Come si implementa lo zero trust?

Cosa si intende per zero trust?

Lo zero trust è un framework di sicurezza che si basa sul concetto che nessun utente o applicazione vada automaticamente considerato attendibile. L'architettura zero trust applica controlli degli accessi a privilegi minimi, concede l'attendibilità in base al contesto (ad esempio l'identità e la posizione dell'utente, il profilo di sicurezza dell'endpoint, dell'app o del servizio richiesto), e applica controlli delle policy a ogni passaggio. Le richieste di accesso, anche se provenienti da persone note, vengono approvate solo dopo una rigorosa procedura di autenticazione.

Quali sono i principi alla base dello zero trust?

Il concetto secondo cui tutto va sempre verificato è fondamentale nel modello di sicurezza zero trust. Per capirne il motivo, analizziamo brevemente il tradizionale modello di sicurezza di rete basato sui firewall.

Gli approcci tradizionali alla sicurezza informatica basati sui firewall partono dal presupposto che le richieste di accesso provenienti dall'esterno del perimetro di rete non siano intrinsecamente attendibili, a differenza di quelle provenienti dall'interno, che sono invece considerate sicure. Questo modello si basa sull'assunto che i firewall possano bloccare efficacemente le minacce esterne, e che all'interno del perimetro non via sia alcun elemento pericoloso; purtroppo, questa situazione ideale non riflette mai la realtà.

I criminali informatici sfruttano questa presunzione di attendibilità per aggirare le difese e distribuire ransomware e altri malware avanzati, esfiltrare i dati sensibili e molto altro. Lo zero trust mitiga il rischio derivante da questa attendibilità presunta, in quanto riconosce che chiunque può essere compromesso. Si basa su tre principi:

1. Interrompere ogni singola connessione. I firewall tradizionali utilizzano un approccio "passthrough", ossia ispezionano i file mentre vengono consegnati. Una vera soluzione zero trust, invece, interrompe tutte le connessioni, affinché un'architettura proxy inline possa ispezionare tutto il traffico, compreso quello criptato, prima che raggiunga la destinazione.
2. Proteggere i dati con policy granulari basate sul contesto. Le policy zero trust verificano le richieste di accesso e i diritti in base al contesto completo della richiesta, che include elementi come identità, dispositivo, posizione, contenuto e altro ancora. Queste policy sono adattive, e le autorizzazioni di accesso degli utenti vengono continuamente riesaminate al mutare del contesto.
3. Ridurre i rischi eliminando la superficie di attacco. A differenza di quanto avviene con una VPN, un vero approccio zero trust connette gli utenti e le entità direttamente alle app e alle risorse, mai alle reti (scopri di più sullo ZTNA). In questo modo, si elimina il rischio di movimento laterale; inoltre, dato che utenti e app sono invisibili a Internet, non possono essere individuati o attaccati.

Qual è la differenza tra Zero Trust Architecture (ZTA) e Zero Trust Network Access (ZTNA)?

Prima di approfondire il tema dell'implementazione dello zero trust, facciamo una distinzione tra questi due termini:

• Un'architettura zero trust (ZTA, Zero Trust Architecture) è un'infrastruttura che supporta la gestione rigorosa degli accessi, l'autenticazione e la segmentazione. Si contrappone all'architettura a "castello e fossato", la quale considera automaticamente attendibile qualsiasi entità all'interno del perimetro, e per molti versi aspira a sostituirla.
• Lo ZTNA (Zero Trust Network Access) è un caso d'uso dello zero trust che offre agli utenti un accesso sicuro alle applicazioni e ai dati quando utenti, carichi di lavoro o dati potrebbero non trovarsi all'interno di un perimetro tradizionale, una situazione molto comune nell'era del cloud e del lavoro flessibile.

In altre parole, un'architettura zero trust getta le basi necessarie alle organizzazioni per ottenere lo ZTNA e rendere le proprie risorse accessibili da qualsiasi luogo, in qualsiasi momento e da qualsiasi dispositivo. Lo ZTNA è un approccio più agile e reattivo alla sicurezza, che risulta più adatto a rispondere alle configurazioni multicloud e al lavoro da remoto.

