l’approfondimento

Zero trust, cos’è e quali sono i principi basilari



Indirizzo copiato

La filosofia di fondo del modello Zero trust è lapidaria: mai fidarsi. Tutto ciò che accede a una risorsa aziendale viene autenticato, autorizzato e crittografato benché ci siano tutti i presupposti per ritenerlo sicuro. Non è un semplice “mai abbassare la guardia”, lo Zero trust ha una propria fisiologia e diverse tecniche di implementazione

Pubblicato il 16 giu 2023

Giuditta Mosca

Giornalista, esperta di tecnologia



zero trust
(Immagine: https://pixabay.com/geralt)

Qualsiasi dispositivo stia cercando di accedere a una risorsa aziendale, per quanto noto, è potenzialmente offensivo. Questo il leitmotiv del modello Zero trust nato, come suggerisce il nome, per non concedere fiducia a qualsiasi dispositivo si affacci ai perimetri aziendali.

Ribalta un vecchio adagio secondo il quale tutto ciò che è dietro a un firewall può essere considerato sicuro e sostiene l’esatto contrario, ovvero che nulla è sicuro per definizione e che quindi ogni dispositivo o richiesta che si affaccia alla rete aziendale debba essere ritenuto degno di verifiche.

Cos’è il modello Zero trust

È una strategia secondo cui l’accesso a una qualsiasi risorsa IT, sia questo effettuato da un utente o da un dispositivo e indipendentemente dal fatto che sia interno o esterno all’azienda, è consentito soltanto se verificato e inteso come necessario.

La logica vuole che niente e nessuno sia ritenuto affidabile se non dopo la verifica dell’identità e delle opportune autorizzazioni. Ciò vale sia per ciò che si trova all’interno della rete aziendale sia per ciò che è situato all’esterno, sia questo un endpoint, un partner o un collaboratore in Smart working.

L’avvento del Cloud, poi, ha contribuito a cambiare il concetto di perimetro aziendale, oggi non più bene definito e, in termini di cyber security, questo è coinciso con la nascita di nuove vulnerabilità.

Architettura Zero trust

Un’architettura Zero trust deve essere trasparente, nel senso che gli utenti non devono fare nulla affinché questa funzioni. Il National Institute of Standards and Technology (Nist) ha pubblicato un paper di riferimento che andrebbe letto da chiunque volesse implementare una struttura Zero trust.

Ci sono diversi modi di creare un’architettura Zero trust tra le quali spiccano la Zero trust architecture, la Zero trust network access (Ztna), la Zero Trust secure web gateway (Swg) e la microsegmentazione, di cui parleremo più avanti.

Al di là delle etichette, un’architettura Zero trust non si erige su una sola tecnologia ma è una miscela di tecniche di protezione che, seppure con differenze tra loro, garantiscono l’applicazione di metodi di autenticazione e autorizzazione al cui termine viene concesso l’accesso all’infrastruttura IT a utenti, software e dispositivi hardware. La procedura si estende successivamente all’analisi delle operazioni effettuate, giacché un uso anomalo viene etichettato come potenzialmente pericolo. Hanno un peso specifico le policy aziendali di diritto di accesso alle risorse, file inclusi, che devono essere tarate su ogni singolo utente e dispositivo affinché l’efficacia delle politiche Zero trust sia garantita.

Principi di base dello Zero trust

Per comprendere meglio quali sono gli aspetti cardine di una qualsiasi architettura Zero trust immaginiamo un assetto IT aziendale molto semplice. Per esempio, un’azienda con una sede principale e diverse succursali per la quale lavorano trecento persone, la metà delle quali lavorano anche in mobilità. L’azienda usa delle tecnologie tipiche dell’Industria 4.0 (dei dispositivi IoT) per la gestione delle scorte di semilavorati che fanno parte del proprio core business.

In questo scenario è possibile individuare un’architettura Zero trust che faccia leva su questi principi:

  • monitoraggio delle infrastrutture interne (tipicamente server e client), risorse cloud, dispositivi esterni (laptop o mobili in dotazione ai collaboratori) e IoT
  • autenticazione multi-fattore (Mfa)
  • segmentazione della rete
  • policy di accesso
  • monitoraggio dei flussi di rete
  • crittografia del traffico dati

In questo modo posso accedere ai server, sia all’intero dell’azienda sia dall’esterno, soltanto gli utenti e i dispositivi autorizzati. Ognuno di questi potrà, terminate le procedure di identificazione, accedere soltanto a quelle applicazioni o file per i quali ha opportuna autorizzazione. Tentativi di accesso a risorse non autorizzate o picchi di traffico anomali vengono immediatamente segnalati. Non da ultimo, i profili utente – ossia le credenziali con le quali i collaboratori accedono ai client di cui sono dotati – hanno i privilegi minimi necessari per usare le applicazioni, questo limita il rischio di esecuzione di codice malevolo.

