I 7 elementi di un'architettura zero trust di grande successo
La guida degli architetti a Zscaler Zero Trust Exchange
Dai un'occhiata alla Sezione 1: verifica dell'identità e del contesto
L'architettura zero trust è progettata in modo che l'accesso sia completamente bloccato fino all'autorizzazione esplicita. Questo approccio differisce dalla maggior parte degli ambienti tradizionali in cui l'accesso alla rete è concesso in modo implicito e gestito tramite dei controlli di rete ormai datati. Quando un iniziatore presenta l'identità corretta, l'accesso viene concesso solo al gruppo di servizi specifici consentiti e a nient'altro. Alla base dell'architettura zero trust vi è un approccio che può essere riassunto nel principio "non fidarsi mai, verificare sempre". È quindi indispensabile che le aziende ne assicurino la corretta integrazione attraverso un provider IdP affidabile.
L'identità e il profilo dell'entità richiedente sono considerati in base alle policy granulari implementate nell'Elemento 7. Ad esempio:
Un utente verificato con i valori del profilo corretti
- ha bisogno dell'accesso a SAP;
- non ha bisogno di accedere a un sensore IoT;
- potrebbe avere bisogno di accedere a YouTube.
Invece, un dispositivo IoT/OT verificato con valori del profilo corretti
- ha bisogno di accedere a un motore IoT;
- non ha bisogno di accedere a YouTube.
Inoltre, un carico di lavoro verificato
- ha bisogno di accedere a un workload analogo;
- potrebbe avere bisogno di accedere a Internet.
In questo esempio semplificato, le policy di accesso possono essere accertate solo differenziando il tipo di iniziatore. In seguito, l'identità può essere ulteriormente accertata e arricchita di contesto, ad esempio con un utente valido che effettua l'accesso da un dispositivo aziendale, per fornire una dichiarazione di identità più completa (vedi Elemento 2).
A questo punto, l'autenticazione non è più un semplice sì/no contestuale, ma diventa una fase di autorizzazione, dove i valori relativi all'identità autenticata, come ruolo, responsabilità, posizione, ecc., possono essere utilizzati per convalidare ulteriormente l'iniziatore.
Combinando questi valori, il controllo dell'identità diventa più efficace e ogni identità deve essere univoca al momento dell'autorizzazione (la rivalutazione verrà discussa nell'Elemento 4 con il punteggio dinamico del rischio).
Le architetture legacy lasciano l'azienda vulnerabile agli attacchi
Con le applicazioni che si spostano sul cloud e gli utenti che lavorano da qualsiasi luogo, gli approcci tradizionali alla rete e alla sicurezza, come le VPN e i firewall, diventano sempre più inefficaci. Questi approcci richiedono che gli utenti si connettano alla rete, aprendo così le porte agli aggressori e consentendo loro di compromettere i dati sensibili e infliggere danni sostanziali al business.
L'architettura zero trust:
Una sicurezza completa per favorire la trasformazione digitale
Per avere successo con il lavoro ibrido di oggi, i team responsabili dell'IT e della sicurezza devono rivoluzionare completamente la rete e la sicurezza, ed è qui che entra in gioco l'architettura zero trust.
Lo zero trust è un approccio olistico alla sicurezza basato sull'accesso a privilegi minimi e sul concetto che utenti e applicazioni non debbano mai essere ritenuti automaticamente attendibili. Presuppone che tutte le connessioni siano potenzialmente ostili e concede l'accesso solo dopo aver verificato l'identità e il contesto e aver applicato le verifiche delle policy.
Zscaler offre lo zero trust attraverso Zero Trust Exchange, una piattaforma integrata e nativa del cloud che connette in modo sicuro utenti, carichi di lavoro e dispositivi alle applicazioni, senza connessioni alla rete. Questo approccio esclusivo elimina la superficie di attacco, previene il movimento laterale delle minacce e protegge dalle compromissioni e dalla perdita dei dati.
I sette elementi dello zero trust
Guarda un'architettura zero trust in azione
Lo zero trust rappresenta l'evoluzione della sicurezza informatica e consente di eliminare la dipendenza dall'infrastruttura a castello e fossato per proteggere le reti di tipo hub and spoke. Una vera architettura zero trust connette in modo sicuro utenti, carichi di lavoro e dispositivi solo alle app a cui sono autorizzati ad accedere, su qualsiasi rete e da qualsiasi posizione, senza mettere l'iniziatore o l'app di destinazione su una rete instradabile su cui possono essere individuati e sfruttati.
