Zscaler Cloud Platform

Breve storia dello zero trust: le tappe principali del percorso verso il ripensamento della sicurezza aziendale

Una serratura digitale

Perché raccontare la storia dello zero trust?

Nel settore della sicurezza informatica, in molti ritengono lo zero trust una svolta, un rinnovamento radicale della sicurezza aziendale e della protezione delle reti e delle risorse che ospitano le nostre idee migliori, connettono i nostri brillanti talenti e garantiscono l'accesso a strumenti di produttività trasformativi. 

Per comprendere la portata rivoluzionaria del modello zero trust per la sicurezza informatica, è necessario capire il modo in cui l'idea di un'architettura zero trust si è evoluta fino a diventare una tecnologia che ha portato a ripensare decenni di antiche convinzioni.

A seguire è presentata una breve storia di alcuni dei momenti chiave dell'evoluzione dello zero trust.

I momenti chiave della storia dello zero trust

1987 – Gli ingegneri della Digital Equipment Corporation (DEC) pubblicano il primo documento sulla tecnologia dei firewall, inaugurando la stagione della sicurezza di rete a "castello e fossato", che caratterizzerà il settore per decenni.

2001 – IEEE Standards Association pubblica il protocollo 802.1X per il controllo dell'accesso alla rete (NAC, Network Access Control)

2004 – Viene fondato il forum Jericho, che introduce il principio della deperimetralizzazione

2007 – La Defense Information Systems Agency (DISA) pubblica il modello "black core" per un perimetro definito da software, che però fatica ad affermarsi. 

2009 – Viene fondata la BeyondCorp di Google, per reinventare l'architettura di sicurezza a seguito dell'Operazione Aurora

2010 – L'analista John Kindervag conia il termine "zero trust" in un documento del Forrester Research Group

2013 – Il perimetro definito da software della Cloud Security Alliance, dipendente da SPA, annaspa a causa di limitazioni tecnologiche; il forum Jericho dichiara la fine del perimetro di rete e si scioglie

2017 – Viene definito il modello CARTA (Continuous Adaptive Risk and Trust Assessment) come quadro di gestione del rischio da Gartner.

2019 – Gartner introduce il concetto di SASE (Secure Access Service Edge).

2020 – Il NIST pubblica l'SP 800-207 come quadro unificato per la creazione di un'architettura zero trust (ZTA)

2021 – Gartner specifica che i componenti di sicurezza del SASE costituiscono una nuova categoria di mercato, nota come Secure Service Edge (SSE)

2022 – L'Office of Management and Budget del governo statunitense impone l'adozione dei principi dello zero trust a tutte le agenzie entro il 2024.

 

802.1X e controllo degli accessi alla rete

Il protocollo 802.1X è stato rilasciato nel 2001 come standard per la regolazione del controllo degli accessi alla rete (NAC) per i dispositivi wireless. L'adozione crescente dei dispositivi wireless stava infatti complicando la concezione del perimetro aziendale rigorosamente definito, e le organizzazioni hanno sentito la necessità di adottare misure per gestirne il progressivo utilizzo.

Il supplicant, o client, 802.1X è stato concepito per permettere alle reti di autenticare un endpoint prima di consentire una connessione. Purtroppo, non tutti i dispositivi erano compatibili con il client 802.1X. A causa di stampanti, sistemi IoT e altri dispositivi connessi non compatibili, questo metodo non poteva essere utilizzato come soluzione universale al problema dell'accesso non autorizzato alla rete. 

 

Il forum Jericho immagina un'audace strada verso il futuro

Nel 2003, un gruppo di leader europei nel settore tecnologico ha riconosciuto i problemi intrinseci dell'architettura di rete a castello e fossato e ha iniziato a discutere di come abbattere le mura della rete.  

Nel 2004 è stato quindi creato un gruppo di lavoro noto come The Jericho Forum, che ha introdotto l'idea della deperimetralizzazione e ha fornito a tutto il mondo una serie di "comandamenti" che rappresentavano le basi per controllare le reti senza perimetro.

 

Molto più di un termine di marketing: nasce lo "zero trust"

Nel 2010, l'analista di Forrester, John Kindervag, ha pubblicato un documento intitolato "No More Chewy Centers: Introducing The Zero Trust Model of Information Security" (Niente più centri vulnerabili: ecco il modello zero trust della sicurezza delle informazioni). Non si trattava solo di un termine accattivante, e ha fornito al settore della sicurezza IT una base per la progettazione e un nuovo modello di connettività.