La segmentazione della rete fa il resto, impedendo quello che viene chiamato movimento laterale, ossia confinando dispositivi e relative attività in un segmento isolato della rete, limitando il rischio che eventuali violazioni o porzioni di codice malevolo si diffondano tra tutte le risorse connesse all’intera rete aziendale.

Principali soluzioni Zero trust

Il mercato è denso di vendor i quali, tuttavia, offrono livelli di servizio che differiscono uno dall’altro, privilegiando soluzioni basate su diversi modelli Zero trust.

Qui ne citiamo alcuni rigorosamente in ordine alfabetico, a partire dalle soluzioni offerte da Akamai le quali, concepite per essere modulari, possono essere integrate tra loro per offrire una protezione ad ampio raggio, oppure scelte in base alla necessità dell’impresa.

Bludis offre invece Perimeter 81, soluzione Cloud che consente il monitoraggio da un’unica console delle funzioni Zero trust improntate su utenti e dispositivi.

Anche Cisco offre una soluzione modulare che ha il pregio di essere particolarmente semplice da implementare e usare, diventano a tratti persino intuitiva.

Approccio diverso nella forma ma non nella sostanza è quello adottato da Eset, che pure non avendo un prodotto nel cui nome appaiono le parole Zero trust, dispone di un ampio bagaglio di servizi i quali, configurati alla bisogna, forniscono soluzioni valide per tutto il mercato enterprise, miscelando tecnologie Edr e Mdr.

Le soluzioni IBM Zero trust, anch’esse modulari, permettono di espandere le logiche Zero trust a tutti i comparti di qualsiasi impresa, con un focus particolare sugli endpoint a cura del servizio MaaS360.

Ivanti pone al centro i dispositivi, la soluzione Everywhere Enterprise protegge gli endpoint ovunque questi si trovino. Anche Ivanti propone l’identificazione delle minacce, il loro trattamento e la risoluzione automatica.

Come utilizzarlo in azienda

Ogni flusso aziendale è prima di ogni altra cosa un esercizio di organizzazione e questo, per esistere, deve partire dalla vista d’insieme del tema che si sta trattando. Fatta salva questa banale considerazione, nel caso specifico, l’approccio alla filosofia Zero trust inizia dalla mappatura dell’intero parco hardware e software da cui emerge la strategia Zero trust da seguire la quale, sostanzialmente, può suggerire se:

  • integrare tecnologie Zero trust nel proprio sistema di analisi e difesa
  • dismettere tecnologie attuali appannaggio di quelle Zero trust

C’è il rischio di sovrapposizione di strumenti di difesa e ciò, oltre a rappresentare un costo ingiustificato, può creare fragilità se non vere e proprie vulnerabilità.

La strategia deve essere assecondata, per esempio allestendo tutte le policy utente o di gruppo necessarie alle politiche Zero Trust per essere efficaci al massimo del potenziale che offrono.

Non da ultimo, a prescindere dal tipo di soluzione adottata, è necessario allestire un piano di escalation con il quale coordinare l’intervento del Soc laddove necessario.

Chi ha creato il metodo Zero trust

Il padre putativo del metodo Zero trust è John Kindervag, esperto di cybersecurity con un passato presso Palo Alto Networks e Forrester Research laddove, nel 2010, ha dato vita al metodo.

Nel 2004, quindi sei anni prima, il Jericho Forum ha lanciato un dibattito sulla deperimetralizzazione incentrato sulla progressiva uscita di utenti e applicazioni dai perimetri delle reti aziendali.

A nostro avviso ha un ruolo fondamentale anche la segmentazione delle reti, che ha cominciato ad attecchire nell’ultimo decennio del secolo scorso e che ha posto al centro tanto le performance delle reti quanto la loro sicurezza.

Microsegmentazione a Zero trust

Suddividere la rete (subnetting) permette di creare perimetri di sicurezza più piccoli che rimangono separati tra loro e quindi dalla rete nel suo insieme.

La microsegmentazione a Zero trust impedisce agli aggressori che riuscissero a penetrare una sottorete (e quindi una porzione della rete) di muoversi indisturbati tra altri segmenti della stessa rete. In altre parole, per fare un paragone maggiormente comprensibile è come se, pure riuscendo a entrare nella stanza di una casa, da questa risulta impossibile raggiungere gli altri locali. Ciò che succede nella stanza in cui sono riusciti a penetrare, rimane confinato a quella stanza, senza potere danneggiare il resto della casa.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4