Verifica dell'identità e del contesto
Quando viene richiesta una connessione, l'architettura zero trust termina la connessione e verifica l'identità e il contesto:
- Chi si sta connettendo? – Verifica l'identità dell'utente/dispositivo, del dispositivo IoT/OT o del carico di lavoro.
- Qual è il contesto dell'accesso? – Convalida il contesto del richiedente della connessione esaminando attributi come ruolo, responsabilità e posizione.
- Qual è la destinazione della connessione? – Conferma che la destinazione sia nota, compresa e contestualizzata per l'accesso.
Controllo di contenuti e accesso
Successivamente, l'architettura zero trust valuta il rischio associato alla richiesta di connessione e ispeziona il traffico alla ricerca di minacce informatiche e dati sensibili:
- Valutazione del rischio – Sfrutta l'IA per calcolare dinamicamente il punteggio di rischio associato all'accesso richiesto.
- Prevenire le compromissioni – Ispeziona il traffico in entrata per identificare e bloccare i contenuti dannosi.
- Prevenire la perdita dei dati – Decripta e ispeziona il traffico e i contenuti in uscita per prevenire l'esfiltrazione dei dati sensibili.
Applicazione delle policy: decisione e applicazione definite per sessione
Dopo aver verificato il rischio, viene applicata la policy e infine stabilita una connessione all'app interna o esterna:
- Applicazione delle policy – Determina l'azione condizionale da intraprendere in relazione alla connessione richiesta.
Una volta raggiunta la decisione di concedere l'autorizzazione, viene stabilita una connessione sicura a Internet, all'app SaaS o all'app interna. Per le app interne, si tratta di un tunnel criptato di sola uscita, che azzera la superficie di attacco.
I sette elementi dello zero trust
Guarda un'architettura zero trust in azione
Lo zero trust rappresenta l'evoluzione della sicurezza informatica e consente di eliminare la dipendenza dall'infrastruttura a castello e fossato per proteggere le reti di tipo hub and spoke. Una vera architettura zero trust connette in modo sicuro utenti, carichi di lavoro e dispositivi solo alle app a cui sono autorizzati ad accedere, su qualsiasi rete e da qualsiasi posizione, senza mettere l'iniziatore o l'app di destinazione su una rete instradabile su cui possono essere individuati e sfruttati.
Verifica dell'identità e del contesto
Quando viene richiesta una connessione, l'architettura zero trust termina la connessione e verifica l'identità e il contesto:
- Chi si sta connettendo? – Verifica l'identità dell'utente/dispositivo, del dispositivo IoT/OT o del carico di lavoro.
- Qual è il contesto dell'accesso? – Convalida il contesto del richiedente della connessione esaminando attributi come ruolo, responsabilità e posizione.
- Qual è la destinazione della connessione? – Conferma che la destinazione sia nota, compresa e contestualizzata per l'accesso.
Controllo di contenuti e accesso
Successivamente, l'architettura zero trust valuta il rischio associato alla richiesta di connessione e ispeziona il traffico alla ricerca di minacce informatiche e dati sensibili:
- Valutazione del rischio – Sfrutta l'IA per calcolare dinamicamente il punteggio di rischio associato all'accesso richiesto.
- Prevenire le compromissioni – Ispeziona il traffico in entrata per identificare e bloccare i contenuti dannosi.
- Prevenire la perdita dei dati – Decripta e ispeziona il traffico e i contenuti in uscita per prevenire l'esfiltrazione dei dati sensibili.
Applicazione delle policy: decisione e applicazione definite per sessione
Dopo aver verificato il rischio, viene applicata la policy e infine stabilita una connessione all'app interna o esterna:
- Applicazione delle policy – Determina l'azione condizionale da intraprendere in relazione alla connessione richiesta.
Una volta raggiunta la decisione di concedere l'autorizzazione, viene stabilita una connessione sicura a Internet, all'app SaaS o all'app interna. Per le app interne, si tratta di un tunnel criptato di sola uscita, che azzera la superficie di attacco.
Guarda Zero Trust Exchange in azione
Segui questi due utenti esemplificativi nel loro viaggio attraverso la procedura zero trust per ottenere l'accesso alle applicazioni, e scopri come questi sette elementi vengono applicati da Zscaler Zero Trust Exchange.
Esplora le risorse
E-BOOK
I sette elementi di un'architettura zero trust di grande successo
UNA PANORAMICA
Panoramica sui vantaggi di Zscaler
Zero Trust Exchange
White paper
La piattaforma One True Zero Trust
VIDEO
7 semplici passaggi per fare chiarezza sullo zero trust
ARTICOLO
La mappa del percorso verso lo zero trust: da dove iniziare
CERTIFICAZIONE