Coniato per la prima volta da Forrester nel 2010, il termine "zero trust" si riferisce a un nuovo approccio alla sicurezza che si basa sulla verifica continua dell'affidabilità di ogni dispositivo, utente e applicazione in un'azienda.
Prima di questa nozione di fiducia zero, la maggior parte dei team di sicurezza si affidava a un approccio "fidati ma verifica" che enfatizzava un forte perimetro difensivo. Questo modello presuppone che tutto ciò che si trova all'interno del perimetro di rete (compresi gli utenti, le risorse e le applicazioni di un'organizzazione) sia affidabile, quindi i team di sicurezza concedevano accesso e privilegi a tali utenti e risorse per impostazione predefinita. Al contrario, tutto ciò che si trova al di fuori del perimetro deve essere autorizzato prima di ottenere l'accesso.
Laddove la sicurezza tradizionale dice "fidati ma verifica", la sicurezza zero trust dice "mai fidarsi, sempre verificare". La sicurezza zero trust non "cancella" mai nulla. Al contrario, la sicurezza zero trust considera tutte le risorse esterne alla rete dell'organizzazione, verificando continuamente utenti, risorse, dispositivi e applicazioni prima di concedere solo il livello minimo di accesso richiesto. L'istituzione di un programma di sicurezza zero trust implica il coordinamento di diversi componenti IT e richiede un approccio globale.
Come è cambiato il concetto di fiducia zero nel tempo?
Le implementazioni di Zero Trust sono cambiate nel tempo. Nonostante il nome accattivante, le organizzazioni non hanno bisogno di essere zero fiducia negli assolutisti - verificare sempre tutto sarebbe poco pratico, se non impossibile.
Invece, la fiducia zero si è evoluta da un concetto binario in cui nulla è intrinsecamente sicuro e tutto deve essere verificato a qualcosa di molto più sfumato e dinamico. Oggi, lo zero trust incorpora set di dati più ampi, principi di rischio e policy dinamiche basate sul rischio per fornire una solida base per prendere decisioni sull'accesso ed eseguire un monitoraggio continuo. La difesa zero trust attinge da una serie di fonti, tra cui threat intelligence, registri di rete, dati sugli endpoint e altre informazioni per valutare le richieste di accesso e il comportamento degli utenti. NIST ha pubblicato documenti a favore della fiducia zero e che ampliano questo approccio più ampio e dinamico.
Di recente, l'interesse per la fiducia zero ha subito un'impennata, spinta dalle tendenze del mercato che si sono accelerate a seguito della pandemia globale, tra cui:
- Trasformazione digitale accelerata (l'adozione di tecnologie e soluzioni nuove ed emergenti per modernizzare e accelerare le interazioni aziendali con clienti, dipendenti e partner)
- Migrazione al cloud / SaaS
- Lavoro a distanza
- L'evaporazione delle zone di fiducia protette da VPN (perimetro di rete) e la consapevolezza che i firewall sono meno utili per rilevare e bloccare gli attacchi dall'interno e non possono proteggere i soggetti al di fuori del perimetro aziendale
In precedenza, nella maggior parte degli ambienti IT aziendali, la fiducia veniva stabilita soprattutto in funzione della posizione. Gli utenti accedevano alle risorse aziendali, da un computer di proprietà dell'azienda, all'interno di un campus aziendale. La presenza fisica in un campus aziendale implicava che l'utente avesse soddisfatto i requisiti di verifica e credenziali per accedere alle risorse IT aziendali, tipicamente residenti in un data center locale. La "Trusted Zone" era protetta da tecnologie consentite (protettive) come firewall, rilevamento/protezione delle intrusioni e altre risorse.
Nel corso del tempo, i perimetri IT del campus sono stati ampliati per includere uffici remoti e satelliti, espandendo di fatto la bolla della Trusted Zone attraverso connessioni sicure e private tra le sedi. All'inizio degli anni 2000, con la comparsa di nuovi metodi di accesso, come VPN e WiFi, le nuove tecnologie hanno aggiunto autenticazione e credenziali di accesso per preservare l'integrità relativa del perimetro. Tra questi vi sono autenticazione a due fattori (2FA) e lo standard IEEE 802.1x per il controllo dell'accesso alla rete basato sulle porte (NAC).
Le successive evoluzioni del cloud computing, del bring-your-own-device e dell'ipermobilità hanno cambiato tutto. Le organizzazioni dipendono ora da risorse IT che vanno ben oltre i confini di una singola Trusted Zone. Inoltre, dipendenti, partner e clienti richiedono l'accesso ai sistemi da qualsiasi luogo, momento e dispositivo. Le vulnerabilità e le falle nella sicurezza che ne derivano hanno dato il via a una nuova era di hacking, in cui le violazioni della sicurezza sono diventate comuni. Il perimetro di un tempo è obsoleto.
L'erosione della sicurezza perimetrale ha aperto la strada alla fiducia zero. Tuttavia, è da notare che il concetto non era del tutto nuovo, nemmeno nel 2010. Mentre il nome "zero trust" era nuovo e ha attirato l'attenzione, il compito di stabilire l'affidabilità nel mondo intrinsecamente inaffidabile di Internet è stato oggetto di ricerca accademica per più di quattro decenni. In effetti, la fondazione di RSA, quasi quattro decenni fa, affondava le sue radici nel lavoro accademico svolto alla fine degli anni '70 per stabilire comunicazioni e transazioni sicure in uno spazio non affidabile.
Con il passare degli anni e dei decenni e con l'affermarsi della trasformazione digitale nelle imprese e nella società, gli approcci alla fiducia hanno continuato a evolversi.
La fiducia zero è cresciuta costantemente negli ultimi anni. Tuttavia, le perturbazioni causate dalla pandemia COVID-19 hanno accelerato l'interesse per la fiducia zero. come le organizzazioni possono costruire la resilienza dopo un'interruzione grave.
Come nella maggior parte degli altri anni, i responsabili della sicurezza e del rischio sono entrati nel nuovo decennio con piani piuttosto sofisticati per far maturare le loro pratiche di gestione del rischio digitale. Lo scoppio iniziale del COVID-19, tuttavia, ha spostato l'attenzione dei team di sicurezza su esigenze più tattiche, come ad esempio consentire ai lavoratori remoti, La società si è impegnata a garantire cambiamenti nelle operazioni per sostenere le funzioni aziendali o per sfruttare nuove opportunità, a rivalutare i rischi di terze parti e della catena di fornitura, ad accelerare l'onboarding e molto altro ancora. I budget sono stati ridotti o congelati, i lunghi elenchi di progetti in sospeso sono stati inizialmente ridotti, ma poi rapidamente accelerati. I team si trovano ora a dover garantire nuove iniziative digitali che non si inseriscono necessariamente in regimi di sicurezza e di rischio complessi e già esistenti.
La fiducia zero offre una base per un approccio rapido e controllato alle organizzazioni che lottano per stare al passo con la trasformazione digitale.
Nell'agosto 2020, il NIST ha pubblicato Pubblicazione speciale NIST 800-207: Architettura a fiducia zero, che comprende i componenti logici di un'architettura zero trust, i possibili scenari di progettazione e le minacce. Presenta inoltre una tabella di marcia generale per le organizzazioni che desiderano perseguire i principi della fiducia zero.
Di seguito vengono descritti gli elementi dell'architettura e vengono brevemente illustrati i prodotti e le funzionalità del portafoglio RSA che si allineano all'architettura zero trust.
Di seguito sono riportate le descrizioni di ciascun elemento (come definito in NIST SP 800-207) con l'aggiunta di riferimenti ai prodotti e ai servizi RSA, ove applicabili.
Motore della politica: Questo componente è responsabile della decisione finale di concedere l'accesso a una risorsa per un determinato soggetto. Il motore delle politiche utilizza le politiche aziendali e gli input provenienti da fonti esterne (ad esempio, sistemi CDM, servizi di intelligence sulle minacce descritti di seguito) come input per un algoritmo di fiducia per concedere, negare o revocare l'accesso alla risorsa. Il motore delle policy è abbinato al componente amministratore delle policy. Il motore delle politiche prende e registra la decisione, mentre l'amministratore delle politiche la esegue.
RSA L'accesso basato su ruoli e attributi, l'accesso condizionato e l'analisi basata sul rischio sono tutti componenti fondamentali per la creazione di un punto decisionale e di un motore di policy.
Amministratore della politica: Questo componente è responsabile di stabilire e/o chiudere il percorso di comunicazione tra un soggetto e una risorsa. Genera qualsiasi token o credenziale di autenticazione e di riconoscimento utilizzato da un client per accedere a una risorsa aziendale. È strettamente legato al motore dei criteri e si basa sulla sua decisione di consentire o negare una sessione. Alcune implementazioni possono trattare il motore dei criteri e l'amministratore dei criteri come un unico servizio. L'amministratore dei criteri comunica con il punto di applicazione dei criteri quando crea il percorso di comunicazione. Questa comunicazione avviene tramite il piano di controllo.
