Che cos'è la rete Zero Trust?

L'approccio essenziale Zero Trust (ZT) alla rete prevede che utenti, dispositivi o risorse connessi alla rete in qualsiasi modo, siano intrinsecamente sicuri. Ogni connessione non è attendibile finché non viene dimostrata affidabile. Il networking Zero Trust (ZT) tiene conto del modo in cui operano le aziende di oggi, incorporando dispositivi BYOD, lavoro remoto, elementi cloud e soluzioni as-a-service nelle considerazioni di cybersecurity con monitoraggio e autorizzazione continui di ogni tentativo di accesso.

Sicurezza perimetrale

L'approccio tradizionale alla cybersecurity prevede la realizzazione di una "barriera" di sicurezza attorno alle reti che offrono accesso alle risorse aziendali essenziali in modo che i malintenzionati non possano entrare e introdurre malware e ransomware. Questo approccio è spesso indicato come sicurezza perimetrale. Tuttavia, esso presenta alcuni difetti. Non importa quanto sia sicuro il gateway, una volta superato l'hacker ha accesso a tutto ciò che si trova dietro il firewall. Inoltre, il perimetro della rete è diventato, negli ultimi anni, sempre meno definito, andando oltre il tradizionale perimetro aziendale per permettere il lavoro remoto e le applicazioni SaaS.

Strategie come l'autenticazione a più fattori (MFA) hanno rafforzato il gateway, e questo è stato importante, ma tali strategie non hanno eliminato il pericolo nelle reti disomogenee. Potrebbe essere necessario più lavoro per superare la barriera ma, una volta all'interno, gli hacker possono spostarsi lateralmente attraverso la rete e introdurre ransomware o sottrarre informazioni.

Albert Einstein diceva che "I problemi non possono essere risolti con la stessa mentalità che li ha creati". ZT è una mentalità diversa che approccia la sicurezza in modo differente.

La sicurezza perimetrale presuppone che un utente o una connessione sia affidabile finché i sistemi di sicurezza non segnalano una violazione. ZT nella sua forma più pura presuppone che gli aggressori siano sempre nelle vicinanze e che, indipendentemente dal fatto che si trovi o meno all'interno del perimetro aziendale, nessun tentativo di connessione è sicuro finché non viene autenticato.

Migrazione a Zero Trust

ZT è un approccio alla cybersecurity e non un evento o un insieme di servizi o prodotti. La migrazione alla sicurezza della rete ZT è un processo che ha luogo nel corso del tempo. Durante la conversione, probabilmente continuerai a utilizzare alcuni degli stessi prodotti e servizi che stai utilizzando ora, ma li utilizzerai in modo diverso. Man mano che il Security Operations Center (SOC) implementa progetti di modernizzazione, la maggior parte delle reti finirà per essere ibrida per un certo periodo di tempo. L'unica rete ZT "pura" è quella realizzata fin dall'inizio sulla base dei principi ZT. 

Per questo motivo, un piano per la conversione a ZT è un importante punto di partenza. Il piano inizia con l'identificazione di tutte le risorse, i soggetti, i processi aziendali, i flussi di traffico e le dipendenze all'interno dell'infrastruttura aziendale. La creazione di progetti incrementali aiuta a mappare i progressi e a tenere traccia del successo.

Il piano dovrebbe includere tutte le risorse aziendali:

  • Dispositivi
  • Componenti dell'infrastruttura
  • Applicazioni
  • Componenti virtuali
  • Componenti in cloud

Dovrebbe includere anche tutti i soggetti:

  • Utenti finali
  • Applicazioni
  • Entità non umane che richiedono informazioni

Elementi di rete Zero Trust

L'adozione dell'approccio Zero Trust comporta una serie di considerazioni durante la migrazione della rete. Le seguenti sezioni illustrano alcuni passaggi da adottare per avvicinare la tua infrastruttura a un framework ZT.