Le sfide dell'implementazione dello zero trust

Di fronte alle tendenze del lavoro da remoto, all'aumento dei dispositivi IoT e all'adozione del cloud, creare una strategia zero trust può sembrare un compito eccessivamente impegnativo. Vediamo quali sono gli ostacoli più comuni e cosa si può fare per superarli.

Non sapere da dove iniziare

Per iniziare il tuo viaggio verso lo zero trust, cerca di identificare un punto debole specifico nell'ecosistema aziendale. Può trattarsi di un rischio relativo alla sicurezza, come una superficie di attacco esposta o un accesso con troppi privilegi, dell'esperienza utente scadente oppure dei costi legati al debito tecnico, all'infrastruttura o alla connettività. Iniziare da un ambito circoscritto ti permetterà di gettare le basi per affrontare problemi più complessi.

Essere vincolati agli investimenti legacy

È difficile non considerare gli investimenti fatti in passato, anche quando ci si rende conto che alcune tecnologie non rispondono più alle esigenze aziendali in modo adeguato. Prima di partire con rinnovi e aggiornamenti, è importante prendersi un momento per valutare se gli strumenti e le tecnologie legacy dell'organizzazione sono in grado di supportare efficacemente gli obiettivi aziendali, di soddisfare i requisiti di capex e opex e di offrire la protezione adeguata in un mondo in cui si fa sempre più uso di cloud, mobilità e IoT.

La necessità di ottenere il supporto degli stakeholder

Lo zero trust può influire su ogni ambito dell'organizzazione. Per questo motivo, è necessario coinvolgere molti stakeholder e illustrare loro apertamente tutti i vantaggi e i punti critici della trasformazione zero trust. Cerca di capire ciò che motiva e preoccupa maggiormente gli stakeholder, inclusi i potenziali punti di cui potrebbero non essere immediatamente consapevoli (come rischi legali o relativi alla conformità). Delinea i principali casi d'uso fornendo informazioni anche sulle aree da cui si potrebbe partire: questi dettagli potrebbero aiutarti a ottenere il supporto di cui hai bisogno.

Come implementare lo zero trust

La trasformazione zero trust richiede tempo, ma rappresenta anche una necessità per la sopravvivenza e la crescita delle organizzazioni di oggi. Una trasformazione di successo comprende tre elementi fondamentali:

• Conoscenza e convinzione: comprendere modi nuovi e migliori per utilizzare la tecnologia al fine di ridurre costi e complessità e favorire il raggiungimento degli obiettivi.
• Tecnologie rivoluzionarie: Internet, le minacce e la forza lavoro sono realtà che hanno subito profondi cambiamenti nel corso degli ultimi tre decenni, e le soluzioni legacy non sono più in grado di rispondere efficacemente alle nuove esigenze aziendali.
• Cambiamento culturale e della mentalità: il successo si raggiunge solo coinvolgendo tutti i team aziendali. Quando i professionisti IT comprendono i vantaggi dello zero trust, iniziano inevitabilmente a promuoverne l'adozione.

È importante riconoscere che il cambiamento può comportare anche sfide, specialmente se l'architettura e i flussi di lavoro sono sempre gli stessi da tempo. Procedere a fasi aiuta a superare molti di questi problemi, ed è questo il motivo per cui Zscaler suddivide il percorso di adozione dello zero trust in quattro passaggi:

1. Potenziare e proteggere la forza lavoro
2. Proteggere i dati nei carichi di lavoro cloud
3. Modernizzare la sicurezza di IoT/OT
4. Interagire in modo sicuro con clienti e fornitori

Raggiungendo questi obiettivi uno alla volta, e trasformando conseguentemente la rete e la sicurezza durante il percorso, si otterrà un'architettura zero trust in grado di connettere in modo sicuro utenti, dispositivi e applicazioni su qualsiasi rete, ovunque si trovino.

Zero trust: le best practice

Adottare l'approccio zero trust non significa solo configurare la microsegmentazione, l'autenticazione a più fattori (MFA), le autorizzazioni e rivoluzionare la sicurezza on-premise. Lo zero trust è pensato per rispondere alle sfide poste dalle reti, dalla forza lavoro e dalle minacce che caratterizzano il mondo di oggi e rendere le aziende più sicure, agili e competitive.

