Blog Zscaler
Ricevi gli ultimi aggiornamenti dal blog di Zscaler nella tua casella di posta
IscrivitiLo zero trust arriva nelle filiali
Negli ultimi cinque anni, il settore tecnologico ha subito una profonda trasformazione. Tra la miriade di cambiamenti che hanno interessato il modo in cui le organizzazioni usano la tecnologia per ottenere un vantaggio competitivo, tre sono quelli che hanno avuto l'impatto più determinante:
- La migrazione delle app dai data center tradizionali al cloud (la diffusione del SaaS)
- I modelli basati sulla forza lavoro ibrida, in cui i dipendenti operano sia da uffici locali che da sedi in remoto
- La proliferazione dei dispositivi IoT/OT negli stabilimenti produttivi e nelle filiali
Molte aziende si stanno rendendo conto che le limitazioni delle proprie infrastrutture WAN, oltre alle lacune presenti nella sicurezza della rete, ostacolano la loro capacità di rispondere a questi tre cambiamenti.
Le SD-WAN tradizionali espandono la superficie di attacco e consentono il movimento laterale delle minacce. Questi strumenti connettono le varie sedi tramite VPN site-to-site o overlay instradati, stabilendo un'attendibilità implicita che garantisce un accesso illimitato alle risorse aziendali critiche, anche alle entità compromesse. Inoltre, delle policy di segmentazione troppo permissive consentono alle minacce di muoversi con estrema facilità all'interno della rete. Con il numero di minacce in continua crescita e l'adozione dei dispositivi IoT/OT, che spesso risultano invisibili alla rete, le organizzazioni devono assicurarsi che la loro infrastruttura WAN aderisca ai principi dello zero trust.
L'infrastruttura WAN tradizionale è costituita da più prodotti singoli e isolati, come router, firewall e VPN, che ne rendono la gestione estremamente complessa. Per questo motivo, le organizzazioni che intraprendono la trasformazione delle filiali hanno bisogno di una soluzione che segua un modello "thin branch, thick cloud", ossia basato su una filiale snella e un cloud robusto, al fine di ridurre le complessità di gestione.
Zscaler Zero Trust SD-WAN collega in modo sicuro filiali, stabilimenti produttivi e data center senza la complessità delle VPN, garantendo un accesso zero trust a utenti, dispositivi IoT/OT e server. Utilizzando Zero Trust SD-WAN, le aziende sono in grado di dar vita a una filiale snella, e possono eliminare i dispositivi non necessari grazie a un semplice dispositivo plug-and-play che può essere distribuito utilizzando solo una connessione Internet.
Figura 1: SD-WAN tradizionale e SD-WAN Zero Trust a confronto
La SD-WAN Zero Trust elimina i rischi aziendali
A differenza delle SD-WAN tradizionali, che estendono la rete a sedi in remoto, cloud e terze parti, la SD-WAN Zero Trust connette gli utenti, i dispositivi IoT/OT e le applicazioni alle risorse a cui hanno diritto di accedere, senza utilizzare overlay instradati. In questo modo, è possibile creare una rete zero trust che elimina la superficie di attacco e impedisce il movimento laterale delle minacce. Dato che tutto il traffico passa attraverso il proxy di Zscaler Zero Trust Exchange, le porte VPN e gli indirizzi IP non sono esposti pubblicamente, e gli hacker non sono quindi in grado di comprometterli.
Un recente report di Zscaler ThreatLabz ha rivelato un incremento del 400% degli attacchi malware diretti a IoT e OT rispetto al 2022, sottolineando la necessità per le organizzazioni di potenziare la visibilità e la sicurezza attorno ai dispositivi IoT/OT distribuiti nelle loro reti. Nel progettare le policy di sicurezza per gli utenti delle filiali, gli amministratori spesso non affrontano adeguatamente tutti gli aspetti relativi ad IoT/OT, ma come viene evidenziato nel report di ThreatLabz, questi dispositivi rappresentano un importante vettore di minacce.
La SD-WAN Zero Trust fornisce una visibilità completa sui dispositivi, offrendo alle organizzazioni una visione dettagliata su tutti i loro dispositivi IoT/OT e informazioni utili sulle applicazioni con cui questi dispositivi comunicano. Inoltre, gli amministratori non hanno più bisogno di policy separate per utenti e dispositivi, in quanto le stesse possono essere applicate in modo uniforme a entrambi.
