Architettura Zero Trust: rivoluzione nella sicurezza informatica
L’ecosistema tecnologico moderno è divenuto molto più complesso a causa della trasformazione digitale: per questo sono necessari aggiustamenti rispetto alle strategie di sicurezza tradizionali. I recenti incidenti informatici dimostrano che gli approcci business as usual non sono più sufficienti per difendere un’organizzazione dalle minacce informatiche. Una difesa informatica adeguata contro le minacce emergenti richiede una maggiore velocità e agilità per superare gli avversari, aumentando i costi per gli attori delle minacce e migliorando la durata e la resilienza, così da recuperare il più rapidamente possibile la piena capacità operativa.
APPROCCIO SICURO
Zero Trust è il nome di un approccio alla sicurezza IT che presuppone l’assenza di un perimetro di rete attendibile e in base al quale ogni transazione di rete deve essere autenticata prima che possa concretizzarsi. Il modello Zero Trust facilita inoltre la creazione di politiche di affinità, così che i sistemi abbiano relazioni, applicazioni e traffico approvati. Qualsiasi tentativo di comunicazione viene dunque valutato e confrontato con queste politiche per determinare se le azioni possono essere o meno consentite (il tutto in modo continuativo).
IL MODELLO
Nel corso degli ultimi anni, le infrastrutture delle aziende sono diventate via via più complesse. Infatti, una singola organizzazione può gestire varie reti interne, servizi cloud e dipendenti e/o consulenti che lavorano in smartworking. Per tale ragione, la NIST 800-207 afferma che un approccio Zero Trust si concentra in modo particolare sulla protezione dei dati e dei servizi, ma deve includere anche tutte le altre risorse aziendali (dispositivi, componenti infrastrutturali, applicazioni, componenti virtuali e cloud) e soggetti (utenti finali, applicazioni e altre entità non umane che richiedono informazioni dalle risorse).
Lo Zero Trust, dunque, si concentra sulla protezione delle risorse (risorse, servizi, flussi di lavoro, account di rete e così via) e non dei segmenti di rete, poiché la posizione della rete non viene più considerata come componente principale della sicurezza della risorsa.
Nel dettaglio, le caratteristiche fondamentali per implementare lo Zero Trust Model (ZTM) sono:
- Autenticazione e autorizzazione (Strong Authentication by default);
- Accessi degli utenti basati sul privilegio minimo a tutte le applicazioni;
- Verifica dell’identità e possibilità di concedere l’accesso alla risorsa;
- Controllo dei flussi di rete tra tutte le risorse;
- Segmentazione e microsegmentazione delle reti e delle applicazioni;
- Minimizzazione dell’utilizzo della VPN e dei firewall;
- Policy degli accessi granulari.
Un’architettura a fiducia zero (ZTA) utilizza quindi i principi della fiducia zero e del least privilege (privilegio minimo per svolgere il compito assegnato) al fine di proteggere infrastrutture e flussi di lavoro aziendali e industriali. Il modello Zero Trust presuppone che alle risorse o agli account utente non debba essere concessa alcuna fiducia implicita in base alla sola ubicazione fisica o di rete (ad esempio, reti locali rispetto a Internet) o in base alla proprietà delle risorse (aziendali o personali). L’autenticazione e l’autorizzazione (sia del soggetto che del dispositivo) sono funzioni separate effettuate prima di stabilire una sessione a una risorsa aziendale.
CONCLUSIONI
L’adozione di un approccio Zero Trust (ZT) non ha un punto di arrivo “definitivo”. È piuttosto un viaggio che comporta costanti miglioramenti e adattamenti. In altre parole, rappresenta un viaggio verso il costante potenziamento della sicurezza aziendale, mantenendo al contempo un’efficienza operativa elevata.
Teleconsys possiede le competenze e le soluzioni necessarie per sviluppare un’architettura Zero Trust ottimizzata. Questo si traduce in una rete aziendale semplificata, un’esperienza utente migliorata e una difesa più efficiente contro le minacce informatiche, al fine di prevenire questo tipo di perdita, dovrebbe essere vista come denaro ben speso a difesa del patrimonio informativo aziendale.