Le best practice per l'implementazione dello zero trust non riguardano solamente i requisiti tecnici. Ovviamente è necessario proteggere gli endpoint, applicare il principio dei privilegi minimi e sfruttare IA, ML e automazione. Tuttavia, per poter portare a termine tutto questo in modo efficace, è necessario affrontare le sfide dell'implementazione di questa nuova strategia di sicurezza delineando un piano:

• Trova un punto di partenza. Inizia da un rischio, da un problema legato all'esperienza utente o ai costi o da qualcos'altro, e utilizzalo come punto di partenza. Lo zero trust va introdotto gradualmente, non in un'unica fase.
• Riconsidera gli investimenti legacy. Ricerca le lacune nella tua sicurezza di rete e del cloud, nell'esperienza utente e nei rapporti con i collaboratori in tutta l'organizzazione, e identifica gli ambiti in cui lo zero trust potrebbe fare la differenza.
• Coinvolgi gli stakeholder nel processo decisionale. Inizia comprendendo nel dettaglio quali sono le priorità e le esigenze dei team principali. Così facendo, emergeranno i casi d'uso che potranno aiutarti a ottenere il giusto supporto e a definire il punto da cui partire.
• Collabora con altri esperti. Il tuo team potrebbe non disporre delle competenze necessarie per implementare pienamente lo zero trust; per questo motivo, è bene sfruttare l'aiuto di esperti, come provider di servizi professionali e di servizi di sicurezza gestiti.
• Considera un piano di fornitura reciproca (MDP, Mutual Delivery Plan). Questo accordo tra l'organizzazione e il fornitore offrirà un quadro chiaro e definito di ciò che dovrai portare a termine e dei singoli passaggi da intraprendere.

Hai bisogno di assistenza professionale? Zscaler può aiutarti

Zscaler offre lo zero trust attraverso la piattaforma nativa del cloud Zscaler Zero Trust Exchange™. Basata su un'architettura proxy, questa piattaforma connette in modo sicuro utenti, dispositivi e applicazioni utilizzando le policy aziendali su qualsiasi rete. Per fare questo, la piattaforma esegue quattro passaggi:

1. Interruzione di ogni singola connessione ed esecuzione di un'ispezione approfondita dei dati e delle minacce, in tempo reale e su tutto il traffico, compreso quello criptato.
2. Definizione dell'identità e del dispositivo e verifica dei diritti di accesso utilizzando le policy aziendali basate sul contesto, considerando fattori come utente, dispositivo, applicazione e contenuto.
3. Applicazione delle policy, per fornire una segmentazione da utente ad app attraverso tunnel criptati e uno a uno.
4. Collegamento diretto degli utenti alle app tramite Zero Trust Exchange su Internet, senza passare dalla rete aziendale.

I vantaggi di Zero Trust Exchange

• Impedisce il movimento laterale delle minacce: gli utenti si connettono direttamente alle app, senza ottenere l'accesso alla rete, e le minacce non possono muoversi lateralmente per infettare altri dispositivi o applicazioni.
• Elimina la superficie di attacco esposta a Internet: le applicazioni sono collocate dietro all'exchange e sono invisibili a Internet; questo permette di eliminare la superficie di attacco e prevenire gli attacchi informatici mirati.
• Offre un'esperienza utente ottimale: gli utenti godono di connessioni dirette, ottimizzate e gestite in modo intelligente verso le app cloud, e le policy vengono applicate all'edge attraverso oltre 150 data center distribuiti in tutto il mondo.
• Riduce costi e complessità: la gestione e la distribuzione sono semplici e non vi è la necessità di ricorrere a VPN, firewall complessi o apparecchi hardware aggiuntivi.
• È in grado di adattarsi alla crescita dell'azienda: l'infrastruttura multitenant e nativa del cloud di questa piattaforma viene distribuita attraverso oltre 150 data center globali, per offrire la connettività sicura di cui l'azienda ha bisogno.