- ZTNA: Zero Trust Network Access
- CosβΓ¨ lβarchitettura Zero Trust?
- Framework Zero Trust
- Principi di Zero Trust
- Lβevoluzione della sicurezza Zero Trust e 5 componenti chiave
- Rete Zero Trust: perchΓ© ne avete bisogno e 5 passi per cominciare
- Proteggere la forza lavoro remota: Implementazione dellβaccesso Zero Trust
- Implementazione dellβaccesso Zero Trust
- La sicurezza Γ¨ spesso un anello debole dellβaccesso remoto
- Le VPN stanno cedendo il passo alla sicurezza Zero Trust
- Lβintegrazione della sicurezza Γ¨ la chiave per applicare in modo efficace i criteri di sicurezza Zero Trust
- La piattaforma SASE di Cato semplifica lβaccesso remoto sicuro per chi lavora da remoto
- Come implementare Zero Trust: 5 passi e una checklist per lβimplementazione
- Soluzioni Zero Trust: 5 categorie di soluzioni e come scegliere
Soluzioni Zero Trust: 5 categorie di soluzioni e come scegliere
Cosa sono le soluzioni Zero Trust?
Le soluzioni Zero Trust sono kit di sicurezza che incorporano controlli di accesso alla rete e misure di sicurezza per implementare il principio di Zero Trust, che considera tutti gli utenti e le entitΓ come potenzialmente dannosi finchΓ© non si dimostra che sono sicuri. Implementare reti Zero Trust spesso richiede alle organizzazioni di combinare piΓΉ strumenti e processi.
Le soluzioni di sicurezza Zero Trust offrono una serie di funzioni di sicurezza e monitoraggio che proteggono la rete dalle violazioni della sicurezza. Ad esempio, una soluzione di sicurezza Zero Trust combina piΓΉ processi per l’autenticazione di un utente, offrendo misure di sicurezza aggiuntive come la gestione di piΓΉ reti, la segmentazione e il monitoraggio.
5 categorie di soluzioni Zero Trust
Zero Trust non Γ¨ una tecnologia, ma un paradigma di sicurezza. CiΓ² significa che molte tecnologie esistenti possono essere utilizzate per implementare un’architettura Zero Trust. Inoltre, stanno emergendo nuove categorie di soluzioni costruite da zero per un modello di sicurezza Zero Trust.
1. Autenticazione a piΓΉ fattori (MFA) e single sign on (SSO)
Una parte importante di un’implementazione Zero Trust Γ¨ garantire che la fiducia non si basi sul segmento di rete in cui opera l’utente, ma sulla verifica esplicita dell’identitΓ . Inoltre, nomi utente e password possono essere facilmente compromessi dagli aggressori e non sono piΓΉ adatti come unica forma di autenticazione. Per abilitare Zero Trust, si puΓ² fare leva su:
- MFA: combina piΓΉ forme di autenticazione per garantire una solida autenticazione delle identitΓ degli utenti e ridurre l’impatto del furto di credenziali.
- SSO: consente agli utenti di accedere con un unico set di credenziali a tutte le applicazioni aziendali, in base all’autorizzazione del proprio account. In questo modo si elimina la necessitΓ di utilizzare piΓΉ password, si consente un controllo centralizzato degli account utente e si rende piΓΉ conveniente per gli utenti.
2. IAM
Un requisito fondamentale di Zero Trust Γ¨ la sicurezza basata sull’identitΓ . Questo Γ¨ alimentato dai sistemi di gestione dell’identitΓ e dell’accesso (IAM), che di solito sono basati sul cloud. Un sistema IAM fornisce funzionalitΓ quali:
- Gestione del ciclo di vita per utenti interni ed esterni
- Governance centrale dell’identitΓ
- Gestione degli accessi privilegiati (PAM)
- Controlli di accesso basati su ruoli e attributi (RBAC e ABAC)
- Accesso just-in-time (JIT) che consente al personale di accedere ai sistemi in base alle necessitΓ , consentendo l’accesso in caso di emergenza o di eccezioni
Grazie a queste funzionalitΓ , i moderni sistemi IAM possono aiutarvi a imporre l’accesso con il minimo privilegio in tutta l’organizzazione. Γ inoltre possibile applicare le autorizzazioni in base all’ora e alla posizione dell’utente per ridurre la superficie di attacco. In questo modo si garantisce che ogni utente, sia esso un dipendente interno, un appaltatore terzo o un cliente, abbia accesso solo ai sistemi e alle operazioni di cui ha effettivamente bisogno per il proprio ruolo.
3. Zero Trust Network Access (ZTNA)
ZTNA, precedentemente noto come perimetro definito dal software (SDP), Γ¨ una soluzione di accesso avanzata che consente agli utenti di connettersi a un’applicazione solo se ne hanno bisogno per svolgere il proprio ruolo. Le autorizzazioni degli utenti sono definite utilizzando ruoli che corrispondono direttamente al ruolo organizzativo del dipendente.
Una soluzione ZTNA autentica innanzitutto un utente, ne verifica l’identitΓ e lo collega ai ruoli definiti nell’organizzazione. Tutti gli accessi ai sistemi della rete interna passano attraverso il sistema ZTNA. ZTNA consente il passaggio del traffico verso un sistema specifico o blocca l’accesso, a seconda del risultato dell’autenticazione e dei ruoli predeterminati dell’utente.
Le soluzioni ZTNA sostituiscono le reti private virtuali (VPN). Le VPN offrono un modo sicuro per connettersi a una rete, ma consentono agli utenti di accedere all’intera rete e a tutte le sue risorse e la mossa non Γ¨ compatibile con Zero Trust. ZTNA crea un perimetro basato su software che definisce in modo granulare i data center, gli ambienti e le applicazioni specifiche a cui un utente deve avere accesso.
Per saperne di piΓΉ, consultate la nostra guida suΒ ZTNA
4. Secure Access Service Edge (SASE)
Secure Access Service Edge (SASE) Γ¨ un servizio basato sul cloud che fornisce funzionalitΓ di rete ad ampio accesso (WAN), accesso remoto e sicurezza. SASE estende le funzionalitΓ di rete ovunque l’organizzazione operi: nel data center locale e in uno o piΓΉ cloud pubblici.
SASE Γ¨ un servizio che racchiude al suo interno diverse soluzioni tecnologiche:
- ZTNA: descritto sopra.
- SD-WAN: un’architettura WAN virtuale che migliora l’agilitΓ e riduce i costi per le reti geografiche, sfruttando qualsiasi servizio dati disponibile, compresi MPLS, banda larga e wireless.
- Firewall as a service (FWaaS): fornisce un firewall gestito ovunque l’organizzazione esegua servizi software.
- Secure web gateway (SWG): gestisce l’accesso remoto degli utenti.
- Cloud access security broker (CASB): esegue l’applicazione dei criteri di sicurezza per le risorse on-premises o per gli utenti che accedono al cloud.
Per saperne di piΓΉ, consultate la nostra guida suΒ SASE
Reti Zero Trust vs. rete privata virtuale (VPN)
Le reti private virtuali (VPN) consentono agli utenti di accedere in remoto a una rete aziendale. Il software client implementato sul dispositivo dell’utente comunica con un server o una appliance VPN nella rete aziendale attraverso un canale crittografato.
Sebbene la VPN consenta di comunicare attraverso un canale sicuro, il suo punto debole Γ¨ che presuppone che il dispositivo dell’utente sia affidabile. Se l’utente fornisce le credenziali corrette, gli viene consentito l’accesso completo alla rete. Pertanto, se il dispositivo o l’account dell’utente vengono compromessi o se gli aggressori sfruttano una vulnerabilitΓ della VPN, possono muoversi lateralmente attraverso la rete aziendale.
Le VPN non sono compatibili con un modello di sicurezza Zero Trust. Per ottenere Zero Trust, ZTNA sostituisce la VPN, consentendo un accesso granulare alle risorse della rete. Ogni utente puΓ² accedere in base al proprio ruolo e al contesto di sicurezza corrente, ad esempio il dispositivo che sta utilizzando e l’ora del giorno. ZTNA autorizza ogni richiesta di accesso, verificando continuamente che gli utenti siano autorizzati ad accedere alle risorse di rete.
Come scegliere le soluzioni Zero Trust?
Per determinare la soluzione Zero Trust piΓΉ adatta a voi, considerate i seguenti punti chiave:
- Supporto del fornitore: Γ¨ necessario installare un agente endpoint e supportare tutti i sistemi operativi e i dispositivi mobili? Monitorare il comportamento dell’agente in presenza di altri agenti e verificare quali dispositivi e sistemi operativi supporta il fornitore.
- Il tipo di tecnologia Zero Trust: ad esempio un broker ZTNA da installare e gestire o Zero Trust Network Access as a Service (ZTNAaaS).
- Valutazioni della configurazione della sicurezza: il fornitore consente di valutare la postura di sicurezza dei dispositivi gestiti e non gestiti o Γ¨ necessario utilizzare uno strumento di gestione unificata degli endpoint (UEM)?
- Analisi del comportamento di utenti ed entitΓ (UEBA): la soluzione include la funzionalitΓ UEBA per identificare attivitΓ sospette all’interno della rete protetta?
- Distribuzione globale: la diversità geografica dei punti di ingresso e di uscita (cioè le località edge e i POP). Determinare quali sono i provider di edge/infrastrutture fisiche o di ambienti condivisi che utilizza il fornitore.
- Supporto delle applicazioni tradizionali: determinare se esiste un supporto di sicurezza per le applicazioni tradizionali oltre che per le applicazioni Web.
- ConformitΓ agli standard del settore: preferite un fornitore che soddisfi standard di sicurezza rigorosi. Un provider Zero Trust dovrebbe avere almeno la certificazione ISO 27001 e preferibilmente dovrebbe soddisfare i requisiti di sicurezza SOC2.
- Il modello di licenza: controllare il tipo di licenza (ad esempio, per larghezza di banda o per utente) e verificare il protocollo per il superamento dell’utilizzo durante la durata del contratto (ad esempio, se esiste un periodo di grazia, l’obbligo di fornire un pagamento di compensazione o la perdita dell’accesso).