Che cos'è un'architettura zero trust? Un'architettura zero trust è un'architettura di sicurezza creata per ridurre la superficie di attacco di una rete, prevenire il movimento laterale delle minacce e ridurre il rischio di subire una violazione dei dati. È basata sui principi fondamentali del modello di sicurezza zero trust, che abbandona il concetto tradizionale di "perimetro della rete", all'interno del quale tutti i dispositivi e gli utenti sono attendibili e ricevono ampie autorizzazioni, a favore di controlli di accesso a privilegi minimi, microsegmentazione granulare e autenticazione a più fattori (MFA).

Le sessioni tecniche di Zscaler: i sette elementi dello zero trust
Guarda

Architettura zero trust (ZTA) e ZTNA: qual è la differenza?

Prima di esaminare in modo più dettagliato l'architettura zero trust, facciamo chiarezza su questi due termini:

  • Un'architettura zero trust (ZTA) è una struttura che supporta i principi dello zero trust, come la gestione rigorosa degli accessi, l'autenticazione meticolosa di dispositivi e utenti e una solida segmentazione. Si contrappone all'architettura a "castello e fossato", la quale considera automaticamente attendibile qualsiasi entità all'interno del perimetro, che per molti versi aspira a sostituire.
  • Lo ZTNA (Zero Trust Network Access) è un caso d'uso dello zero trust che offre agli utenti un accesso sicuro ad applicazioni e dati quando utenti, applicazioni o dati non si trovano all'interno di un perimetro di sicurezza tradizionale, una condizione sempre più frequente nell'epoca del cloud e del lavoro ibrido.

L'architettura zero trust getta le basi di cui le organizzazioni hanno bisogno per fornire lo ZTNA e rendere sistemi, servizi, API, dati e processi accessibili da qualsiasi luogo, in qualsiasi momento e da qualsiasi dispositivo.

Perché è necessaria un'architettura zero trust

Nel corso degli ultimi trent'anni, le organizzazioni hanno sviluppato e riconfigurato reti WAN hub-and-spoke complesse. In un ambiente di questo tipo, utenti e filiali si collegano al data center attraverso connessioni private, e per accedere alle applicazioni di cui hanno bisogno, gli utenti devono essere collocati sulla rete.

Le reti hub-and-spoke sono protette attraverso stack di apparecchi, come VPN e firewall, e utilizzano un'architettura definita "a castello e fossato". Questo approccio è stato utile alle organizzazioni quando le applicazioni risiedevano nei loro data center, ma oggi, con la diffusione dei servizi cloud, delle tecnologie emergenti e i crescenti problemi per la sicurezza, questo modello sta rallentando le aziende anziché supportarle.

Oggi, le organizzazioni stanno attraversando percorsi di trasformazione digitale adottando il cloud, la mobilità, l'IA, l'IoT (Internet of Things) e la tecnologia operativa (OT) per diventare più agili e competitive. Gli utenti sono ovunque, e i dati delle organizzazioni non sono più esclusivamente nei loro data center. Per collaborare e rimanere produttivi, gli utenti devono poter accedere direttamente alle app da qualsiasi luogo e in qualsiasi momento.

L'instradamento del traffico verso il data center, in modo che raggiunga in modo sicuro le applicazioni sul cloud, non ha più senso. Ecco perché le organizzazioni stanno abbandonando il modello di rete hub-and-spoke a favore di un approccio che offre una connettività diretta al cloud: l'architettura zero trust.

Questo video offre una panoramica veloce ma dettagliata sulla trasformazione digitale sicura.

CEO di Zscaler
Guarda

Come funziona un'architettura zero trust

Lo zero trust parte dal presupposto che tutto ciò che si trova sulla rete sia ostile o compromesso, e l'accesso a un'applicazione viene concesso solo dopo l'applicazione dei controlli di sicurezza e la verifica dell'identità dell'utente, del profilo di sicurezza del dispositivo e del dispositivo aziendale. In questo modello, tutto il traffico deve essere registrato e ispezionato, un'operazione che richiede un certo grado di visibilità che non può essere raggiunto con i controlli di sicurezza tradizionali.

Un vero approccio zero trust riduce al minimo la superficie di attacco dell'organizzazione, previene il movimento laterale delle minacce e riduce il rischio di subire una violazione. Viene implementato al meglio tramite un'architettura basata su proxy che colleghi gli utenti direttamente alle applicazioni, e non alla rete; questo rende possibile l'applicazione di ulteriori controlli prima di consentire o bloccare le connessioni.

Per garantire che l'attendibilità non venga mai garantita in modo implicito, un'architettura zero trust di successo sottopone ogni connessione a una serie di controlli, prima di stabilire una connessione. Si tratta di un processo in tre passaggi:

  1. Verifica dell'identità e del contesto. Quando l'utente/dispositivo, il carico di lavoro o il dispositivo IoT/OT richiede una connessione, indipendentemente dalla rete sottostante, l'architettura zero trust termina innanzitutto la connessione e verifica l'identità e il contesto per ottenere maggiori informazioni sulla richiesta.
  2. Controllo del rischio. Una volta verificati il contesto e l'identità dell'entità richiedente e applicate le regole di segmentazione, l'architettura zero trust valuta quindi il rischio associato alla richiesta di connessione e ispeziona il traffico alla ricerca di minacce informatiche e dati sensibili.
  3. Applicazione delle policy. Infine, viene calcolato un punteggio di rischio per l'utente, il carico di lavoro o il dispositivo, per determinare se è consentito o soggetto a limitazioni. Se l'entità è consentita, l'architettura zero trust stabilisce una connessione sicura a Internet, all'app SaaS o all'ambiente IaaS/PaaS.