Figura 2: rilevamento e classificazione dei dispositivi IoT
In molte organizzazioni, vi sono casi in cui un server deve comunicare con un client. Ad esempio, un server di stampa in un data center potrebbe dover inviare un comando di stampa a una stampante in remoto di una filiale. Con la SD-WAN Zero Trust, le organizzazioni non devono preoccuparsi delle porte di servizio esposte che un hacker potrebbe sfruttare per violare la rete. Zero Trust Exchange agisce da proxy per tutte le comunicazioni tra le filiali, e collega il server di stampa e la stampante in remoto. L'estensione della sicurezza zero trust a tutte le entità, come utenti, dispositivi IoT/OT e server, consente di migliorare la sicurezza complessiva.
La SD-WAN Zero Trust sostituisce le VPN site-to-site
Le SD-WAN tradizionali collegano le sedi (ad esempio filiali, stabilimenti produttivi, data center) utilizzando tunnel VPN IPsec. Gli overlay instradati consentono a qualsiasi dispositivo di comunicare con qualsiasi altro dispositivo, server o app, garantendo la raggiungibilità tra utenti, dispositivi e app. Tuttavia, questa raggiungibilità può essere a sua volta sfruttata dagli hacker per accedere con facilità ad altre risorse nella rete.
Con la SD-WAN Zero Trust, il traffico delle filiali viene inoltrato direttamente a Zero Trust Exchange, dove vengono applicate le policy di Zscaler Internet Access (ZIA) o Zscaler Private Access (ZPA) per eseguire l'ispezione completa della sicurezza e il controllo degli accessi basato sull'identità. La SD-WAN Zero Trust semplifica drasticamente la comunicazione tra le filiali, sfruttando un overlay di rete zero trust che consente un inoltro flessibile e una gestione semplice delle policy.
Figura 3: sostituzione delle VPN site-to-site
La SD-WAN Zero Trust semplifica fusioni e acquisizioni
Unire due aziende separate in un'unica entità può contribuire ad accrescere l'efficienza, migliorare la presenza sul mercato e fornire altri vantaggi. Tuttavia, l'integrazione dei nuovi sistemi e l'instradamento dei domini nell'ambiente esistente possono rivelarsi processi lenti e complessi, che richiedono molti mesi per essere completati. Con Zscaler, l'intero processo di integrazione in caso di fusioni e acquisizioni può essere molto più semplice e veloce.
La SD-WAN Zero Trust comunica solo con Zero Trust Exchange, eliminando la necessità di unire i domini di routing tra le sedi esistenti e quelle acquisite. Distribuendo la SD-WAN Zero Trust in una sede acquisita, le aziende possono indirizzare il traffico verso Zero Trust Exchange, che agisce da broker per la connessione e garantisce una comunicazione sicura. In questo modo, è possibile ottenere operazioni efficienti sin dal primo giorno ed eseguire l'onboarding di nuove sedi nel giro di poche settimane o addirittura di giorni.
Figura 4: integrazione in caso di fusioni e acquisizioni
Come funziona tutto questo?
- Alle app definite nel portale ZPA viene assegnato un indirizzo IP sintetico.
- Quando un utente avvia una connessione alla nuova app utilizzando l'IP sintetico, la SD-WAN Zero Trust della relativa filiale invia il traffico a Zero Trust Exchange.
- Nella sede acquisita, dove è ospitata l'app, il servizio App Connector (integrato nella nostra SD-WAN Zero Trust) avvia una connessione inside-out, ossia dall'interno verso l'esterno, a Zero Trust Exchange.
- Zero Trust Exchange agisce da broker per la connessione dall'utente all'app.
Conclusione
Le organizzazioni hanno bisogno di una soluzione di rete che le protegga dalle crescenti minacce informatiche di oggi; purtroppo però, le SD-WAN tradizionali non fanno altro che incrementare la complessità della rete e i rischi per la sicurezza. Al contrario, la SD-WAN Zero Trust applica i principi dello zero trust alle WAN, connettendo in modo sicuro gli utenti, i dispositivi IoT/OT e i server. Per migliorare la sicurezza di filiali, stabilimenti produttivi e data center, le organizzazioni devono passare dalle reti flat tradizionali, in cui l'attendibilità è attribuita implicitamente, alle reti zero trust. L'adozione della SD-WAN Zero Trust offre numerosi vantaggi, come la mitigazione del rischio informatico, la riduzione dei costi e della complessità, il miglioramento dell'agilità aziendale e l'implementazione di una soluzione SASE single-vendor.
Per ulteriori informazioni, visita la pagina web di Zscaler Zero Trust SD-WAN.
Questo post è stato utile?
Ricevi gli ultimi aggiornamenti dal blog di Zscaler nella tua casella di posta
Inviando il modulo, si accetta la nostra Informativa sulla privacy.