Nel mio articolo precedente ho spiegato perché i firewall e le altre soluzioni di sicurezza della rete basate sul perimetro non sono in grado di supportare una strategia zero trust. Che si tratti di firewall, di VPN, di modelli perimetrali con base cloud come i firewall virtuali, o di soluzioni cloud pensate unicamente per affrontare un singolo problema, nessuna di queste è adatta a un'architettura zero trust (come definita dal NIST e da altre importanti agenzie). Ma la domanda rimane: se questi modelli non sono in grado di supportare un approccio zero trust, quale soluzione risulta invece efficace e perché?

La risposta è Zero Trust Exchange di Zscaler. A differenza delle tecnologie legacy di sicurezza della rete, grazie alla sua architettura unica, questa piattaforma nativa del cloud è in grado di garantire lo zero trust. Come illustrato nella Figura 1, la soluzione Zero Trust Exchange, basata su un'architettura proxy, agisce come una centralina intelligente e collega in modo sicuro gli utenti alle app, le app alle altre app e i computer ai computer, per qualsiasi dispositivo, su qualsiasi rete e in qualsiasi luogo. Prima di autorizzare una qualsiasi richiesta di comunicazione a un'applicazione, impone la verifica in base all'identità e al contesto.

Zero Trust Exchange applica lo zero trust agli utenti, alle applicazioni e ai carichi di lavoro, proteggendo l'accesso a Internet, ai sistemi SaaS e alle applicazioni private, ovunque siano ospitate: su Internet, nei data center o in cloud privati o pubblici.

Grafico

Descrizione generata automaticamente

Figura 1: panoramica su Zero Trust Exchange

Esaminiamo nel dettaglio in che modo Zero Trust Exchange applica un approccio zero trust che si adatta alla portata delle richieste, grazie alla sua architettura collaudata. Nella figura 2, Zero Trust Exchange applica le policy ed è il responsabile delle decisioni tra le entità (dispositivi mobili, IoT, ecc.) che stanno tentando di connettersi (in basso) e le risorse (applicazioni cloud, applicazioni SaaS, applicazioni Internet, ecc.) a cui stanno tentando di accedere (in alto). Zero Trust Exchange fa riferimento alla policy e al contesto in diverse modalità per giungere a una decisione, dopodiché i broker autorizzano la connettività alla risorsa richiesta.

Figura 2: l'architettura di Zero Trust Exchange

Verifica dell'identità: il primo passo è stabilire l'identità. A tale scopo, per prima cosa, Zero Trust Exchange interrompe ogni connessione. La chiusura di tutte le connessioni come prima fase della procedura potrebbe sembrare un modo strano di agire, ma c'è una valida ragione per cui questo avviene. Zero Trust Exchange blocca la sessione e controlla la connessione confrontando l'identità dei sistemi di gestione delle identità e degli accessi (IAM) per verificare l'identità dell'utente/entità e a quale contesto è associata. A seconda del tipo di applicazione, Zero Trust Exchange può applicare requisiti di autenticazione come ID Proxy, asserzione SAML ed MFA (con opzione IdP).

Se il controllo dell'identità non va a buon fine, o se all'utente non è consentito accedere a quella risorsa specifica in base al contesto dell'identità, la connessione viene terminata immediatamente. Questo è ciò che avviene con un'architettura proxy, a differenza dell'architettura pass-through dei firewall. Quest'ultima, infatti, consente il passaggio dei dati ed esegue l'analisi fuori banda solamente in un secondo momento, consentendo così alle minacce sconosciute di passare inosservate. Zero Trust Exchange dispone dell'integrazione delle API con tutti i principali provider di identità, come Okta, Ping, Active Directory/Azure AD e molti altri, per stabilire l'identità.

Verifica del dispositivo: il passaggio successivo consiste nel costruire un contesto attorno al profilo del dispositivo: si tratta di un dispositivo aziendale o personale? È gestito oppure no? È conforme? Il contesto del dispositivo viene combinato con altre forme di contesto, come il ruolo dell'utente, l'applicazione a cui sta tentando di accedere, i contenuti che sta scambiando e altro ancora. Tali condizioni determinano il livello di accesso che viene concesso. Zero Trust Exchange si integra con le principali soluzioni di protezione degli endpoint, come Microsoft Defender, VMware Carbon Black, Crowdstrike Falcon e altre, per incrementare il contesto e la sicurezza degli endpoint.