Guarda un elenco dettagliato degli elementi essenziali di un'architettura zero trust di successo, con Nathan Howe, Vice President of Emerging Technologies per Zscaler.

I vantaggi di un'architettura zero trust

Un'architettura zero trust fornisce all'utente l'accesso preciso e contestuale necessario per lavorare alla velocità delle aziende moderne, offrendo al contempo la protezione di utenti e dati da malware e altri attacchi informatici. In quanto fondamento dello ZTNA, un'architettura zero trust efficace aiuta a:

  • Garantire un accesso sicuro e veloce ai dati e alle applicazioni per i lavoratori in remoto, come dipendenti e partner, ovunque essi si trovino, migliorando così l'esperienza utente
  • Fornire un accesso remoto affidabile e gestire e applicare le policy di sicurezza in modo più semplice e uniforme rispetto a quanto avviene con le tecnologie legacy come le VPN
  • Proteggere le applicazioni e i dati sensibili on-premise o in un ambiente cloud, siano essi in transito o inattivi, con controlli di sicurezza rigorosi, tra cui crittografia, autenticazione, controlli sullo stato e molto altro.
  • Bloccare le minacce interne, in quanto non viene più riconosciuta l'attendibilità implicita e predefinita degli utenti e dei dispositivi che sono all'interno del perimetro della rete
  • Limitare il movimento laterale, con policy di accesso granulari a livello di singola risorsa, riducendo la probabilità di subire una violazione
  • Rilevare, rispondere e ripristinare le attività dopo eventuali violazioni andate a segno in modo più rapido ed efficace, per mitigarne l'impatto
  • Acquisire una maggiore visibilità su tutto ciò che riguarda le attività di utenti ed entità sfruttando il monitoraggio dettagliato e il logging delle sessioni e delle azioni intraprese
  • Valutare il rischio in in tempo reale, sfruttando i log dettagliati di autenticazione, le verifiche dello stato delle risorse e dei dispositivi, le analisi del comportamento degli utenti e delle entità e molto altro

(Adattato da "Implementing a Zero Trust Architecture", Pubblicazione speciale del National Institute of Standards and Technology [NIST]).

One True Zero Trust: Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™ è una piattaforma integrata e nativa del cloud fondata sul principio dell'accesso a privilegi minimi e sull'idea che nessun utente, carico di lavoro o dispositivo sia intrinsecamente attendibile. Questa piattaforma concede l'accesso in base all'identità e al contesto, come il tipo di dispositivo, la posizione, l'applicazione e il contenuto, agendo da broker per instaurare una connessione sicura tra un utente, un carico di lavoro o un dispositivo, su qualsiasi rete e da qualsiasi luogo, in base alle policy aziendali.

Zero Trust Exchange aiuta l'organizzazione a:

  • Eliminare la superficie di attacco esposta a Internet e il movimento laterale delle minacce. Il traffico degli utenti non tocca mai la rete aziendale, e gli utenti si collegano direttamente alle applicazioni attraverso tunnel criptati univoci, che impediscono il rilevamento e gli attacchi mirati.
  • Migliorare l'esperienza dell'utente. A differenza delle architetture di rete legacy statiche che hanno una "porta di accesso" che esegue il backhauling dei dati verso i centri di elaborazione, Zero Trust Exchange gestisce e ottimizza in modo intelligente le connessioni dirette a qualsiasi cloud o destinazione Internet, e applica policy adattive e protezioni inline all'edge, il più vicino possibile all'utente.
  • Integrazione perfetta con i principali provider di servizi cloud, identità, protezione degli endpoint e SecOps. La nostra piattaforma olistica combina le funzioni di sicurezza fondamentali (ad esempio, SWG, DLP, CASB, firewall, sandboxing) con tecnologie emergenti, come l'isolamento del browser, il monitoraggio dell'esperienza digitale e lo ZTNA, per offrire uno stack completo di soluzioni per la sicurezza sul cloud.
  • Riduzione di costi e complessità. Zero Trust Exchange è semplice da distribuire e gestire, ed elimina la necessità di ricorrere alle VPN o a policy complesse per i firewall perimetrali della rete.
  • Garantire una sicurezza uniforme su larga scala. Zscaler gestisce il security cloud più grande del mondo, distribuito su oltre 150 data center a livello globale, che elabora oltre 240 miliardi di transazioni nei periodi con più richieste e previene ogni giorno 8,4 miliardi di minacce.

Vuoi provare il vero zero trust? Scopri di più su Zscaler Zero Trust Exchange.

Risorse consigliate