Probabilmente avrete sentito dire che lo Zero Trust non è un prodotto né una soluzione; infatti, gli esperti, a partire dal team di analisti di Forrester, dove il termine ha avuto origine, fino ai nostri stessi esperti di strategia RSA: tutti hanno sottolineato questo punto. Si tratta piuttosto di una strategia di sicurezza. E sebbene il concetto sia piuttosto semplice — non fidarsi di nessuno finché non si è verificato che sia affidabile — la sua attuazione risulta spesso impegnativa. Una volta adottato un approccio Zero Trust, inizia il vero lavoro. Ma da dove si comincia?
La risposta: l'identità.
In quanto prima linea di difesa contro le minacce alla sicurezza informatica, l’identità è fondamentale per rendere lo Zero Trust uno strumento concreto e pratico che le organizzazioni possano utilizzare per migliorare il proprio livello di sicurezza. Il principio alla base dello Zero Trust è che la fiducia non può mai essere data per scontata, ma deve invece essere ristabilita ad ogni interazione—che è proprio quello che fa l'identità.
Ogni volta che un utente effettua l'autenticazione, ne viene verificata l'affidabilità prima che gli venga concesso l'accesso. Questo è fondamentale per trasformare il concetto di Zero Trust in una realtà quotidiana.
Vediamo cosa significa, partendo da cosa sia esattamente il modello Zero Trust.
Lo Zero Trust è un approccio alla sicurezza in un mondo sempre più digitale, in cui il tradizionale perimetro di rete su cui abbiamo fatto affidamento per anni è stato praticamente azzerato. Oggi le persone possono lavorare (e lo fanno) da qualsiasi luogo. Le risorse a cui accedono possono trovarsi nel cloud, in locale o in una combinazione di entrambi, e vi accedono da luoghi ben oltre qualsiasi perimetro protettivo. La questione diventa quindi come proteggere tali risorse.
L’adozione del modello Zero Trust è un modo per risolvere il problema. Il principio guida dello Zero Trust è semplicemente che la fiducia non può mai essere data per scontata. Ogni interazione relativa all’accesso alle risorse deve essere considerata potenzialmente rischiosa. Come ha affermato Jim Taylor, Chief Product Officer di RSA, “lo Zero Trust è un modo di affrontare una situazione in cui non si dispone più di quei meccanismi a cui si era abituati per sentirsi al sicuro”. Anziché dare per scontato che un individuo o un dispositivo sia affidabile, la fiducia deve essere verificata ad ogni interazione.
Con l'erosione del perimetro tradizionale, l'identità diventa il mezzo principale per stabilire la fiducia. "L'identità è il nuovo perimetro: è l'unica cosa che si può controllare e proteggere", ha detto Taylor. "Se posso determinare con un alto grado di fiducia che sei chi dici di essere, posso autenticarti e autorizzarti. La capacità di fidarsi dell'identità di qualcuno o qualcosa rende possibile basare i criteri di sicurezza sull'identità".
Naturalmente, l’idea di utilizzare l’identità per instaurare la fiducia non è nuova. Ma il contesto in cui si instaura la fiducia è cambiato in modi che rendono l’identità più cruciale che mai. Sempre più spesso, la forza lavoro comprende non solo dipendenti a tempo pieno in sede, ma anche collaboratori esterni, lavoratori occasionali e molti altri che necessitano di accesso alle risorse — e non solo in sede. Oggi le interazioni avvengono in misura così ampia in ambito digitale e online che la posizione fisica di una persona non è più fondamentale per instaurare la fiducia. Questi cambiamenti spiegano perché il modello Zero Trust sia così rilevante oggi e perché l’identità sia fondamentale.
L'identità apre la strada al modello Zero Trust in tre modi specifici.
- Garantisce l'accesso alle persone giuste. La capacità di stabilire il giusto livello di fiducia prima di concedere l'accesso è fondamentale per operare secondo una filosofia Zero Trust. Per supportare l'approccio Zero Trust, sono necessarie funzionalità di gestione delle identità e degli accessi che includano una gamma di metodi di autenticazione a più fattori (MFA), insieme a una solida governance e amministrazione delle identità (IGA) che consenta un'autorizzazione degli accessi basata sulla governance e orientata alla visibilità.
- Supporta il processo decisionale dinamico. Per adottare con successo un approccio Zero Trust alla gestione degli accessi, è necessario essere in grado di utilizzare il contesto per valutare il rischio associato a una determinata interazione e quindi prendere decisioni in merito all'accesso in base al livello di rischio. Un approccio Zero Trust richiede un processo decisionale dinamico basato sul contesto, pertanto è importante poter applicare un'autenticazione basata sul rischio.
- È in linea con il quadro di riferimento dell'architettura Zero Trust del NIST. L’Istituto Nazionale di Standard e Tecnologia (NIST) ha sviluppato un quadro di riferimento per un’architettura Zero Trust. I componenti relativi all’identità e all’accesso, che includono le analisi basate sul rischio richieste dal NIST e l’accesso basato sui ruoli e sugli attributi, sono essenziali per operare nell’ambito del quadro di riferimento del NIST.
Qualsiasi approccio all’accesso sicuro, compreso lo Zero Trust, ha una duplice finalità: tenere fuori i malintenzionati e far entrare chi è autorizzato. Se ci si concentra esclusivamente sulla difesa e non si lascia entrare nessuno, il rischio è minimo, ma lo è anche il volume d’affari. Il termine Zero Trust non significa non fidarsi mai di nessuno. Significa non fidarsi di nessuno senza prima verificare che sia affidabile. E l’identità è fondamentale per assicurarsi che una persona o un’entità sia affidabile. Con gli strumenti di gestione delle identità adeguati, è possibile applicare con successo la filosofia Zero Trust alla gestione degli accessi e avere successo nel mondo digitale.
Scoprite l'esclusiva RSA attenzione all'identità oggi, e scopri di più sul modello Zero Trust con RSA:
- Scarica il Guida all'implementazione di Zero Trust di Forrester
- Scoprite come RSA affronta Fiducia zero sfide
- Per saperne di più su RSA prodotti che supportano l'approccio Zero Trust