Inizia il viaggio verso lo zero trust con questi suggerimenti di Gartner

Che tu sia alle prime armi nel mondo della sicurezza sul cloud e stia cercando di comprenderne le ultime tendenze, o che abbia anni di esperienza nel settore, avrai certamente incontrato il termine "zero trust". Tuttavia, l'uso frequentissimo di questo termine potrebbe averti confuso, un po' come avviene con le altre parole chiave legate al mondo della sicurezza informatica che vengono comunemente utilizzate da anni, come ransomware, spoofing e via dicendo.

Zero trust è l'espressione più in voga al momento nel settore della sicurezza informatica, e ogni azienda che opera in questo ambito rivendica la soluzione zero trust più completa. In mezzo a tutto questo clamore, può essere difficile distinguere il vero dal falso. Ma cosa si intende esattamente per zero trust, perché è importante e come può essere implementato? Un articolo di Gartner, pubblicato all'inizio di quest'anno, illustra gli aspetti pratici a cui le aziende dovrebbero dare priorità quando cercano di implementare un'architettura zero trust. Con questo blog, voglio aiutarti a comprendere cosa si intende per zero trust e come può essere implementato in un'azienda secondo le linee guida di Gartner.

Cosa si intende per zero trust?

C'è molta confusione su cosa sia veramente lo zero trust; molti lo considerano un prodotto, una soluzione o una piattaforma, ma non è niente di tutto ciò. Lo zero trust è un modo di concepire la sicurezza che si basa sul principio di "non fidarsi mai e verificare sempre" e sull'accesso a privilegi minimi, che non presuppone l'attendibilità di nessun utente e di nessuna applicazione. La sicurezza zero trust parte dall'idea che i rischi siano presenti sia all'interno che all'esterno della rete. Niente all'interno della rete è ritenuto attendibile automaticamente, ed è da qui che deriva il termine "zero trust", che si può tradurre con "zero fiducia". 

Lo zero trust è un'evoluzione delle tradizionali architetture di sicurezza di rete che utilizzavano firewall e VPN e si basavano sulla verifica di una determinata entità per poi considerarla attendibile. In questo modo, gli utenti verificati all'interno della rete erano considerati attendibili automaticamente. L'approccio zero trust attribuisce l'attendibilità solo in base all'identità e al contesto dell'utente, come la posizione, il profilo di sicurezza del dispositivo e l'app o il servizio richiesto, con policy che svolgono la funzione di gatekeeper in ogni fase del processo. 

Per fare un'analogia, potremmo paragonare lo zero trust alla forma fisica. Essere in forma è un obiettivo concettuale con determinati parametri di riferimento: varia in base agli obiettivi individuali e personali e può essere raggiunto con attività come camminare, correre, andare in bicicletta, sollevare pesi, ballare e altro ancora, ma lo scopo finale è sempre quello di raggiungere una buona forma fisica. Analogamente, lo zero trust è un principio concettuale di sicurezza che può essere raggiunto tramite una serie di soluzioni, come lo ZTNA, la segmentazione del carico di lavoro, la protezione dei dati, l'isolamento del browser e altro ancora, con l'obiettivo finale di proteggere integralmente utenti e applicazioni.

Secondo Gartner, la maggior parte delle aziende si trova ancora nella fase di pianificazione o di definizione della strategia di implementazione dello zero trust. Questo significa che le aziende devono mettere in atto due iniziative fondamentali per adottare in modo completo lo zero trust: 

• l'accesso front-end alla rete, incentrato sulla segmentazione da utente ad applicazione, noto anche come Zero Trust Network Access, o ZTNA;
• l'accesso back-end alla rete, incentrato sulla segmentazione da carico di lavoro a carico di lavoro.

Lo ZTNA per la segmentazione da utente ad applicazione

Lo ZTNA supporta un'architettura zero trust attraverso un modello adattivo di attribuzione dell'attendibilità, secondo cui quest'ultima non è mai implicita e l'accesso che viene concesso è solo quello indispensabile, seguendo il principio dei privilegi minimi e in base a policy granulari. Lo ZTNA collega in modo sicuro gli utenti alle applicazioni private, senza mai collocarle sulla rete o esporle a internet. Questo isolamento riduce i rischi, come l'infezione da dispositivi compromessi, e garantisce l'accesso alle applicazioni solo agli utenti autorizzati. Gartner suggerisce alle aziende di iniziare con una prova di un prodotto ZTNA con cui testare le applicazioni, per garantire che tutti gli elementi funzionino come si desidera: utenti, dispositivi (gestiti e non gestiti) e applicazioni (nuove e legacy).

Segmentazione basata sull'identità

Gartner afferma che la segmentazione da carico di lavoro a carico di lavoro riduce l'eccessiva attendibilità implicita, consentendo alle aziende di spostare i singoli carichi di lavoro verso un modello di comunicazione basato sul rifiuto predefinito dell'attendibilità, piuttosto che su un modello di autorizzazione implicita. Per delineare una strategia basata sull'identità, Gartner consiglia di indirizzare l'attenzione sui carichi di lavoro eterogenei, su ambienti on-premise, ibridi, virtuali e container.

Una volta implementato lo ZTNA e la segmentazione basata sull'identità, le aziende possono dedicarsi ad altri aspetti, per estendere l'approccio zero trust a tutta la loro infrastruttura tecnologica.

Semplificare e accelerare il viaggio verso lo zero trust

Zero Trust Exchange di Zscaler si basa sul security cloud più grande del mondo e fornisce l'architettura zero trust ideale per accelerare in sicurezza la trasformazione delle aziende. Con 150 data center in tutto il mondo, ZTE garantisce che il servizio sia vicino agli utenti, ai provider cloud e alle applicazioni a cui si accede. Per estendere il nostro paragone tra lo zero trust e la forma fisica, è come se Zero Trust Exchange fosse una palestra più sofisticata che dispone di tutte le attrezzature necessarie per raggiungere il massimo livello di forma fisica, o, nel nostro caso, di zero trust. Zero Trust Exchange fornisce accesso remoto con protezione dalle minacce informatiche, protezione dei dati, accesso sicuro a internet, accesso alle app B2B, segmentazione della rete, valutazione delle prestazioni e molte altre funzionalità fondamentali per l'implementazione dello zero trust.

Leggi l'articolo: What Are Practical Projects for Implementing Zero Trust?