Vai al contenuto

Coniato per la prima volta da Forrester nel 2010, il termine ‘Zero Trust’ si riferisce a un nuovo approccio alla sicurezza che si basa sulla verifica continua dell’affidabilità di ogni dispositivo, utente e applicazione all’interno di un’azienda.

Prima dell’avvento del concetto di Zero Trust, la maggior parte dei team di sicurezza si affidava a un approccio del tipo “fidati ma verifica”, che poneva l’accento su un solido perimetro difensivo. Questo modello presuppone che tutto ciò che si trova all’interno del perimetro di rete (compresi gli utenti, le risorse e le applicazioni di un’organizzazione) sia affidabile, pertanto i team di sicurezza concedevano di default l’accesso e i privilegi a tali utenti e risorse. Al contrario, tutto ciò che si trovava al di fuori del perimetro doveva essere autorizzato prima di poter accedere.

Mentre la sicurezza tradizionale recita “fidati, ma verifica”, il modello Zero Trust afferma “non fidarti mai, verifica sempre”. La sicurezza Zero Trust non ‘autorizza’ mai nulla in modo definitivo. Al contrario, lo Zero Trust considera tutte le risorse come esterne alla rete di un’organizzazione, verificando continuamente utenti, risorse, dispositivi e applicazioni prima di concedere solo il livello minimo di accesso necessario. L’implementazione di un programma di sicurezza Zero Trust richiede il coordinamento tra diverse componenti IT e un approccio globale.

Come si è evoluto nel tempo il concetto di Zero Trust?

Le implementazioni del modello Zero Trust si sono evolute nel tempo. Nonostante il nome accattivante, le organizzazioni non devono necessariamente essere I sostenitori assoluti del modello Zero Trust - verificare sempre tutto sarebbe poco pratico, se non impossibile.

Il modello Zero Trust si è invece evoluto da un concetto binario — secondo cui nulla è intrinsecamente sicuro e tutto deve essere verificato — a qualcosa di molto più sfumato e dinamico. Oggi, lo Zero Trust integra set di dati più ampi, principi di gestione del rischio e politiche dinamiche basate sul rischio per fornire una solida base per prendere decisioni relative agli accessi ed eseguire un monitoraggio continuo. La difesa Zero Trust attinge da una varietà di fonti, tra cui informazioni sulle minacce, log di rete, dati degli endpoint e altre informazioni, per valutare le richieste di accesso e il comportamento degli utenti. NIST ha pubblicato dei documenti in cui sostiene l'approccio Zero Trust e ne approfondisce i dettagli, illustrandone la natura più ampia e dinamica.

Di recente, l’interesse per il modello Zero Trust ha registrato un’impennata, trainato dalle tendenze di mercato che hanno subito un’accelerazione a seguito della pandemia globale, tra cui:

  • Trasformazione digitale accelerata (l'adozione di tecnologie e soluzioni nuove ed emergenti per modernizzare e accelerare le interazioni aziendali con clienti, dipendenti e partner)
  • Migrazione al cloud / SaaS
  • Lavoro a distanza
  • L'evaporazione delle zone di fiducia protette da VPN (perimetro di rete) e la consapevolezza che i firewall sono meno utili per rilevare e bloccare gli attacchi dall'interno e non possono proteggere i soggetti al di fuori del perimetro aziendale
In che modo Zero Trust è diverso dagli approcci precedenti alla sicurezza informatica?

In precedenza, nella maggior parte degli ambienti IT aziendali, la fiducia veniva stabilita soprattutto in funzione della posizione. Gli utenti accedevano alle risorse aziendali, da un computer di proprietà dell'azienda, all'interno di un campus aziendale. La presenza fisica in un campus aziendale implicava che l'utente avesse soddisfatto i requisiti di verifica e credenziali per accedere alle risorse IT aziendali, tipicamente residenti in un data center locale. La "Trusted Zone" era protetta da tecnologie consentite (protettive) come firewall, rilevamento/protezione delle intrusioni e altre risorse.

Nel corso del tempo, i perimetri IT del campus sono stati ampliati per includere uffici remoti e satelliti, espandendo di fatto la bolla della Trusted Zone attraverso connessioni sicure e private tra le sedi. All'inizio degli anni 2000, con la comparsa di nuovi metodi di accesso, come VPN e WiFi, le nuove tecnologie hanno aggiunto autenticazione e credenziali di accesso per preservare l'integrità relativa del perimetro. Tra questi vi sono autenticazione a due fattori (2FA) e lo standard IEEE 802.1x per il controllo dell'accesso alla rete basato sulle porte (NAC).

Le successive evoluzioni del cloud computing, del bring-your-own-device e dell'ipermobilità hanno cambiato tutto. Le organizzazioni dipendono ora da risorse IT che vanno ben oltre i confini di una singola Trusted Zone. Inoltre, dipendenti, partner e clienti richiedono l'accesso ai sistemi da qualsiasi luogo, momento e dispositivo. Le vulnerabilità e le falle nella sicurezza che ne derivano hanno dato il via a una nuova era di hacking, in cui le violazioni della sicurezza sono diventate comuni. Il perimetro di un tempo è obsoleto.

L'erosione della sicurezza perimetrale ha spianato la strada al modello Zero Trust. Tuttavia, è importante notare che il concetto non era del tutto nuovo, nemmeno nel 2010. Sebbene il nome “Zero Trust” fosse innovativo e attirasse l’attenzione, il problema di come stabilire l’affidabilità in un mondo intrinsecamente inaffidabile come Internet è stato oggetto di ricerca accademica per oltre quattro decenni. Infatti, la fondazione di RSA, avvenuta quasi quattro decenni fa, affondava le sue radici in un lavoro accademico svolto alla fine degli anni ’70, volto a garantire comunicazioni e transazioni sicure in uno spazio non affidabile.

Con il passare degli anni e dei decenni e con l'affermarsi della trasformazione digitale nelle imprese e nella società, gli approcci alla fiducia hanno continuato a evolversi.

Perché i team di sicurezza devono prendere in considerazione la Zero Trust ora?

Negli ultimi anni, l’approccio Zero Trust ha acquisito sempre maggiore popolarità. Tuttavia, le turbolenze causate dalla pandemia di COVID-19 hanno accelerato l’interesse per come le organizzazioni possono costruire la resilienza dopo un'interruzione grave.

Come nella maggior parte degli altri anni, i responsabili della sicurezza e del rischio sono entrati nel nuovo decennio con piani piuttosto sofisticati per far maturare le loro pratiche di gestione del rischio digitale. Lo scoppio iniziale del COVID-19, tuttavia, ha spostato l'attenzione dei team di sicurezza su esigenze più tattiche, come ad esempio consentire ai lavoratori remoti, La società si è impegnata a garantire cambiamenti nelle operazioni per sostenere le funzioni aziendali o per sfruttare nuove opportunità, a rivalutare i rischi di terze parti e della catena di fornitura, ad accelerare l'onboarding e molto altro ancora. I budget sono stati ridotti o congelati, i lunghi elenchi di progetti in sospeso sono stati inizialmente ridotti, ma poi rapidamente accelerati. I team si trovano ora a dover garantire nuove iniziative digitali che non si inseriscono necessariamente in regimi di sicurezza e di rischio complessi e già esistenti.

Il modello Zero Trust offre una base per un approccio rapido e collaudato alle organizzazioni che faticano a stare al passo con il ritmo della trasformazione digitale.

Quali sono le tecnologie e le infrastrutture di cui le organizzazioni devono dotarsi per supportare lo Zero Trust?

Nell'agosto 2020, il NIST ha pubblicato Pubblicazione speciale NIST 800-207: Architettura a fiducia zero, che include le componenti logiche di un’architettura Zero Trust, i possibili scenari di progettazione e le minacce. Presenta inoltre una roadmap generale per le organizzazioni che intendono adottare i principi dello Zero Trust.

Di seguito vengono descritti gli elementi dell'architettura e vengono illustrati brevemente i prodotti e le funzionalità del portafoglio RSA che sono in linea con l'architettura Zero Trust.

Di seguito sono riportate le descrizioni di ciascun elemento (come definito in NIST SP 800-207) con l'aggiunta di riferimenti ai prodotti e ai servizi RSA, ove applicabili.

Motore della politica: Questo componente è responsabile della decisione finale di concedere l'accesso a una risorsa per un determinato soggetto. Il motore delle politiche utilizza le politiche aziendali e gli input provenienti da fonti esterne (ad esempio, sistemi CDM, servizi di intelligence sulle minacce descritti di seguito) come input per un algoritmo di fiducia per concedere, negare o revocare l'accesso alla risorsa. Il motore delle policy è abbinato al componente amministratore delle policy. Il motore delle politiche prende e registra la decisione, mentre l'amministratore delle politiche la esegue.

RSA L'accesso basato su ruoli e attributi, l'accesso condizionato e l'analisi basata sul rischio sono tutti componenti fondamentali per la creazione di un punto decisionale e di un motore di policy.

Amministratore della politica: Questo componente è responsabile di stabilire e/o chiudere il percorso di comunicazione tra un soggetto e una risorsa. Genera qualsiasi token o credenziale di autenticazione e di riconoscimento utilizzato da un client per accedere a una risorsa aziendale. È strettamente legato al motore dei criteri e si basa sulla sua decisione di consentire o negare una sessione. Alcune implementazioni possono trattare il motore dei criteri e l'amministratore dei criteri come un unico servizio. L'amministratore dei criteri comunica con il punto di applicazione dei criteri quando crea il percorso di comunicazione. Questa comunicazione avviene tramite il piano di controllo.

RSA offre una serie di metodi di autenticazione e di esperienze utente (ad esempio, scelta di autenticazione, BYOA) per gestire l'autenticazione e determinare l'accesso quando richiesto dal punto di applicazione della policy.

Punto di applicazione delle politiche:

Questo sistema è responsabile dell'attivazione, del monitoraggio e dell'eventuale interruzione delle connessioni tra un soggetto e una risorsa aziendale.

Si tratta di un unico componente logico nell’architettura Zero Trust, ma può essere suddiviso in due componenti distinti: il lato client (ad esempio, l’agente sul laptop dell’utente) e il lato risorsa (ad esempio, il componente gateway a protezione della risorsa che ne controlla l’accesso) oppure un unico componente portale che funge da gatekeeper per i percorsi di comunicazione. Oltre il punto di applicazione delle politiche si trova la zona di fiducia implicita che ospita la risorsa aziendale.

I prodotti RSA possono sia determinare le decisioni sulle policy applicate dai punti di applicazione delle policy dei partner (VPN, siti web, applicazioni, ecc.) sia applicare direttamente le policy ai dispositivi endpoint.

L'autenticazione a più fattori SecurID®, che agisce in qualità di decisione di policy, lavora con una miriade di dispositivi partner (desktop, server, macchine virtuali, server web, portali, dispositivi di rete, applicazioni ecc.) per autenticare gli utenti e determinare i privilegi di accesso.

Politiche di accesso ai dati:

Si tratta degli attributi, delle regole e dei criteri di accesso alle risorse aziendali. Questo insieme di regole può essere codificato o generato dinamicamente dal motore delle policy. Queste policy sono il punto di partenza per autorizzare l'accesso a una risorsa, in quanto forniscono i privilegi di accesso di base per gli account e le applicazioni dell'azienda. Queste policy devono essere basate sui ruoli e sulle esigenze dell'organizzazione.

Governance e ciclo di vita di SecurID è un punto di partenza ideale per autorizzare l'accesso a una risorsa con una chiara attenzione alla governance, alla visibilità dei dati strutturati e non strutturati, all'analisi e all'intelligence per garantire l'applicazione dei principi di minimo privilegio.

Sistema di gestione dell'identità:

È responsabile della creazione, dell'archiviazione e della gestione degli account utente aziendali e dei record di identità (ad esempio, server LDAP (lightweight directory access protocol)). Questo sistema contiene le informazioni necessarie sull'utente (ad esempio, nome, indirizzo e-mail, certificati) e altre caratteristiche aziendali come il ruolo, gli attributi di accesso e le risorse assegnate. Questo sistema spesso utilizza altri sistemi (come una PKI) per gli artefatti associati agli account utente. Questo sistema può far parte di una comunità federata più ampia e può includere dipendenti non aziendali o collegamenti a risorse non aziendali per la collaborazione.

RSA Le soluzioni di gestione delle identità si integrano con tutti i principali sistemi di gestione delle identità (ad esempio Microsoft AD, Azure AD e AWS AD) per integrare in modo trasparente le identità con le politiche, le procedure amministrative e i metodi necessari al funzionamento di un’architettura Zero Trust.

Informazioni sulle minacce:

Fornisce informazioni da fonti interne o esterne che aiutano il motore di policy a prendere decisioni sull'accesso. Potrebbe trattarsi di servizi multipli che raccolgono dati da fonti interne e/o esterne e forniscono informazioni su attacchi o vulnerabilità appena scoperti. Sono incluse anche le blacklist, il malware appena identificato e gli attacchi segnalati ad altri asset a cui il motore di policy vuole negare l'accesso dagli asset aziendali.

RSA IAM sfrutta i segnali interni ed esterni per aumentare la sicurezza (segnali positivi) e identificare le minacce (segnali negativi). Ad esempio, i segnali interni come la cronologia degli utenti, le analisi comportamentali, l'indirizzo IP, la rete e la posizione possono essere fattori per determinare decisioni di autenticazione e accesso basate sul rischio.

###

Provate la demo!

Provate la soluzione di autenticazione a più fattori (MFA) in cloud ID Plus, uno dei prodotti più sicuri sul mercato e l'MFA più diffuso al mondo. Scoprite perché: iscrivetevi alla nostra prova gratuita di 45 giorni.

Prova gratuita

Richiedi una demo

Richiedi una demo