenticano in modo intelligente i dipendenti e limitano l’accesso alle risorse sensibili in scenari rischiosi.
Contenuti correlati: leggete la nostra guida sull’ accesso Zero Trust.
5 componenti chiave dell’architettura di sicurezza Zero Trust
I sostenitori di Zero Trust sottolineano che si tratta di un paradigma, non di una tecnologia. Ogni organizzazione può implementare Zero Trust in modi diversi. Tuttavia, ci sono cinque componenti tecnologiche che stanno emergendo come componenti essenziali di Zero Trust.
1. Zero Trust Network Access (ZTNA)
Una soluzione ZTNA è progettata per implementare e applicare una strategia Zero Trust sulla rete aziendale. Gli utenti che tentano di connettersi ai sistemi e alle applicazioni di un’organizzazione possono farlo solo se hanno bisogno di un accesso specifico per svolgere il proprio ruolo.
ZTNA può assumere diverse forme:
- Integrazione del gateway: la funzionalità ZTNA può essere implementata come parte di un gateway di rete. Il traffico che attraversa i confini della rete viene filtrato dal gateway in base ai criteri di controllo degli accessi definiti.
- SD-WAN: la SD-WAN ottimizza la gestione delle reti su una WAN aziendale. Le soluzioni SD-WAN sicure integrano uno stack di sicurezza completo nell’infrastruttura di rete, che può includere la funzionalità ZTNA. La SD-WAN con ZTNA integrato può fornire un controllo degli accessi sofisticato e centralizzato.
- Secure Access Service Edge (SASE)—SASE è una soluzione di ampia portata che comprende un secure web gateway (SWG), un firewall as a service (FWaaS), un cloud security access broker (CASB) e ZTNA. SASE offre una soluzione olistica per la gestione delle reti aziendali, che supporta fortemente il modello Zero Trust.
2. Autenticazione a più fattori
L’MFA consiste nell’utilizzo di più metodi per verificare l’identità dell’utente prima di concedergli l’accesso. Questi controlli possono includere domande di sicurezza, verifiche via e-mail, messaggi di testo, token di sicurezza, controlli biometrici dell’identità e altro ancora. L’implementazione dell’MFA in ogni punto di accesso, sia per il traffico in entrata che per le connessioni all’interno della rete, è il fondamento di Zero Trust.
3. Monitoraggio in tempo reale
Il monitoraggio in tempo reale valuta continuamente la rete per individuare gli intrusi e limitare i danni in caso di compromissione dei sistemi interni. Un monitoraggio efficace può ridurre il “tempo di penetrazione”, ossia il tempo necessario a un hacker per spostarsi lateralmente o per aumentare i privilegi, dopo essere penetrato inizialmente in un’applicazione o in un dispositivo.
Le strategie di monitoraggio Zero Trust devono includere componenti automatizzate, tipicamente basate sulla profilazione comportamentale e sul rilevamento delle anomalie, e un rapido triage e risposta agli incidenti da parte degli analisti di sicurezza.
4. Microsegmentazione
Un altro aspetto importante di Zero Trust è la microsegmentazione della rete. La microsegmentazione è la capacità di creare perimetri isolati all’interno della rete, consentendo le connessioni all’interno di ciascun perimetro, ma bloccando l’accesso tra di essi. Ciò significa che una volta che un utente o un’entità sono autorizzati ad accedere alla rete, sono limitati a uno spazio specifico e isolato, con una capacità limitata di muoversi lateralmente e accedere ad altri sistemi.
Un aspetto cruciale della microsegmentazione è che è automatizzata e controllata centralmente dalla soluzione Zero Trust. La tecnologia Zero Trust deve essere in grado di regolare la microsegmentazione in modo dinamico, in risposta ai cambiamenti dei criteri di sicurezza e alle condizioni di sicurezza attuali.
5. Zone di fiducia e controlli di accesso predefiniti
Trusted Internet Connection (TIC) 3.0 è l’ultima versione di un’iniziativa del governo federale statunitense volta a standardizzare la gestione delle connessioni di rete esterne. TIC consente a un’organizzazione di dividere la rete in zone di fiducia, permettendo agli utenti di condividere i dati all’interno delle zone, con controlli di accesso predefiniti definiti a livello centrale, ma vietando l’accesso tra le zone.
Le zone di fiducia possono essere utilizzate solo se tutto il traffico di rete è crittografato e l’accesso a tutti i sistemi è controllato centralmente utilizzando una soluzione Zero Trust.
Sicurezza Zero Trust con Cato SASE Cloud
La soluzione Zero Trust di Cato, Cato SDP fornisce una rete Zero Trust per accedere in modo sicuro alle applicazioni on-premises e cloud tramite qualsiasi dispositivo. Con un client Cato o un accesso al browser clientless, gli utenti si connettono in modo sicuro al Cato PoP più vicino utilizzando una valida autenticazione a più fattori.
Integrato nella piattaforma SASE di Cato, Cato SDP offre le seguenti funzionalità chiave:
- Scalabilità: Cato SDP scala istantaneamente per supportare l’accesso ottimizzato e sicuro a un numero illimitato di utenti, dispositivi e sedi, senza richiedere infrastrutture aggiuntive.
- Accesso e autenticazione: Cato SDP applica l’autenticazione a più fattori e criteri di accesso granulari alle applicazioni, che limitano l’accesso alle applicazioni approvate, sia on-premises che nel cloud. Gli utenti non hanno accesso al livello di rete, riducendo in modo significativo i rischi.
- Prevenzione delle minacce: Cato SDP fornisce una protezione continua contro le minacce, applicando la deep packet inspection (DPI) per la prevenzione delle minacce a tutto il traffico. La protezione dalle minacce viene estesa senza problemi all’accesso a Internet e alle applicazioni, sia on-premises che nel cloud.
- Prestazioni: Cato SDP consente agli utenti remoti di accedere alle risorse aziendali attraverso una dorsale privata globale e non attraverso l’imprevedibile rete Internet pubblica. In questo modo si ottiene un’esperienza coerente e ottimizzata per tutti, ovunque.