RSA offre una serie di metodi di autenticazione e di esperienze utente (ad esempio, scelta di autenticazione, BYOA) per gestire l'autenticazione e determinare l'accesso quando richiesto dal punto di applicazione della policy.
Punto di applicazione delle politiche:
Questo sistema è responsabile dell'attivazione, del monitoraggio e dell'eventuale interruzione delle connessioni tra un soggetto e una risorsa aziendale.
Si tratta di un singolo componente logico nell'architettura zero trust, ma può essere suddiviso in due componenti diversi: il lato client (ad esempio, l'agente sul laptop dell'utente) e il lato risorsa (ad esempio, il componente gateway di fronte alla risorsa che controlla l'accesso) o un singolo componente del portale che agisce come gatekeeper per i percorsi di comunicazione. Al di là del punto di applicazione delle policy, c'è la zona di fiducia implicita che ospita la risorsa aziendale.
I prodotti RSA possono sia determinare le decisioni sulle policy applicate dai punti di applicazione delle policy dei partner (VPN, siti web, applicazioni, ecc.) sia applicare direttamente le policy ai dispositivi endpoint.
L'autenticazione a più fattori SecurID®, che agisce in qualità di decisione di policy, lavora con una miriade di dispositivi partner (desktop, server, macchine virtuali, server web, portali, dispositivi di rete, applicazioni ecc.) per autenticare gli utenti e determinare i privilegi di accesso.
Politiche di accesso ai dati:
Si tratta degli attributi, delle regole e dei criteri di accesso alle risorse aziendali. Questo insieme di regole può essere codificato o generato dinamicamente dal motore delle policy. Queste policy sono il punto di partenza per autorizzare l'accesso a una risorsa, in quanto forniscono i privilegi di accesso di base per gli account e le applicazioni dell'azienda. Queste policy devono essere basate sui ruoli e sulle esigenze dell'organizzazione.
Governance e ciclo di vita di SecurID è un punto di partenza ideale per autorizzare l'accesso a una risorsa con una chiara attenzione alla governance, alla visibilità dei dati strutturati e non strutturati, all'analisi e all'intelligence per garantire l'applicazione dei principi di minimo privilegio.
Sistema di gestione dell'identità:
È responsabile della creazione, dell'archiviazione e della gestione degli account utente aziendali e dei record di identità (ad esempio, server LDAP (lightweight directory access protocol)). Questo sistema contiene le informazioni necessarie sull'utente (ad esempio, nome, indirizzo e-mail, certificati) e altre caratteristiche aziendali come il ruolo, gli attributi di accesso e le risorse assegnate. Questo sistema spesso utilizza altri sistemi (come una PKI) per gli artefatti associati agli account utente. Questo sistema può far parte di una comunità federata più ampia e può includere dipendenti non aziendali o collegamenti a risorse non aziendali per la collaborazione.
RSA Le soluzioni di identità si integrano con tutti i principali sistemi di gestione delle identità (ad esempio Microsoft AD / Azure AD / AWS AD) per integrare perfettamente le identità con le politiche, l'amministrazione e i metodi necessari per il funzionamento di un'architettura zero trust.
Informazioni sulle minacce:
Fornisce informazioni da fonti interne o esterne che aiutano il motore di policy a prendere decisioni sull'accesso. Potrebbe trattarsi di servizi multipli che raccolgono dati da fonti interne e/o esterne e forniscono informazioni su attacchi o vulnerabilità appena scoperti. Sono incluse anche le blacklist, il malware appena identificato e gli attacchi segnalati ad altri asset a cui il motore di policy vuole negare l'accesso dagli asset aziendali.
RSA IAM sfrutta i segnali interni ed esterni per aumentare la sicurezza (segnali positivi) e identificare le minacce (segnali negativi). Ad esempio, i segnali interni come la cronologia degli utenti, le analisi comportamentali, l'indirizzo IP, la rete e la posizione possono essere fattori per determinare decisioni di autenticazione e accesso basate sul rischio.
###
Provate la demo!
Provate la soluzione di autenticazione a più fattori (MFA) in cloud ID Plus, uno dei prodotti più sicuri sul mercato e l'MFA più diffuso al mondo. Scoprite perché: iscrivetevi alla nostra prova gratuita di 45 giorni.
