L’incremento e la sofisticazione degli attacchi informatici, negli ultimi anni, hanno spinto numerose organizzazioni a ripensare i loro modelli di sicurezza. Uno schema adottato da sempre più aziende è quello definito “zero trust” o Senza Perimetri. Il modello di sicurezza “zero trust”, noto anche come “zero trust architecture” (ZTA), “zero trust network architecture” o “zero trust network access” (ZTNA) descrive un approccio alla progettazione e all’implementazione dei sistemi informatici.
Nello specifico, “zero trust” è un modello di sicurezza di rete basato sulla filosofia secondo cui a nessuna persona o dispositivo all’interno o all’esterno della rete di un’organizzazione deve essere concesso l’accesso per connettersi ai sistemi o ai servizi IT fino a quando non viene autenticato e sottoposto ad una verifica continuativa nel tempo.
I principi su cui si basa un sistema “zero trust”
In un’architettura informatica “zero trust”, l’ubicazione di una risorsa all’interno di una rete aziendale protetta non è più il fattore principale che ne garantisce la sicurezza. Di fatto, il modello prevede l’individuazione di una nuova superficie protetta attraverso la quale si implementano dei controlli per creare un micro-perimetro, in genere utilizzando un firewall di nuova generazione (NGFW), chiamato gateway di segmentazione, che consente solo il traffico noto proveniente da utenti e applicazioni legittimi.
La creazione di un tale sistema richiede visibilità e controllo sugli utenti e sul traffico all’interno del micro-perimetro, compreso quello crittografato. Sono altresì necessari il monitoraggio e la verifica del traffico e metodi di autenticazione multifattoriale (MFA), come la biometria o i codici monouso.
I principi su cui si basa un sistema “zero trust” sono:
- l’interruzione di ogni connessione in caso di attacco. Tecnologie come i firewall utilizzano un approccio “passante” e ispezionano i file nel momento in cui vengono consegnati. Se viene rilevato un file dannoso, gli avvisi sono spesso tardivi. Una soluzione “zero trust” termina ogni connessione per consentire a un’architettura proxy in linea di ispezionare tutto il traffico prima che raggiunga la destinazione;
- la protezione dei dati attraverso criteri basati sul contesto. I criteri “zero trust” verificano le richieste di accesso in base al contesto e analizzano l’identità dell’utente, il dispositivo, la posizione, il tipo di contenuto e l’applicazione richiesta. Le policy sono adattive e i privilegi di accesso degli utenti vengono continuamente rivalutati al variare del contesto;
- la riduzione della superficie d’attacco. Con tale approccio, gli utenti si connettono direttamente alle applicazioni e alle risorse di cui hanno bisogno, ma non alle reti. Questo tipo di connessione impedisce ai dispositivi compromessi di infettare altre risorse. Inoltre, gli utenti e le app non risultano tracciabili.
Come lo zero trust attenua l’impatto dei cyberattacchi
Sebbene nessuna strategia sia pienamente efficace, lo “zero trust” permette di attenuare l’impatto dei cyberattacchi e di diminuire i tempi e i costi di risposta. La possibilità di non fidarsi di alcuna connessione senza una previa verifica risulta altresì essenziale di fronte alla quantità di cloud, endpoint e dati che circolano nei moderni ambienti IT.
Dal punto di vista aziendale e del settore privato, questi modelli costituiscono una soluzione per garantire la sicurezza dei propri sistemi IT, soprattutto durante i processi di passaggio al cloud.
Inoltre, con un’architettura “zero trust”, i criteri di sicurezza vengono applicati in base all’identità dei carichi di lavoro. In questo modo la sicurezza viene mantenuta il più vicino possibile alle risorse da proteggere, senza essere influenzata da costrutti di rete come indirizzi IP, porte e protocolli. La protezione rimane quindi costante anche quando l’ambiente varia. Tuttavia, nonostante i miglioramenti apportati dai fornitori di questi servizi (CSP), la sicurezza dei carichi di lavoro rimane una responsabilità condivisa tra le imprese e i CSP.
Allo stesso tempo, la microsegmentazione consente di creare perimetri intorno a determinati tipi di dati sensibili. Durante le verifiche o in caso di attacco, questa modalità offre una visibilità e un controllo superiori rispetto all’accesso privilegiato di molte architetture di rete “piatte”.
Le aziende che fanno progettazione e sviluppo di modelli zero trust
Il modello “zero trust” non rappresenta quindi un mero principio o valore etico da perseguire, bensì costituisce una metodologia pratica e valida al fine di proteggere le risorse, come quelle business critical, da attacchi malware e minacce alla sicurezza IT. Attualmente, diverse aziende operanti nel settore della sicurezza informatica hanno iniziato ad occuparsi della progettazione e sviluppo di modelli costruiti sulla base del principio di “zero trust”, applicabili ai propri sistemi e fruibili anche da terzi.
Tra queste compare Okta, società americana di gestione delle identità e degli accessi con sede a San Francisco, specializzata in sistemi di verifica dell’identità umana “zero trust”; vi è poi Zscaler, impresa di sicurezza cloud con sede a San Jose, in California, la quale si occupa di sistemi di verifica per l’accesso a software e dispositivi; infine, Palo Alto Networks, multinazionale americana di sicurezza informatica è impiegata nella costruzione di reti “zero trust”.
L’architettura “Zero Trust Enterprise”
Quest’ultima ha deciso di rispondere alle esigenze emergenti delle aziende con l’architettura “Zero Trust Enterprise”, volta al raggiungimento di tre obiettivi fondamentali.
Il primo consiste nell’ottenere un miglioramento dei sistemi di sicurezza, al fine di eliminare la fiducia implicita e di adottare politiche e controlli nei confronti di utenti e applicazioni.
In secondo luogo, l’azienda mira a semplificare l’infrastruttura di sicurezza, disincentivando l’investimento in soluzioni specifiche offerte da fornitori vari.
Infine, terzo obiettivo è la riduzione dei costi di gestione, attraverso l’implementazione di un unico sistema che riflette un’ottica di piattaforma integrata e di consolidamento tecnologico.
Secondo quanto riportato dal sito Web di Palo Alto Networks, un approccio “zero trust” non si focalizza infatti su una tecnologia limitata, bensì prende in considerazione l’intero ecosistema di controlli costituito da rete, endpoint, cloud, applicazioni, IoT, identità e altro ancora, su cui molte organizzazioni fanno affidamento per la protezione.
Anche Cisco, azienda leader nella fornitura di apparati di networking, ha dato vita ad un proprio sistema di sicurezza “zero trust” per garantire una protezione completa degli accessi alle applicazioni da qualsiasi utente, dispositivo e posizione.
Anche la soluzione offerta da Cisco verte su un rafforzamento degli accessi, su verifiche continue dell’affidabilità e sulla gestione della comunicazione tra le applicazioni.
