Lo zero trust è un framework di sicurezza che si basa sul concetto che nessun utente o applicazione vada automaticamente considerato attendibile. L'architettura zero trust applica controlli degli accessi a privilegi minimi, concede l'attendibilità in base al contesto (ad esempio l'identità e la posizione dell'utente, il profilo di sicurezza dell'endpoint, dell'app o del servizio richiesto), e applica controlli delle policy a ogni passaggio. Le richieste di accesso, anche se provenienti da persone note, vengono approvate solo dopo una rigorosa procedura di autenticazione.
Il concetto secondo cui tutto va sempre verificato è fondamentale nel modello di sicurezza zero trust. Per capirne il motivo, analizziamo brevemente il tradizionale modello di sicurezza di rete basato sui firewall.
Gli approcci tradizionali alla sicurezza informatica basati sui firewall partono dal presupposto che le richieste di accesso provenienti dall'esterno del perimetro di rete non siano intrinsecamente attendibili, a differenza di quelle provenienti dall'interno, che sono invece considerate sicure. Questo modello si basa sull'assunto che i firewall possano bloccare efficacemente le minacce esterne, e che all'interno del perimetro non via sia alcun elemento pericoloso; purtroppo, questa situazione ideale non riflette mai la realtà.
I criminali informatici sfruttano questa presunzione di attendibilità per aggirare le difese e distribuire ransomware e altri malware avanzati, esfiltrare i dati sensibili e molto altro. Lo zero trust mitiga il rischio derivante da questa attendibilità presunta, in quanto riconosce che chiunque può essere compromesso. Si basa su tre principi:
Prima di approfondire il tema dell'implementazione dello zero trust, facciamo una distinzione tra questi due termini:
In altre parole, un'architettura zero trust getta le basi necessarie alle organizzazioni per ottenere lo ZTNA e rendere le proprie risorse accessibili da qualsiasi luogo, in qualsiasi momento e da qualsiasi dispositivo. Lo ZTNA è un approccio più agile e reattivo alla sicurezza, che risulta più adatto a rispondere alle configurazioni multicloud e al lavoro da remoto.
Di fronte alle tendenze del lavoro da remoto, all'aumento dei dispositivi IoT e all'adozione del cloud, creare una strategia zero trust può sembrare un compito eccessivamente impegnativo. Vediamo quali sono gli ostacoli più comuni e cosa si può fare per superarli.
Non sapere da dove iniziare
Per iniziare il tuo viaggio verso lo zero trust, cerca di identificare un punto debole specifico nell'ecosistema aziendale. Può trattarsi di un rischio relativo alla sicurezza, come una superficie di attacco esposta o un accesso con troppi privilegi, dell'esperienza utente scadente oppure dei costi legati al debito tecnico, all'infrastruttura o alla connettività. Iniziare da un ambito circoscritto ti permetterà di gettare le basi per affrontare problemi più complessi.
Essere vincolati agli investimenti legacy
È difficile non considerare gli investimenti fatti in passato, anche quando ci si rende conto che alcune tecnologie non rispondono più alle esigenze aziendali in modo adeguato. Prima di partire con rinnovi e aggiornamenti, è importante prendersi un momento per valutare se gli strumenti e le tecnologie legacy dell'organizzazione sono in grado di supportare efficacemente gli obiettivi aziendali, di soddisfare i requisiti di capex e opex e di offrire la protezione adeguata in un mondo in cui si fa sempre più uso di cloud, mobilità e IoT.
La necessità di ottenere il supporto degli stakeholder
Lo zero trust può influire su ogni ambito dell'organizzazione. Per questo motivo, è necessario coinvolgere molti stakeholder e illustrare loro apertamente tutti i vantaggi e i punti critici della trasformazione zero trust. Cerca di capire ciò che motiva e preoccupa maggiormente gli stakeholder, inclusi i potenziali punti di cui potrebbero non essere immediatamente consapevoli (come rischi legali o relativi alla conformità). Delinea i principali casi d'uso fornendo informazioni anche sulle aree da cui si potrebbe partire: questi dettagli potrebbero aiutarti a ottenere il supporto di cui hai bisogno.
La trasformazione zero trust richiede tempo, ma rappresenta anche una necessità per la sopravvivenza e la crescita delle organizzazioni di oggi. Una trasformazione di successo comprende tre elementi fondamentali:
È importante riconoscere che il cambiamento può comportare anche sfide, specialmente se l'architettura e i flussi di lavoro sono sempre gli stessi da tempo. Procedere a fasi aiuta a superare molti di questi problemi, ed è questo il motivo per cui Zscaler suddivide il percorso di adozione dello zero trust in quattro passaggi:
Raggiungendo questi obiettivi uno alla volta, e trasformando conseguentemente la rete e la sicurezza durante il percorso, si otterrà un'architettura zero trust in grado di connettere in modo sicuro utenti, dispositivi e applicazioni su qualsiasi rete, ovunque si trovino.
Adottare l'approccio zero trust non significa solo configurare la microsegmentazione, l'autenticazione a più fattori (MFA), le autorizzazioni e rivoluzionare la sicurezza on-premise. Lo zero trust è pensato per rispondere alle sfide poste dalle reti, dalla forza lavoro e dalle minacce che caratterizzano il mondo di oggi e rendere le aziende più sicure, agili e competitive.
Le best practice per l'implementazione dello zero trust non riguardano solamente i requisiti tecnici. Ovviamente è necessario proteggere gli endpoint, applicare il principio dei privilegi minimi e sfruttare IA, ML e automazione. Tuttavia, per poter portare a termine tutto questo in modo efficace, è necessario affrontare le sfide dell'implementazione di questa nuova strategia di sicurezza delineando un piano:
Zscaler offre lo zero trust attraverso la piattaforma nativa del cloud Zscaler Zero Trust Exchange™. Basata su un'architettura proxy, questa piattaforma connette in modo sicuro utenti, dispositivi e applicazioni utilizzando le policy aziendali su qualsiasi rete. Per fare questo, la piattaforma esegue quattro passaggi:
I vantaggi di Zero Trust Exchange
Cosa si intende per zero trust?
Leggi l'articoloI 7 elementi di un'architettura zero trust di grande successo
Vedi l'infografica Scarica l'ebookZscaler Zero Trust Exchange
Per saperne di piùLe strategie da seguire per l'adozione dello zero trust
I modelli di sicurezza legacy basati sull'attendibilità presunta possono lasciare la rete e gli utenti pericolosamente esposti, in quanto le minacce informatiche continuano a evolversi per sfruttare le relazioni di attendibilità a proprio vantaggio. Il modello zero trust esegue l'autenticazione rigorosa di tutte le richieste, indipendentemente da chi le effettua o da dove provengono, offrendo quindi una protezione più completa.
I modelli tradizionali di sicurezza informatica lasciano le applicazioni esposte a Internet. Oggi, con le applicazioni e i dati che risiedono sempre più frequentemente sul cloud, questi approcci finiscono per estendere pericolosamente le superfici di attacco della rete. Un vero modello zero trust collega gli utenti direttamente alle risorse, non alla rete, mantenendo il traffico sensibile invisibile a Internet.
Le minacce informatiche esistenti hanno reso evidente la necessità di sostituire la tecnologia VPN legacy. Con una VPN tradizionale, gli utenti vengono autenticati una sola volta e poi immessi nella rete. Con un modello zero trust, invece, utenti e dispositivi vengono convalidati costantemente, e l'accesso viene concesso solo verso delle specifiche applicazioni autorizzate.
Trova il provider di soluzioni zero trust in grado di rispondere alle tue esigenze valutando la sua storia ed esperienza, le soluzioni che offre e il livello di personalizzazione del supporto. Il giusto provider riuscirà a comprendere le caratteristiche del tuo ambiente e sarà in grado di fornirti consigli mirati per proteggere i tuoi dati e potenziare la tua forza lavoro.
Il modo migliore per muovere i primi passi verso lo zero trust è partire da un ambito circoscritto. Individua, ad esempio, un problema relativo al rischio, ai costi o all'esperienza utente, e applica una strategia zero trust. Potrai fare riferimento a questi piccoli successi quando cercherai di ottenere il supporto degli stakeholder per richiedere maggiori investimenti e delineare i piani per il futuro. Collabora con altri professionisti. Se il tuo team non dispone delle competenze necessarie per implementare lo zero trust, lavora con un provider affidabile.
La trasformazione zero trust richiede tempo. Per garantirne il successo a lungo termine, è fondamentale consolidare le conoscenze del tuo team, comprendere i modi in cui puoi utilizzare questa tecnologia per ridurre costi e complessità e favorire il raggiungimento degli obiettivi, e supportare un cambiamento culturale e della mentalità per poter estendere lo zero trust a tutta l'organizzazione.
I passaggi per creare una rete zero trust comprendono: