strategie e soluzioni

Il modello Zero Trust per la cybersicurezza: caratteristiche e impieghi pratici in azienda

Sebbene nessuna strategia sia pienamente efficace, lo “zero trust” permette di attenuare l’impatto dei cyberattacchi e di diminuire i tempi e i costi di risposta. È una metodologia volta a proteggere le risorse, come quelle business critical, da attacchi malware e minacce alla sicurezza. Ecco come funziona

Pubblicato il 27 Ott 2022

Davide Agnello

Analyst, Hermes Bay

Martina Rossi

Hermes Bay

cyber security

L’incremento e la sofisticazione degli attacchi informatici, negli ultimi anni, hanno spinto numerose organizzazioni a ripensare i loro modelli di sicurezza. Uno schema adottato da sempre più aziende è quello definito “zero trust” o Senza Perimetri. Il modello di sicurezza “zero trust”, noto anche come “zero trust architecture” (ZTA), “zero trust network architecture” o “zero trust network access” (ZTNA) descrive un approccio alla progettazione e all’implementazione dei sistemi informatici.

Nello specifico, “zero trust” è un modello di sicurezza di rete basato sulla filosofia secondo cui a nessuna persona o dispositivo all’interno o all’esterno della rete di un’organizzazione deve essere concesso l’accesso per connettersi ai sistemi o ai servizi IT fino a quando non viene autenticato e sottoposto ad una verifica continuativa nel tempo.

I principi su cui si basa un sistema “zero trust”

In un’architettura informatica “zero trust”, l’ubicazione di una risorsa all’interno di una rete aziendale protetta non è più il fattore principale che ne garantisce la sicurezza. Di fatto, il modello prevede l’individuazione di una nuova superficie protetta attraverso la quale si implementano dei controlli per creare un micro-perimetro, in genere utilizzando un firewall di nuova generazione (NGFW), chiamato gateway di segmentazione, che consente solo il traffico noto proveniente da utenti e applicazioni legittimi.

La creazione di un tale sistema richiede visibilità e controllo sugli utenti e sul traffico all’interno del micro-perimetro, compreso quello crittografato. Sono altresì necessari il monitoraggio e la verifica del traffico e metodi di autenticazione multifattoriale (MFA), come la biometria o i codici monouso.

I principi su cui si basa un sistema “zero trust” sono:

  • l’interruzione di ogni connessione in caso di attacco. Tecnologie come i firewall utilizzano un approccio “passante” e ispezionano i file nel momento in cui vengono consegnati. Se viene rilevato un file dannoso, gli avvisi sono spesso tardivi. Una soluzione “zero trust” termina ogni connessione per consentire a un’architettura proxy in linea di ispezionare tutto il traffico prima che raggiunga la destinazione;
  • la protezione dei dati attraverso criteri basati sul contesto. I criteri “zero trust” verificano le richieste di accesso in base al contesto e analizzano l’identità dell’utente, il dispositivo, la posizione, il tipo di contenuto e l’applicazione richiesta. Le policy sono adattive e i privilegi di accesso degli utenti vengono continuamente rivalutati al variare del contesto;
  • la riduzione della superficie d’attacco. Con tale approccio, gli utenti si connettono direttamente alle applicazioni e alle risorse di cui hanno bisogno, ma non alle reti. Questo tipo di connessione impedisce ai dispositivi compromessi di infettare altre risorse. Inoltre, gli utenti e le app non risultano tracciabili.

Come lo zero trust attenua l’impatto dei cyberattacchi

Sebbene nessuna strategia sia pienamente efficace, lo “zero trust” permette di attenuare l’impatto dei cyberattacchi e di diminuire i tempi e i costi di risposta. La possibilità di non fidarsi di alcuna connessione senza una previa verifica risulta altresì essenziale di fronte alla quantità di cloud, endpoint e dati che circolano nei moderni ambienti IT.

Dal punto di vista aziendale e del settore privato, questi modelli costituiscono una soluzione per garantire la sicurezza dei propri sistemi IT, soprattutto durante i processi di passaggio al cloud.

Inoltre, con un’architettura “zero trust”, i criteri di sicurezza vengono applicati in base all’identità dei carichi di lavoro. In questo modo la sicurezza viene mantenuta il più vicino possibile alle risorse da proteggere, senza essere influenzata da costrutti di rete come indirizzi IP, porte e protocolli. La protezione rimane quindi costante anche quando l’ambiente varia. Tuttavia, nonostante i miglioramenti apportati dai fornitori di questi servizi (CSP), la sicurezza dei carichi di lavoro rimane una responsabilità condivisa tra le imprese e i CSP.

Allo stesso tempo, la microsegmentazione consente di creare perimetri intorno a determinati tipi di dati sensibili. Durante le verifiche o in caso di attacco, questa modalità offre una visibilità e un controllo superiori rispetto all’accesso privilegiato di molte architetture di rete “piatte”.

Le aziende che fanno progettazione e sviluppo di modelli zero trust

Il modello “zero trust” non rappresenta quindi un mero principio o valore etico da perseguire, bensì costituisce una metodologia pratica e valida al fine di proteggere le risorse, come quelle business critical, da attacchi malware e minacce alla sicurezza IT. Attualmente, diverse aziende operanti nel settore della sicurezza informatica hanno iniziato ad occuparsi della progettazione e sviluppo di modelli costruiti sulla base del principio di “zero trust”, applicabili ai propri sistemi e fruibili anche da terzi.

Tra queste compare Okta, società americana di gestione delle identità e degli accessi con sede a San Francisco, specializzata in sistemi di verifica dell’identità umana “zero trust”; vi è poi Zscaler, impresa di sicurezza cloud con sede a San Jose, in California, la quale si occupa di sistemi di verifica per l’accesso a software e dispositivi; infine, Palo Alto Networks, multinazionale americana di sicurezza informatica è impiegata nella costruzione di reti “zero trust”.

L’architettura “Zero Trust Enterprise”

Quest’ultima ha deciso di rispondere alle esigenze emergenti delle aziende con l’architettura “Zero Trust Enterprise”, volta al raggiungimento di tre obiettivi fondamentali.

Il primo consiste nell’ottenere un miglioramento dei sistemi di sicurezza, al fine di eliminare la fiducia implicita e di adottare politiche e controlli nei confronti di utenti e applicazioni.

In secondo luogo, l’azienda mira a semplificare l’infrastruttura di sicurezza, disincentivando l’investimento in soluzioni specifiche offerte da fornitori vari.

Infine, terzo obiettivo è la riduzione dei costi di gestione, attraverso l’implementazione di un unico sistema che riflette un’ottica di piattaforma integrata e di consolidamento tecnologico.

Secondo quanto riportato dal sito Web di Palo Alto Networks, un approccio “zero trust” non si focalizza infatti su una tecnologia limitata, bensì prende in considerazione l’intero ecosistema di controlli costituito da rete, endpoint, cloud, applicazioni, IoT, identità e altro ancora, su cui molte organizzazioni fanno affidamento per la protezione.

Anche Cisco, azienda leader nella fornitura di apparati di networking, ha dato vita ad un proprio sistema di sicurezza “zero trust” per garantire una protezione completa degli accessi alle applicazioni da qualsiasi utente, dispositivo e posizione.

Anche la soluzione offerta da Cisco verte su un rafforzamento degli accessi, su verifiche continue dell’affidabilità e sulla gestione della comunicazione tra le applicazioni.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati