L'architettura Zero Trust ha registrato una rapida ascesa negli ultimi anni ed è diventata una scelta privilegiata per molte organizzazioni in cerca di un sistema di sicurezza affidabile. Questo modello è stato presentato per la prima volta nel 2010, ma ha guadagnato ampio interesse alcuni anni dopo, quando Google ha annunciato di aver implementato questo concetto di sicurezza nella propria attività. Nonostante la crescente popolarità tra grandi e piccole aziende, il modello Zero Trust rimane relativamente sconosciuto tra gli utenti Internet medi. Per questo motivo, prima di approfondire il suo modello di sicurezza e l'implementazione di questo sistema di sicurezza, dobbiamo comprendere cosa sia Zero Trust.
Innanzitutto, diamo uno sguardo alla storia della sicurezza di rete. Ci ha insegnato che sistemi di sicurezza come Zero Trust forniscono una sicurezza affidabile indipendentemente dalle dimensioni di un'azienda. Le violazioni di massa all'inizio di questo decennio hanno dimostrato che i sistemi di sicurezza perimetrale esistenti erano obsoleti e incapaci di fornire una protezione massima sia agli utenti che alle aziende.
Quindi, cos'è Zero Trust? In termini semplici, l'architettura di rete Zero Trust è un modello che consente a un utente di identificare una specifica "superficie di protezione". Questa superficie può includere aspetti particolari dei dati, delle app o dei servizi più cruciali di una rete. È una strategia che elimina il concetto di fiducia dalla struttura di sicurezza di un'azienda. Basato sul principio del "dubita sempre", Zero Trust è progettato per proteggere le reti digitali moderne senza compromettere l'esperienza e il controllo dell'utente.
Che cos'è un modello di sicurezza?
Il modello di sicurezza Zero Trust si basa su tre valori fondamentali:
- Accesso facile a tutti i dispositivi indipendentemente dalla loro posizione
- Strategia di privilegi minimi dal basso verso l'alto e controllo rigoroso
- Monitoraggio rigoroso dell'ecosistema
Basandosi su questi tre valori principali della sicurezza Zero Trust, possiamo dire che questo metodo di sicurezza non richiede modifiche alle misure di sicurezza esistenti. Piuttosto, si basa sul modello di sicurezza familiare su cui operano la maggior parte delle politiche di sicurezza. E, se guardiamo a questo dalla definizione di un modello di sicurezza, tutto ciò ha perfettamente senso: "Un modello di sicurezza è qualsiasi modello informatico utilizzato per identificare e imporre metodi di sicurezza. È un quadro su cui si sviluppa una politica aziendale specifica". Sebbene questa definizione sia stata creata anni prima di Zero Trust, si applica ancora a questo sistema di sicurezza, rendendo Zero Trust l'esempio di modello di sicurezza di rete di maggior successo fino ad oggi.
Le tecnologie alla base di Zero Trust
La filosofia principale della sicurezza Zero Trust è presumere che la rete sia suscettibile agli attacchi sia interni che esterni. In linea con ciò, il principio dei prodotti Zero Trust è presumere che nessun utente o dispositivo debba essere automaticamente considerato affidabile. Di conseguenza, Zero Trust applica un cosiddetto modello di accesso "privilegi minimi". Ciò significa che l'utente ottiene solo il livello minimo di accesso necessario. Questo approccio basato sulla necessità riduce al minimo l'esposizione dell'utente alle parti della rete contenenti informazioni sensibili. Oltre a limitare l'accesso agli utenti, Zero Trust fa lo stesso con i dispositivi. Il modello Zero Trust dovrebbe monitorare quanti dispositivi diversi stanno tentando di accedere al sistema e assicurarsi che ogni dispositivo sia autorizzato, indipendentemente dalle attività precedenti dell'utente.
Un altro aspetto essenziale di Zero Trust è l'autenticazione a più fattori. Abbiamo toccato questo argomento alcune settimane fa parlando di tutti i vantaggi che MFA offre ai suoi utenti. Per riassumere in poche frasi, MFA richiede a un utente di inserire più di un elemento di identificazione quando accede alla rete. Gli esempi più popolari di questo sono piattaforme come Google e Facebook, che richiedono all'utente di inserire sia la password sia un codice inviato a un altro dispositivo, solitamente a un numero di telefono specifico.
Il modo in cui funziona Zero Trust significa che non dipende da una posizione specifica. Questo ha lati positivi e negativi. I vantaggi sono che gli utenti possono accedere ai dati da qualsiasi luogo: lavoro, casa, caffetterie o persino all'estero, purché verifichino la propria identità al momento dell'accesso. L'aspetto negativo di ciò ricade sull'azienda, poiché il metodo Zero Trust deve essere esteso all'intero ambiente di rete dell'azienda. Tutto ciò significa anche che i carichi di lavoro sono altamente dinamici e possono spostarsi tra più data center, indipendentemente dal fatto che siano pubblici, privati o ibridi.
Le aziende Zero Trust dovrebbero davvero non fidarsi di nessuno?
Sebbene la sicurezza Zero Trust si sia dimostrata un modello di protezione della rete molto efficace, molti esperti di sicurezza suggeriscono che potrebbe operare in modo leggermente diverso. Invece di rifiutare tutti i siti, gli esperti suggeriscono che Zero Trust dovrebbe mettere in lista bianca siti web fidati e conosciuti. Tuttavia, al momento, è altamente improbabile che ciò accada, principalmente per due motivi: creare un tale sistema non ridurrebbe significativamente il carico di lavoro dell'azienda. Inoltre, aumenterebbe il rischio potenziale di infiltrazioni attraverso siti legittimi, poiché pubblicità dannose o malware possono infettare anche siti fidati.
La verità è che limitare l'accesso agli utenti e ai dispositivi a volte crea ostacoli per gli utenti e richiede anche lavoro e risorse extra da parte dell'azienda che implementa un tale sistema. Da un lato, gli utenti devono costantemente richiedere l'accesso, mentre dall'altro, il personale IT dell'azienda deve spostare la propria attenzione da altre questioni significative della rete per monitorare e indagare sulle richieste degli utenti. Tuttavia, i siti web che mirano alla massima sicurezza della rete non dovrebbero fidarsi di nessun sito web o utente. Non esiste un sistema di sicurezza efficace al 100%, ma implementare un sistema del genere è la cosa più vicina all'avere uno.
Zero Trust per il web
Come accennato all'inizio di questa pagina, Google è stata la prima grande azienda a implementare la verifica Zero Trust. Ciò ha contribuito significativamente a far guadagnare notorietà a Zero Trust nel mondo online. Poiché Google si basa principalmente sulla sua tecnologia cloud, il rischio potenziale di violazioni continua ad aumentare man mano che il numero di dipendenti Google cresce negli anni. Google ha implementato il sistema Zero Trust con quattro livelli separati: non affidabile, accesso base, accesso privilegiato e accesso altamente privilegiato. A seconda del livello di autorizzazione che ha il dispositivo o l'utente, Google fornisce una quantità appropriata di informazioni accessibili.
Altre aziende che utilizzano Zero Trust
Dopo Google, molte altre grandi aziende hanno seguito l'esempio implementando questa misura di sicurezza. Tra i tanti grandi nomi che utilizzano la sicurezza Zero Trust nelle loro reti, prenderemo due aziende molto diverse, ma influenti nei loro rispettivi settori: Siemens e Kayak. Cominciamo con quest'ultima. Kayak è un motore di ricerca di viaggi leader nel settore, con miliardi di ricerche legate ai viaggi ogni anno. La struttura aziendale con dipendenti in tutto il mondo contribuisce anche a un rischio di attacchi hacker e altri comportamenti dannosi. Per questo motivo, Kayak utilizza un sistema di sicurezza Zero Trust che limita i potenziali rischi di sicurezza sia per i suoi dipendenti sia per i visitatori.
Dall'altra parte dello spettro, Siemens non opera nello stesso settore di Kayak. La Rete di Digitalizzazione dell'azienda è uno dei maggiori produttori di applicazioni digitali. Considerando ciò, l'esperienza utente, l'affidabilità e la sicurezza della loro piattaforma sono alcuni degli aspetti più critici dei loro prodotti. Data la portata della loro attività, Zero Trust è stata l'opzione migliore per Siemens, poiché ha permesso loro di fare esattamente ciò che abbiamo menzionato prima nell'articolo. L'azienda ha ampliato e suddiviso la sua attività basata su cloud in diversi modelli di sicurezza, consentendo la massima sicurezza ai dati che ne hanno bisogno.
Anche Hideez incorpora l'approccio Zero Trust nei nostri prodotti. Se vuoi saperne di più su come possiamo rendere la tua attività più sicura.
Implementazione di Zero Trust
Con tutte le informazioni relative all'architettura Zero Trust, questo modello di sicurezza potrebbe sembrare opprimente e molto difficile da implementare. Ma non è affatto così. Poiché Zero Trust non richiede prodotti specifici per funzionare, non è così complicato e costoso da implementare. È integrato nella tua architettura di sicurezza esistente e non devi sostituire alcun dispositivo esistente con nuovi prodotti high-tech. Ecco un rapido processo in cinque passaggi su come implementare la sicurezza Zero Trust:
- Identifica la superficie che vuoi proteggere
- Mappa il flusso di rete
- Crea un modello Zero Trust
- Costruisci una politica di sicurezza Zero Trust
- Monitora e mantieni l'ambiente
Un modello di sicurezza Zero Trust implementato con successo può aiutarti a identificare dati, utenti, flussi di informazioni e potenziali rischi in modo più efficiente. Aggiungere altri metodi di sicurezza, come l'autenticazione a due fattori, sulle superfici mappate, protegge ulteriormente la tua rete e ti consente di verificare le informazioni in modo ancora più accurato.
Molto lavoro viene svolto per determinare correttamente tutti i passaggi necessari. Innanzitutto, è necessario identificare la superficie, che è già un compito difficile di per sé. Successivamente, devi osservare e comprendere il modo in cui gli utenti utilizzano la tua rete e i tuoi servizi. È un passaggio cruciale per determinare la tua politica Zero Trust. Una volta completati tutti questi passaggi, l'unica cosa che resta da fare è monitorare e controllare la superficie in tempo reale. Facendo ciò, sarai in grado di verificare funzionalità e meccanismi che necessitano di modifiche e migliorare la tua politica man mano che procedi.
Implementazione della micro-segmentazione
Mentre parliamo dell'implementazione di Zero Trust, un altro aspetto che vale la pena considerare è la micro-segmentazione. È un metodo sicuro per creare zone di sicurezza speciali nei data center. Implementando la micro-segmentazione, le aziende possono isolare carichi di lavoro specifici e proteggerli singolarmente. Lo scopo principale è rendere la sicurezza di rete più granulare e proteggere separatamente le diverse parti dei dati distribuiti.
Ovviamente, come qualsiasi modello di sicurezza esistente, anche la micro-segmentazione ha i suoi vantaggi e svantaggi. Il principale vantaggio della micro-segmentazione è che consente alle aziende di ridurre la superficie di minaccia complessiva. Significa che, anche se un data center viene compromesso, il rischio che altri carichi di lavoro o applicazioni vengano hackerati è significativamente ridotto. Un altro vantaggio evidente della micro-segmentazione è l'efficienza operativa che porta con sé. Quando tutto è diviso con precisione, il personale aziendale può essere molto più efficiente nel monitorare, accedere e controllare tutti i dati e i sistemi di sicurezza in atto.
D'altra parte, il principale svantaggio di un sistema del genere risiede nella stessa consolidazione. Le aziende che hanno operato per anni senza consolidare i propri dati in segmenti specifici avrebbero molto lavoro da svolgere quando decidessero di implementare la micro-segmentazione. Detto ciò, la micro-segmentazione, insieme alla sicurezza Zero Trust, può fare molto per garantire la sicurezza aziendale e aiutare a ridurre al minimo la minaccia potenziale ai dati dell'azienda.