Implementare la microsegmentazione

Uno dei principi di base della rete ZT è la microsegmentazione. È la pratica di isolare i workload e proteggerli individualmente per limitare l'accesso. Nella sicurezza perimetrale, una violazione consente agli hacker di accedere all'intera rete. La microsegmentazione riduce la superficie di attacco e limita il danno causato da una singola violazione.

Isolare la tecnologia vulnerabile

Spesso, i dispositivi di tecnologia dell'informazione e della comunicazione (ICT) come telefoni cellulari, personal computer, email o televisori sono dotati di sistemi operativi fissi (OS) che non possono essere corretti per correggerne le vulnerabilità. Una sfida analoga è presentata dai dispositivi di tecnologia operativa (OT) come i robot industriali o le apparecchiature mediche. Eppure tali elementi sono sempre più integrati nei flussi di lavoro aziendali. Dispositivi come questi devono essere isolati utilizzando criteri rigidi per ridurre la possibilità di violazione.

Sottoreti sicure

Le sottoreti sono una porzione riservata di una rete più ampia. Possono migliorare la sicurezza, le prestazioni e la resilienza della rete. Devono anche far parte della strategia ZT con l'obiettivo di bloccare malware e altri strumenti dannosi. Assicurati che avvisi e registri delle sottoreti siano riportati sulla tua console consolidata per l'analisi e la risoluzione.

Accesso sicuro da remoto

Prima di ZT, le tecniche per stabilire la sicurezza delle connessioni remote erano considerate affidabili fino a quando non venivano segnalate. Ma le falle di sicurezza nelle tecniche più comuni sono diventate sempre più evidenti. Le reti sono diventate maggiormente definite dal software e la mobilità è aumentata, specialmente durante la pandemia di COVID-19. Ciò ha portato a endpoint non gestiti, SaaS non autorizzati e SD-WAN non protette.

  • Rete privata virtuale (VPN): le protezioni garantite della connessione tramite VPN arrivano fino all’edge e tuttavia hanno concesso all'utente l'accesso all'intera rete. Hanno creato l'illusione di garantire l'affidabilità. La sicurezza VPN non si è inoltre integrata perfettamente le reti definite dal software sempre più utilizzate.
  • Cloud Access Security Broker: il problema principale del CASB è la natura statica delle sue precauzioni di sicurezza. Mentre le reti definite dal software diventano sempre più fluide e i dipendenti più mobili, le precauzioni di sicurezza non si sono dimostrate flessibili quanto necessario.
  • Secure web gateway (SWG): i SWG presentavano problemi con i dipendenti che lavoravano da remoto.

 

Le soluzioni per le connessioni remote continuano a evolversi, ma ora sono disponibili opzioni che offrono soluzioni di cybersecurity coerenti con le abitudini di lavoro mobile e l'approccio ZT.

  • Secure Access Service Edge (SASE): SASE rientra sotto l'ombrello ZT ed esplicita i principi ZT per particolari sezioni dell'azienda. Questo termine e utilizzato dalla società di analisi Gartner. I componenti delle soluzioni SASE possono variare, ma in genere sono costituiti da tecnologie CASB, SWG, ZTNA e SD-WAN per fornire accesso ad applicazioni SaaS private (all'interno di un datacenter aziendale o IaaS) o pubbliche.
  • Zero Trust Edge (ZTE): si tratta di un nome diverso per indicare il SASE. Questo termine e utilizzato dalla società di analisi Forrester.
  • Accesso alla rete Zero Trust (Zero Trust Network Access, ZTNA): ZTNA rientra nella definizione di SASE o ZTE ed è una soluzione di sicurezza ZT basata su cloud che consente agli utenti di accedere solo alle applicazioni per le quali sono specificamente autorizzati. Coerentemente con l'approccio ZT, questo approccio limita i danni in caso di violazione. Come una VPN, ZTNA crittografa i dati per la sicurezza, ma offre un'esperienza utente notevolmente migliorata ed è molto più flessibile.

Ricerche correlate

Articoli correlati