Policy delle applicazioni: Zero Trust Exchange valuta se l'app richiesta è pubblica o privata e classifica ulteriormente le applicazioni SaaS come autorizzate (app acquistate dall'azienda, come M365) o non autorizzate (utilizzate autonomamente dai dipendenti). In base al tipo di applicazione, valuta il rischio associato all'app e gestisce le policy di accesso sfruttando l'indice di rischio dell'app con soluzioni come il filtraggio degli URL, le protezioni CASB (Cloud Access Security Broker) e altro ancora. Zero Trust Exchange determina inoltre l'origine dell'applicazione più vicina all'utente, la quale viene quindi utilizzata per stabilire la connessione.

Profilo di sicurezza: l'obiettivo ultimo di qualsiasi tecnologia di sicurezza consiste nel proteggere i dati sensibili, compresi quelli criptati. Molti aggressori sanno perfettamente che i firewall non sono in grado di ispezionare il traffico criptato su larga scala, quindi nascondono malware nel traffico SSL nel tentativo di farli passare inosservati. Oggi, oltre il 90% del traffico è criptato, e al contrario dei firewall, che non sono in grado di ispezionare tutti i dati criptati inline, Zero Trust Exchange è in grado di decriptare il traffico per verificare cosa si cela al suo interno. Fornisce inoltre la prevenzione della perdita di dati (DLP) e la protezione dalle minacce informatiche per i dati inline tramite sandbox. Inoltre, il contesto raccolto nei passaggi precedenti viene utilizzato per rilevare i comportamenti anomali. Queste verifiche aiutano a identificare i livelli di rischio degli utenti a ogni passaggio.

Se l'utente supera tutte queste verifiche, la domanda che sorge è: vogliamo concedere la connessione alla risorsa richiesta?

Applicazione delle policy: le aziende determinano la propria policy aziendale per designare dall'alto ciò a cui i propri dipendenti possono o non possono accedere. In base a queste policy e al contesto della singola richiesta, Zero Trust Exchange consente o nega l'accesso alle applicazioni. Le applicazioni private non vengono esposte a Internet e l'accesso è limitato con connessioni solamente in uscita, mentre alle applicazioni pubbliche viene applicato un accesso condizionale.

Si consideri un dipendente del reparto delle risorse finanziarie che utilizza un dispositivo gestito per accedere ai dati finanziari: lo scambio consente questa transazione solo se tutto il contesto richiesto dalla policy viene soddisfatto. Tuttavia, se il dipendente utilizza un dispositivo non gestito, non otterrà l'accesso completo. Una policy alternativa può invece offrire l'accesso tramite una sessione del browser in remoto, che trasmette i dati sotto forma di pixel da una sessione isolata in un ambiente container, ma non consente l'accesso effettivo ai dati né il loro download, l'archiviazione nella cache del dispositivo, ecc.

Zero Trust Exchange instaura una connessione granulare dall'entità alla risorsa o applicazione a cui è possibile accedere. Si tratta di una vera e propria connessione zero trust. Anche se vi fosse una minaccia alla sicurezza, quest'ultima sarebbe limitata a tale connessione specifica tra l'entità richiedente e l'applicazione a cui sta accedendo, e non verrebbe estesa all'intera rete. Questa architettura è pienamente conforme ai principi architetturali definiti dal NIST, che sono essenziali affinché qualsiasi soluzione di sicurezza possa fornire un accesso sicuro.

Zero Trust Exchange elimina la necessità di reti MPLS complesse, dei controlli complicati dei firewall basati sul perimetro e di VPN, offrendo un accesso rapido, sicuro e diretto al cloud, nonché una connettività sicura tra cloud, eliminando il backhauling del traffico, la distribuzione di percorsi e il service chaining. Invece di ricorrere a più soluzioni di sicurezza virtuali o basate su hardware, che sono difficili da gestire, con una soluzione zero trust integrata è possibile proteggere tutte le applicazioni Internet, SaaS e private con un'unica piattaforma completa. Zero Trust Exchange fornisce un accesso zero trust trasparente e nativo del cloud, offrendo un'esperienza utente senza interruzioni, e con costi e complessità ridotti al minimo, maggiore visibilità, controllo granulare e prestazioni migliorate, per una sicurezza realmente moderna e zero trust.

Per saperne di più sullo zero trust, guarda questo webinar: Perché i firewall non sono adatti allo zero trust. Scoprirai cosa si intende per zero trust, cosa non corrisponde a una strategia zero trust, e quali sono le strategie da seguire per implementarlo.