Probabilmente avrete sentito dire che la fiducia zero non è un prodotto o una soluzione; infatti, gli esperti, dal team di analisti di Forrester, I nostri strateghi della RSA, che hanno dato origine al termine, lo hanno sottolineato. Si tratta piuttosto di una strategia di sicurezza. E mentre il concetto è abbastanza semplice - non fidarsi di nessuno finché non si è sicuri di poterlo fare - l'implementazione è spesso travolgente. Una volta che ci si impegna ad adottare un approccio a fiducia zero, inizia il vero lavoro. Ma da dove si comincia?
La risposta: l'identità.
In quanto prima linea di difesa contro le minacce alla sicurezza informatica, l'identità è fondamentale per rendere la fiducia zero uno strumento reale e pratico che le organizzazioni possono utilizzare per migliorare la loro posizione di sicurezza. L'idea alla base della fiducia zero è che la fiducia non può mai essere data per scontata, ma deve essere stabilita di nuovo a ogni interazione.che è proprio quello che fa l'identità.
Ogni volta che un utente si autentica, la fiducia viene verificata prima di concedere l'accesso. Si tratta di un elemento fondamentale per trasformare il concetto di fiducia zero in una realtà quotidiana.
Analizziamo cosa significa, partendo da cosa sia esattamente la fiducia zero.
Zero trust è un modo di pensare alla sicurezza in un mondo sempre più digitale, dove il tradizionale perimetro di rete su cui abbiamo fatto affidamento per anni è stato praticamente cancellato. Oggi le persone possono lavorare (e lo fanno) da qualsiasi luogo. Le risorse a cui accedono possono essere nel cloud, on-premise o una combinazione di entrambi, e vi accedono da posizioni ben al di là di qualsiasi perimetro di protezione. Il problema diventa quindi come proteggere tali risorse.
L'adozione della fiducia zero è un modo per risolvere il problema. Il principio guida della fiducia zero è semplicemente che non si può mai dare per scontata la fiducia. Ogni interazione relativa all'accesso alle risorse deve essere considerata potenzialmente rischiosa. Come ha detto Jim Taylor, Chief Product Officer di RSA, "la fiducia zero è un modo di affrontare una situazione in cui non si dispone più di quei meccanismi di cui si disponeva per sentirsi sicuri". Invece di dare per scontato che ci si possa fidare di un individuo o di un dispositivo, la fiducia deve essere verificata a ogni interazione.
Con l'erosione del perimetro tradizionale, l'identità diventa il mezzo principale per stabilire la fiducia. "L'identità è il nuovo perimetro: è l'unica cosa che si può controllare e proteggere", ha detto Taylor. "Se posso determinare con un alto grado di fiducia che sei chi dici di essere, posso autenticarti e autorizzarti. La capacità di fidarsi dell'identità di qualcuno o qualcosa rende possibile basare i criteri di sicurezza sull'identità".
Naturalmente, l'idea di utilizzare l'identità per stabilire la fiducia non è nuova. Ma il contesto in cui si stabilisce la fiducia è cambiato in modi che rendono l'identità più critica che mai. Sempre più spesso la forza lavoro non comprende solo dipendenti a tempo pieno, ma anche appaltatori, lavoratori interinali e molte altre persone che hanno bisogno di accedere alle risorse, e non solo in loco. Oggi le interazioni avvengono in digitale e online in misura tale che la posizione fisica di una persona non è più fondamentale per stabilire la fiducia. Questi cambiamenti spiegano perché la fiducia zero è così importante oggi e perché l'identità è fondamentale.
L'identità apre la strada alla fiducia zero in tre modi specifici.
- Garantisce l'accesso alle persone giuste. La capacità di stabilire il giusto livello di fiducia prima di concedere l'accesso è essenziale per operare in un'ottica di zero trust. Per supportare la fiducia zero, è necessario disporre di funzionalità di identità e accesso che includano una serie di metodi di autenticazione a più fattori (MFA), insieme a una solida governance e amministrazione delle identità (IGA) per consentire un'autorizzazione all'accesso basata sulla governance e sulla visibilità.
- Supporta il processo decisionale dinamico. Per perseguire con successo un approccio all'accesso a fiducia zero, è necessario essere in grado di utilizzare il contesto per valutare il rischio associato a una particolare interazione e quindi prendere decisioni di accesso in base al livello di rischio. Un approccio a fiducia zero richiede un processo decisionale dinamico basato sul contesto, quindi è importante avere la capacità di applicare l'autenticazione basata sul rischio.
- Allineato al quadro dell'architettura NIST zero trust. Il National Institute of Standards and Technology (NIST) ha sviluppato un quadro per un'architettura a fiducia zero. I componenti di identità e accesso che includono l'analisi basata sul rischio richiesta dal NIST e l'accesso basato su ruoli e attributi sono essenziali per lavorare all'interno del framework NIST.
Qualsiasi approccio alla sicurezza dell'accesso, compreso lo zero trust, è duplice: tenere fuori i cattivi e far entrare i buoni. Se ci si concentra esclusivamente sulla difesa e non si lascia entrare nessuno, si hanno pochi rischi ma anche pochi affari. Il termine "fiducia zero" non significa non fidarsi mai di nessuno. Significa non fidarsi di nessuno senza aver prima verificato che ci si possa fidare di lui. E l'identità è fondamentale per assicurarsi che ci si possa fidare di qualcuno o qualcosa. Con i giusti strumenti di identità, è possibile adottare una mentalità di fiducia zero nella gestione degli accessi e prosperare nel mondo digitale.
Scoprite l'esclusiva RSA attenzione all'identità oggi stesso, e scoprite di più sulla fiducia zero di RSA:
- Scarica il Guida all'implementazione di Zero Trust di Forrester
- Scoprite come RSA affronta fiducia zero sfide
- Per saperne di più su RSA prodotti che supportano la fiducia zero
