In cosa consiste la politica di zero trust e come si può implementarla all’interno della propria organizzazione.
Il concetto di zero trust rappresenta un paradigma innovativo nell’ambito della sicurezza informatica, che si distacca dalla tradizionale fiducia riposta in una verifica costante delle credenziali. Questo approccio presuppone che nessun utente o dispositivo, sia esso interno o esterno alla rete di un’organizzazione, debba ottenere accesso a risorse IT, senza un’esplicita validazione delle proprie autorizzazioni.
Cos’è il modello zero trust
La teoria di zero trust è stata introdotta – per la prima volta – da John Kindervag, un analista di Forrester Research, nel 2010.
Kindervag proposte di sostituire il vecchio motto “Fidarsi, ma verificare” con un nuovo mantra: “Mai fidarsi, sempre verificare“.
Seguendo i principi di Zero Trust, ogni tentativo di accesso a una rete è trattato con cautela: non si concede fiducia a nessun utente o dispositivo, fino all’effettiva verifica della sua identità e delle sue autorizzazioni.
Questa metodologia è applicabile sia agli utenti interni, come un dipendente che accede in remoto, sia a qualsiasi entità esterna che tenti di connettersi alla rete.
Modello di sicurezza tradizionale vs zero trust
Di solito, le strategie di sicurezza delle reti aziendali erano paragonate a un castello medievale: solide mura per difendere gli “abitanti” interni (i dati e le risorse aziendali) dagli “assalitori” esterni.
In questo scenario, una volta superato il perimetro di sicurezza, gli utenti interni venivano generalmente considerati fidati.
Tale approccio perimetrale, tuttavia, si è rivelato obsoleto con l’evoluzione del cloud computing e l’adozione del lavoro remoto, che hanno reso il concetto di perimetro di rete sempre più fluido e indefinito.
Le minacce possono provenire, tanto dall’interno quanto dall’esterno: per questo, è fondamentale effettuare una verifica continua dell’accesso alle risorse aziendali.
Il cambiamento per lo smart working
Nell’era moderna, con la diffusione del cloud e dello smart working, l’approccio Zero Trust si dimostra particolarmente efficace.
Considerando ogni utente e dispositivo potenzialmente non sicuro fino a prova contraria, si previene il rischio di concedere accessi non autorizzati, limitando la possibilità di movimenti laterali all’interno della rete, una tattica comunemente sfruttata dagli attaccanti per raggiungere e compromettere risorse critiche o eseguire attacchi ransomware.
In questo contesto, il modello Zero Trust da strategia utile a proteggere le infrastrutture IT moderne, garantendo che solo utenti e dispositivi verificati possano accedere alle risorse aziendali, indipendentemente dalla loro posizione.
Protocolli di autenticazione ed autorizzazione
Al cuore del modello Zero Trust vi sono rigorosi protocolli di autenticazione e autorizzazione, applicati sia agli utenti che ai dispositivi, prima di concedere l’accesso o la trasmissione dei dati all’interno di una rete aziendale.
Qualora si rilevino variazioni nelle abitudini di accesso di utenti o dispositivi, il sistema Zero Trust interviene prontamente, classificando tali anomalie come potenziali rischi.
Ad esempio, se Paolo, dipendente della azienda X, solitamente si collega dalla sede di Torino o a una sede presente all’esterno e un giorno tenta di accedere al sistema da Berlino, in Germania, il sistema Zero Trust interpreta questo comportamento come potenzialmente sospetto. Anche se Paolo inserisce, in modo corretto, le proprie credenziali, il sistema richiederà al dipendente ulteriori passaggi di autenticazione al fine di confermarne l’identità ed essere sicuro, nei fatti, che si tratti proprio di lui e non di un malintenzionato.
Elementi fondamentali dell’architettura zero trust
Questo modello fa leva su diverse impostazioni, tra le quali possiamo annoverare l’Architettura Zero Trust, l’Accesso alla Rete Zero Trust (ZTNA), il Secure Web Gateway Zero Trust (SWG) e la microsegmentazione, in modo da promuovere una strategia di “difesa senza confini definiti“.
Questi strumenti, sinergici tra loro, sono progettati per fungere da scudo contro le minacce informatiche.
Pertanto, si attuano i seguenti controlli al fine di garantire il massimo della sicurezza nell’organizzazione e la protezione di ambiti sensibili, attraverso i seguenti passaggi:
- Monitoraggio integrato: visibilità sugli ambienti fisici e cloud e sui dispositivi IoT;
- Gestione del traffico di rete: regolamentazione dei flussi di traffico tra le risorse aziendali.
- Autenticazione e accesso: verifica delle identità con possibilità di accesso selettivo ai servizi cloud;
- Segmentazione: suddivisione strategica della rete e delle applicazioni per limitare le potenziali minacce.
- Autenticazione rafforzata: implementazione di sistemi di autenticazione e autorizzazione, inclusa la Multi-Factor Authentication (MFA);
- Principio del privilegio minimo: accesso limitato alle applicazioni, basato sulla necessità effettiva;
- Riduzione dell’uso di VPN e firewall: minimizzare gli strumenti tradizionali a favore di soluzioni più agili;
- Integrazione dei servizi con soluzioni di sicurezza all’avanguardia;
- Sicurezza perimetrale: rafforzamento delle difese ai confini della rete aziendale.
Ottimizzazione delle prestazioni: miglioramento dell’efficienza delle applicazioni.
Protezione avanzata: schermatura contro minacce informatiche sofisticate.
Automazione e integrazione: sfruttamento delle potenzialità dell’automazione per una gestione più efficiente.
Adottare un’architettura Zero Trust, dunque, significa utilizzare un modello operativo invisibile all’utente finale ma estremamente efficace nel ridurre gli attacchi informatici, semplificando – nel contempo – la gestione dell’infrastruttura.
I vantaggi del modello: maggiore sicurezza e accesso protetto
Il modello Zero Trust, dunque, salvaguarda l’azienda dai pericoli informatici attraverso una connessione Internet sicura, indipendentemente dalla posizione geografica dell’accesso, abbandonando – in tal senso – la complessità dei sistemi tradizionali.
Tale aggiornamento è fondamentale, al fine di difendere, al meglio, l’organizzazione, garantendo, al contempo, un accesso fluido e veloce a tutti gli utenti, inclusi quelli esterni, mediante un framework di sicurezza Zero Trust.
La gestione dell’accesso e della sicurezza in una realtà aziendale, d’altronde, rappresenta una sfida complessa, che si evolve di continuo, nel corso del tempo, sia sul piano tecnologico, sia di fronte alle minacce, sempre più specifiche, che provengono dall’esterno ma che, nei fatti, posso generarsi anche dall’interno, in seguito all’emergere di una serie di criticità.
Le soluzioni tecnologiche aziendali di tipo tradizionale richiedono tempi molti più dilatati, rispetto a tale architettura, per quel che concerne l’attuazione di modifiche o nuove implementazioni – che generalmente – coinvolgono una seire di componenti hardware e software.
Lo stesso discorso, d’altronde, va applicato anche a quel che concerne l’allocazione di risorse IT di valore. L’integrazione di un modello di sicurezza Zero Trust può, dunque, in questo contesto, ridurre – in maniera notevole – la complessità strutturale, incentivando, in tal senso, un impiego più efficiente e qualitativo delle risorse IT che l’azienda ha a disposizione.