La trasformazione digitale è un vero e proprio viaggio e, come per ogni avventura, un po' di preparazione può essere utile per ottenere un risultato ottimale. Per prepararsi ad affrontare una qualsiasi avventura, bisogna decidere dove si vuole andare, il percorso migliore per arrivarci e raccogliere o acquisire l'attrezzatura e i servizi necessari per poter contare sul giusto supporto durante tutto il percorso.

Un percorso di trasformazione IT inizia solitamente con la trasformazione delle applicazioni, che vengono spostate dal data center al cloud. La trasformazione della rete, con il passaggio da un'architettura hub-and-spoke a una connettività diretta, è fondamentale per consentire agli utenti di accedere ad app sempre più distribuite. A sua volta, questo cambiamento richiede una trasformazione della sicurezza, che deve passare dalla tradizionale tipologia a "castello e fossato" a un'architettura zero trust. L'ordine appena citato è il più frequente, ma non è certamente l'unico modo per intraprendere questo percorso. Il viaggio verso lo zero trust può partire da dove ci si sente più pronti o preparati. Se ad esempio per la propria organizzazione è meglio iniziare dalla trasformazione della sicurezza invece che dalla trasformazione delle app, si può partire da lì.

Valutazione delle apparecchiature

Le architetture di sicurezza a castello e fossato, che si basavano sull'uso di firewall, VPN e stack centralizzati di dispositivi di sicurezza, funzionavano bene quando le applicazioni risiedevano nel data center e gli utenti lavoravano dall'ufficio. Queste apparecchiature erano ideali per supportare il mondo del lavoro in quel momento storico, ma oggi le persone lavorano da qualsiasi luogo, e le applicazioni si sono spostate dai data center a cloud pubblici, SaaS e Internet. I firewall, le VPN e gli stack legacy di apparecchi hardware di sicurezza erano efficaci in passato, ma non sono stati progettati per soddisfare le esigenze del business moderno altamente distribuito.

Per accedere alle applicazioni, le VPN e i firewall devono collegare gli utenti alla rete, estendendo quest'ultima a tutti gli utenti, i dispositivi e le sedi in remoto. Ciò espone l'organizzazione a un rischio maggiore, offrendo agli aggressori molte più possibilità di compromettere utenti, dispositivi e carichi di lavoro e di muoversi lateralmente per raggiungere le risorse ad alto valore, estrarre i dati sensibili e infliggere danni all'azienda. La protezione di utenti, applicazioni e dati altamente distribuiti richiede un approccio nuovo.

Tracciare il percorso migliore

Per la trasformazione della sicurezza, i leader più innovatori stanno adottando lo zero trust. A differenza degli approcci alla sicurezza basati sul perimetro, che si fondano sui firewall e sull'attendibilità implicita, e che, una volta stabilita tale attendibilità forniscono un accesso esteso, lo zero trust adotta invece un approccio olistico, basato sul principio dell'accesso a privilegi minimi e sulla concezione che nessun utente, dispositivo o carico di lavoro debba essere ritenuto intrinsecamente attendibile. Si fonda sull'assunto che tutto sia ostile e concede l'accesso solo dopo la verifica di identità e contesto e l'applicazione dei controlli delle policy.

Per ottenere un vero approccio zero trust non basta spostare i firewall sul cloud. È necessaria un'architettura nuova, nativa del cloud e fornita attraverso il cloud in grado di connettere in modo sicuro utenti, dispositivi e carichi di lavoro alle app senza creare mai connessioni alla rete. Le organizzazioni più all'avanguardia si stanno rivolgendo a Zscaler Zero Trust Exchange per ottenere supporto durante il loro percorso verso il vero zero trust.

Intraprendere il viaggio verso lo zero trust: 7 elementi essenziali da considerare prima di iniziare

Proprio come quando si deve affrontare un viaggio importante, è utile suddividere il percorso verso lo zero trust in varie tappe che definiscano chiaramente il tragitto, tenendo sempre a mente la destinazione finale. L'approccio unico di Zero Trust Exchange si avvale di sette elementi essenziali per valutare dinamicamente e costantemente il rischio e mediare in modo sicuro le comunicazioni su qualsiasi rete e da qualsiasi luogo.

Attraverso questi sette elementi, l'organizzazione è in grado di implementare il vero zero trust, per eliminare la superficie di attacco, prevenire il movimento laterale delle minacce e proteggere l'azienda da compromissioni e perdite di dati.