La premessa era che la sola presenza su una rete non era sufficiente per concedere l'attendibilità, o trust. L'identità, e la capacità di verificarla, hanno sostituito il perimetro come criterio principale per consentire l'accesso. Tuttavia, fino a questo punto, nulla era mutato all'interno dell'ambiente aziendale. Le reti continuavano a essere concepite sulla base del concetto "dentro o fuori".

 

BeyondCorp – Oltre il perimetro aziendale

Come accade spesso nel settore della sicurezza informatica, sono stati gli utenti malintenzionati stessi a guidare l'evoluzione della sicurezza della rete. L'Esercito Popolare di Liberazione cinese ha condotto un'importante operazione contro le aziende tecnologiche statunitensi, tra cui Akamai, Adobe e Juniper Networks, e Google ha risposto con BeyondCorp. 

L'intento, secondo Google, era quello di "spostare il controllo degli accessi dal perimetro della rete ai singoli utenti... [consentendo loro] di lavorare in sicurezza praticamente da qualsiasi luogo, senza la necessità di una VPN tradizionale". Lo zero trust, nella sua accezione più pura, fondata sulla mancanza di distinzione tra entità "all'interno della rete" e "al di fuori dalla rete", era arrivato. 

Tuttavia, Google cercava di risolvere un problema complesso e, nonostante il tentativo di facilitare il percorso per le altre organizzazioni, affinché anche queste potessero realizzare la propria implementazione di una rete zero trust, nel 2010 questa strategia era ancora troppo complessa rispetto alle capacità della maggior parte delle aziende.

 

Le autorità si esprimono sullo zero trust

Nel 2020, il National Institute for Standards and Technology (NIST) ha fornito un nuovo standard per l'architettura zero trust: il NIST 800-207.

Questo nuovo paradigma della sicurezza informatica si basa sulla protezione delle risorse e sulla premessa che l'attendibilità non deve mai essere concessa implicitamente, ma deve invece essere costantemente sottoposta a valutazione, abbandonando così i vincoli del perimetro e il concetto di VPN. 

I suoi elementi di base sono fondamentali per capire come funziona lo zero trust e perché si discosta dagli approcci che l'hanno preceduto. Lo standard 800-207 sancisce i principi e i presupposti fondamentali dello zero trust. Tre dei punti più critici (tra molti altri) sono i seguenti:

  1. Nessuna risorsa è intrinsecamente attendibile.
  2. Tutte le comunicazioni sono protette indipendentemente dalla posizione di rete.
  3. L'autenticazione e l'autorizzazione delle risorse sono dinamiche e vengono rigorosamente applicate prima che sia consentito l'accesso.

Sebbene questo sia stato un cambiamento di paradigma nello sviluppo dello zero trust, la vera rivoluzione si è verificata con la direttiva M-22-09 dell'Office of Management and Budget (OMB) degli Stati Uniti, emessa nel 2022. Improvvisamente, lo zero trust è diventato legge, almeno nell'ambito alle agenzie federali statunitensi. 

Ma le implicazioni erano più ampie. Con il supporto dell'esecutivo, quasi certamente sulla scia di un grave attacco alla catena di approvvigionamento avvenuto nel 2021, che ha compromesso le agenzie federali, tra cui Stato, Tesoro, Sicurezza interna, Commercio ed Energia, la metodologia dello zero trust si è guadagnata il sostegno del governo americano.

 

Lo zero trust continua a crescere

Il supporto del governo statunitense non ha rappresentato la fine dell'evoluzione dello zero trust. L'approccio di Zscaler all'architettura zero trust si allinea al framework ZTA del NIST e alla definizione di Gartner per l'SSE, ma si spinge oltre questi standard, e introduce tre innovazioni fondamentali nel concetto di zero trust:

  1. Lo zero trust va applicato a tutto il traffico
  2. Identità e contesto vengono sempre prima della connettività
  3. Le applicazioni, e persino gli ambienti delle app, devono rimanere invisibili agli utenti non autorizzati

Per saperne di più su questo approccio moderno allo zero trust e su come Zscaler sta guidando la rivoluzione della sicurezza aziendale, leggi il white paper completo "Breve storia dello zero trust: le tappe principali del percorso verso il ripensamento della sicurezza aziendale".

Puoi anche ascoltare la registrazione della mia presentazione LinkedIn Live su questo argomento con Greg Simpson.

Resta aggiornato su novità e suggerimenti nel mondo della trasformazione digitale.