I 7 elementi di un'architettura zero trust di grande successo
La guida dell'esperto su Zscaler Zero Trust Exchange
Dai un'occhiata alla Sezione uno: verifica dell'identità e del contesto
L'architettura zero trust è progettata in modo che l'accesso sia completamente bloccato fino a quando non viene esplicitamente consentito. Questo approccio differisce dalla maggior parte degli ambienti tradizionali, in cui l'accesso alla rete viene concesso in modo implicito e viene gestito tramite dei controlli di rete ormai datati. Quando un iniziatore presenta l'identità corretta, l'accesso può essere concesso solo al gruppo di servizi specifici consentiti e a nient'altro. Questo approccio, fondato sul "fidarsi mai, verificare sempre", è alla base dell'architettura zero trust. Pertanto, è indispensabile che le aziende ne assicurino la corretta integrazione attraverso un provider IdP affidabile.
L'identità e il profilo dell'entità richiedente sono considerati sulla base di policy granulari implementate nell'Elemento 7. Ad esempio:
Un utente verificato con i valori del profilo corretti
- ha bisogno dell'accesso a SAP;
- non ha bisogno di accedere a un sensore IoT;
- potrebbe avere bisogno di accedere a YouTube.
Mentre un dispositivo IoT/OT verificato con valori del profilo corretti
- ha bisogno di accedere a un motore IoT;
- non ha bisogno di accedere a YouTube.
Inoltre, un workload verificato
- ha bisogno di accedere a un workload analogo;
- potrebbe avere bisogno di accedere a Internet.
In questo esempio semplificato, le policy di accesso possono essere accertate solo differenziando il tipo di iniziatore. Di conseguenza, l'identità può essere ulteriormente accertata e arricchita di contesto, ad esempio un utente valido che effettua l'accesso da un dispositivo aziendale, per fornire una dichiarazione di identità più completa (si veda l'Elemento 2).
A questo punto, l'autenticazione non è più un semplice sì/no contestuale, ma diventa una fase di autorizzazione, dove i valori relativi all'identità autenticata, quali ruolo, responsabilità, posizione, ecc., possono essere utilizzati per convalidare ulteriormente l'iniziatore.
Combinando questi valori, il controllo dell'identità diventa più efficace e ogni identità deve essere univoca al momento dell'autorizzazione (la rivalutazione verrà discussa nell'Elemento 4 con il punteggio dinamico del rischio).
Le architetture legacy lasciano l'azienda vulnerabile agli attacchi
Gli approcci tradizionali alla rete e alla sicurezza, come le VPN e i firewall, diventano sempre più inefficaci, man mano che le applicazioni si spostano sul cloud e gli utenti lavorano da qualsiasi luogo. Tali approcci richiedono che gli utenti si connettano alla rete, aprendo le porte agli aggressori, consentendogli di compromettere i dati sensibili e di infliggere danni sostanziali al business.
L'architettura zero trust:
Una sicurezza completa per supportare la trasformazione digitale
Per avere successo nell'ambiente di lavoro ibrido di oggi, i team responsabili dell'IT e della sicurezza devono rivoluzionare completamente la rete e la sicurezza, ed è qui che entra in gioco l'architettura zero trust.
Lo zero trust è un approccio olistico alla sicurezza basato sull'accesso a privilegi minimi e sul concetto che utenti e applicazioni non debbano mai essere ritenuti automaticamente attendibili. Presuppone che tutte le connessioni siano potenzialmente ostili e concede l'accesso solo dopo aver verificato l'identità e il contesto e aver applicato le verifiche delle policy.
Zscaler offre lo zero trust attraverso Zero Trust Exchange, una piattaforma integrata e nativa del cloud che connette in modo sicuro utenti, workload e dispositivi alle applicazioni, senza instaurare connessioni alla rete. Questo approccio esclusivo elimina la superficie di attacco, previene il movimento laterale delle minacce e protegge dalle compromissioni e dalla perdita dei dati.
I sette elementi dello zero trust
Guarda un'architettura zero trust in azione
Lo zero trust rappresenta l'evoluzione della sicurezza informatica e consente di eliminare la dipendenza dall'infrastruttura a castello e fossato per proteggere le reti di tipo hub and spoke. Una vera architettura zero trust connette in modo sicuro utenti, carichi di lavoro e dispositivi solo alle app a cui sono autorizzati ad accedere, su qualsiasi rete e da qualsiasi posizione, senza mettere l'iniziatore o l'app di destinazione su una rete instradabile su cui possono essere individuati e sfruttati.
Verifica dell'identità e del contesto
Quando viene richiesta una connessione, l'architettura zero trust termina la connessione e verifica l'identità e il contesto:
- Chi si sta connettendo? – Verifica l'identità dell'utente/dispositivo, del dispositivo IoT/OT o del workload.
- Qual è il contesto dell'accesso? – Convalida il contesto del richiedente della connessione, esaminando attributi quali il ruolo, la responsabilità e la posizione.
- Qual è la destinazione della connessione? – Conferma che la destinazione sia nota, compresa e contestualizzata per l'accesso.
Controllo di contenuti e accesso
Successivamente, l'architettura zero trust valuta il rischio associato alla richiesta di connessione e ispeziona il traffico alla ricerca di minacce informatiche e dati sensibili:
- Valutazione del rischio – Sfrutta l'IA per calcolare dinamicamente il punteggio di rischio associato all'accesso richiesto.
- Prevenire le compromissioni – Ispeziona il traffico in entrata per identificare e bloccare i contenuti dannosi.
- Prevenire la perdita dei dati – Decripta e ispeziona il traffico e i contenuti in uscita per prevenire l'esfiltrazione dei dati sensibili.
Applicazione delle policy: decisione e applicazione definite per sessione
Dopo aver verificato il rischio, la policy viene applicata prima di stabilire in via definitiva una connessione con l'app interna o esterna:
- Applicazione delle policy – Determina l'azione condizionale da intraprendere in relazione alla connessione richiesta.
Una volta raggiunta la decisione di concedere l'autorizzazione, viene stabilita una connessione sicura a Internet, all'app SaaS o all'app interna. Per le app interne, si tratta di un tunnel criptato di sola uscita, che azzera la superficie di attacco.
I sette elementi dello zero trust
Guarda un'architettura zero trust in azione
Lo zero trust rappresenta l'evoluzione della sicurezza informatica e consente di eliminare la dipendenza dall'infrastruttura a castello e fossato per proteggere le reti di tipo hub and spoke. Una vera architettura zero trust connette in modo sicuro utenti, carichi di lavoro e dispositivi solo alle app a cui sono autorizzati ad accedere, su qualsiasi rete e da qualsiasi posizione, senza mettere l'iniziatore o l'app di destinazione su una rete instradabile su cui possono essere individuati e sfruttati.
Verifica dell'identità e del contesto
Quando viene richiesta una connessione, l'architettura zero trust termina la connessione e verifica l'identità e il contesto:
- Chi si sta connettendo? – Verifica l'identità dell'utente/dispositivo, del dispositivo IoT/OT o del workload.
- Qual è il contesto dell'accesso? – Convalida il contesto del richiedente della connessione, esaminando attributi quali il ruolo, la responsabilità e la posizione.
- Qual è la destinazione della connessione? – Conferma che la destinazione sia nota, compresa e contestualizzata per l'accesso.
Controllo di contenuti e accesso
Successivamente, l'architettura zero trust valuta il rischio associato alla richiesta di connessione e ispeziona il traffico alla ricerca di minacce informatiche e dati sensibili:
- Valutazione del rischio – Sfrutta l'IA per calcolare dinamicamente il punteggio di rischio associato all'accesso richiesto.
- Prevenire le compromissioni – Ispeziona il traffico in entrata per identificare e bloccare i contenuti dannosi.
- Prevenire la perdita dei dati – Decripta e ispeziona il traffico e i contenuti in uscita per prevenire l'esfiltrazione dei dati sensibili.
Applicazione delle policy: decisione e applicazione definite per sessione
Dopo aver verificato il rischio, la policy viene applicata prima di stabilire in via definitiva una connessione con l'app interna o esterna:
- Applicazione delle policy – Determina l'azione condizionale da intraprendere in relazione alla connessione richiesta.
Una volta raggiunta la decisione di concedere l'autorizzazione, viene stabilita una connessione sicura a Internet, all'app SaaS o all'app interna. Per le app interne, si tratta di un tunnel criptato di sola uscita, che azzera la superficie di attacco.
Guarda Zero Trust Exchange in azione
Segui questi due utenti esemplificativi nel loro viaggio attraverso la procedura zero trust per ottenere l'accesso alle applicazioni, per vedere come questi sette elementi vengono applicati da Zscaler Zero Trust Exchange.
Esplora le risorse
E-BOOK
I sette elementi di un'architettura zero trust di grande successo
UNA PANORAMICA
Panoramica sui vantaggi di Zscaler
Zero Trust Exchange
WEBINAR