Questi sette elementi possono essere raggruppati in tre sezioni:

Verifica dell'identità e del contesto
Controllo dei contenuti e degli accessi
Applicazione delle policy

Approfondiamo questi aspetti.

Verifica dell'identità e del contesto

All'inizio, viene richiesta una connessione. Un'architettura zero trust interrompe la connessione e verifica l'identità e il contesto. Risponde quindi alle domande sulla connessione richiesta: chi la richiede, qual è il contesto e qual è la destinazione.

1. Chi si sta connettendo? – Il primo elemento essenziale è la verifica dell'identità dell'utente/dispositivo, del dispositivo IoT/OT o del carico di lavoro. Questo si ottiene attraverso delle integrazioni con provider di identità terzi (IdP) nell'ambito di una soluzione IAM aziendale per la gestione delle identità e degli accessi.

2. Qual è il contesto dell'accesso? – Successivamente, la soluzione procede convalidando il contesto relativo a chi richiede la connessione, esaminando dettagli come il ruolo, la responsabilità, l'ora del giorno, la posizione, il tipo di dispositivo e le circostanze della richiesta.

3. Qual è la destinazione della connessione? – Zero Trust Exchange verifica che il titolare dell'identità abbia i diritti e soddisfi i requisiti relativi al contesto necessari per accedere all'applicazione o alla risorsa, in base a regole di segmentazione tra entità e risorse. Questo aspetto costituisce il fondamento dello zero trust.

Controllo dei contenuti e degli accessi

Dopo aver verificato l'identità e il contesto, l'architettura zero trust valuta il rischio associato alla connessione richiesta e ispeziona il traffico per proteggere dalle minacce informatiche e dalla perdita di dati sensibili.

4. Valutazione del rischio - Zero Trust Exchange sfrutta l'IA per calcolare dinamicamente il punteggio di rischio. Fattori come il profilo di sicurezza del dispositivo, le minacce, la destinazione, il comportamento e le policy vengono valutati costantemente per tutta la durata della connessione, per garantire che il punteggio di rischio sia sempre aggiornato.

5. Prevenzione delle compromissioni - Per identificare e bloccare i contenuti dannosi e prevenire la compromissione, Zero Trust Exchange decripta il traffico inline e sfrutta l'ispezione avanzata dei contenuti del traffico tra entità e risorse su larga scala.

6. Prevenzione della perdita di dati - Il traffico in uscita viene decriptato e ispezionato per identificare i dati sensibili e prevenirne l'esfiltrazione, sfruttando controlli inline o isolando l'accesso all'interno di un ambiente controllato.

Applicazione delle policy

Prima di arrivare alla fine del percorso e stabilire la connessione con l'applicazione interna o esterna richiesta, è necessario implementare un ultimo elemento: l'applicazione della policy.

7. Applicazione della policy - Sfruttando i risultati degli elementi precedenti, questo elemento determina l'azione da intraprendere in relazione alla connessione richiesta. L'obiettivo finale non è semplicemente quello di ottenere una decisione binaria di autorizzazione/blocco. Al contrario, Zero Trust Exchange applica costantemente e uniformemente le policy per ogni singola sessione, indipendentemente dalla posizione o dal punto di applicazione delle stesse, per fornire controlli granulari che determinano una decisione di blocco o consenso condizionale.

Una volta raggiunta una decisione di consenso, Zero Trust Exchange stabilisce una connessione sicura a Internet, all'app SaaS o all'applicazione interna.

Raggiungere la destinazione in totale sicurezza

Il viaggio verso lo zero trust può essere rischioso se si tenta di intraprenderlo facendo affidamento su apparecchiature legacy che non sono state concepite per questo scopo. La ricerca di una soluzione che consenta di ottenere il vero zero trust inizialmente può sembrare un'impresa troppo difficile, ma l'organizzazione può scegliere da dove iniziare il proprio percorso e lasciarsi guidare dai sette elementi appena descritti. Solo una vera piattaforma zero trust e nativa del cloud come Zscaler Zero Trust Exchange è in grado di applicare in modo esclusivo questi sette elementi per eliminare la superficie di attacco, impedire il movimento laterale delle minacce e prevenire le minacce informatiche e la perdita di dati connettendo in modo sicuro utenti, dispositivi e carichi di lavoro alle applicazioni, su qualsiasi rete e da qualsiasi luogo.

Per saperne di più su ciascuno di questi sette elementi e comprendere le tecnologie, i requisiti e le considerazioni architetturali, scarica subito il nostro e-book gratuito, "I sette elementi di un'architettura zero trust di grande successo" e visita la nostra pagina web "I sette elementi dello zero trust".