Perché la sicurezza informatica zero trust è così essenziale oggi?

Coniato nel 2010 da Forrester Research, il termine "zero trust" è stato a lungo utilizzato impropriamente dai provider di soluzioni di sicurezza per trarre vantaggio dal clamore che circonda questo concetto. Oggi se ne abusa così tanto che molti lo considerano un termine di marketing senza senso, ma la realtà è ben diversa. Il suo largo utilizzo, sebbene improprio, dimostra invece l'efficacia della sicurezza informatica zero trust. Altrimenti, per quale motivo tutti questi provider cercherebbero di sfruttarlo a proprio vantaggio? Come si suol dire: l'imitazione è la massima espressione dell'adulazione.

Lo zero trust non è semplicemente un'etichetta. L'approccio zero trust è un'architettura (sebbene spesso si senta parlare anche di metodologia, framework, paradigma e infrastruttura zero trust) e si fonda sull'idea dell'assenza di attendibilità implicita (trust); questo significa che niente o nessuno deve essere considerato automaticamente attendibile. Il principio fondamentale dello zero trust, che si basa sull'accesso a privilegi minimi, prevede che a un utente dovrebbe essere concesso l'accesso solo alla specifica risorsa IT a cui è autorizzato ad accedere, e a nient'altro, nel momento in cui ne ha bisogno. È proprio questo il concetto fondamentale dello zero trust: prima di fidarsi, è sempre necessario effettuare le dovute verifiche.

In quanto strategia per la rete e la sicurezza, lo zero trust è in netto contrasto con le architetture tradizionali incentrate sulla rete e basate sul perimetro, costruite su firewall e VPN che comportano autorizzazioni eccessive e aumentano il rischio informatico. Per conoscere più approfonditamente i loro punti deboli, leggi questo e-book.

In questo articolo del blog, ci limiteremo a spiegare perché non è possibile realizzare un modello zero trust con un'architettura incentrata su firewall e VPN. Questi approcci non sono stati concepiti per il mondo moderno e le sue sofisticate minacce, ed è per questo che il modello zero trust è oggi la chiave della sicurezza informatica.

Cosa contraddistingue il modello zero trust e lo rende adatto alle organizzazioni moderne?

Gli aspetti principali dello zero trust

Non tutte le segmentazioni sono uguali

Il movimento laterale è una fase della catena di attacco che si verifica quando una minaccia supera le difese di un'organizzazione e raggiunge la rete, dove si sposta tra le app connesse ed espande la portata della violazione. Si tratta di una debolezza intrinseca delle architetture basate sul perimetro, che collegano gli utenti alla rete nel suo complesso concedendo un accesso esteso alle risorse che essa contiene.

Spesso, si ritiene che le soluzioni a questo problema siano la segmentazione e la microsegmentazione della rete, in cui la rete e i suoi contenuti vengono suddivisi in segmenti più piccoli separati tra loro dai firewall, che agiscono come vere e proprie mura. Tuttavia, questa strategia è complessa e costosa da implementare e gestire, e tenta solamente di mitigare i problemi delle architetture del passato, senza risolvere le lacune di fondo che risiedono nella natura stesse di queste ultime.

La soluzione vincente è la segmentazione zero trust. L'architettura zero trust collega gli utenti direttamente alle app che sono autorizzati a usare in modalità one-to-one, senza che nessuno ottenga l'accesso alla rete nel suo complesso. Di conseguenza, viene eliminato il potenziale movimento laterale delle minacce, con una riduzione di complessità e costi.

Proteggere qualsiasi entità che accede a qualsiasi risorsa

Molte persone pensano che il termine "zero trust" sia sinonimo di ZTNA (Zero Trust Network Access). In realtà, lo ZTNA è una soluzione specifica, non un'architettura. Nonostante il nome possa trarre in inganno, lo ZTNA agisce concedendo agli utenti un accesso zero trust direttamente alle app private ospitate nei data center e nei cloud privati, senza fornire l'accesso alla rete.

Lo ZTNA è senza dubbio un elemento fondamentale di qualsiasi piattaforma basata su un'architettura zero trust, ma non è tutto. Gli utenti non accedono solamente alle applicazioni private, ma anche al web, alle app SaaS e ad altre risorse IT in una varietà di ambienti differenti.

Inoltre, non sono solo gli utenti ad aver bisogno di un accesso sicuro: anche i workload, i dispositivi IoT e OT e i partner B2B si collegano frequentemente alle risorse IT. Per questo motivo, disporre di un'architettura zero trust completa significa proteggere tutte le entità quando accedono a una qualsiasi risorsa IT. Ecco perché, spesso, questo approccio viene comparato a un centralino intelligente che fornisce una connettività sicura tra più dispositivi in modalità one-to-one.
 

Contesto, contesto, contesto

Fin dal momento in cui riceviamo il nostro primo dispositivo, siamo condizionati a considerare l'autenticazione dell'identità come lo standard per la sicurezza informatica. Questo si riflette solitamente nelle conversazioni relative alla gestione dell'identità e dell'accesso (Identity and Access Management, IAM), in cui la verifica dell'identità dell'utente è vista come il mezzo ideale per determinare se a una data entità debba essere concesso l'accesso a una data risorsa. Ma l'identità da sola non basta, anche quando si fonda su un gruppo di utenti.

Le ragioni sono due. Innanzitutto, l'identità degli utenti può essere rubata, come dimostrano le innumerevoli violazioni che derivano dal furto delle credenziali VPN. In secondo luogo, gli utenti che sono chi dicono di essere possono comunque adottare comportamenti dolosi o imprudenti, che espongono le organizzazioni ad attacchi informatici e alla perdita di dati.

Invece di accettare questo rischioso status quo, lo zero trust utilizza il contesto per valutare il rischio e regolamentare l'accesso. Questo processo include l'identità (che è una parte fondamentale dell'architettura zero trust), ma considera anche altre variabili, come il profilo di sicurezza del dispositivo, il rischio relativo a destinazione e contenuto, il comportamento dell'utente e altro. Inoltre, questa analisi contestuale solitamente si basa su una solida dose di AI ed ML.

Difesa dalle minacce informatiche e protezione dei dati

L'architettura zero trust blocca gli attacchi informatici in quattro modi principali (alcuni li abbiamo già menzionati):

1. Lo zero trust elimina firewall, VPN e i loro indirizzi IP pubblici, che rappresentano obiettivi interessanti per i criminali informatici. Al contrario, le app vengono nascoste dietro un cloud zero trust, eliminando così la superficie di attacco. In altre parole, le connessioni in entrata vengono sostituite con connessioni inside-out, ossia dall'interno verso l'esterno.
    
2. Lo zero trust impedisce le compromissioni attraverso l'uso di policy basate sul contesto e, al posto di hardware e apparecchiature virtuali, un cloud ad alte prestazioni che dispone della scalabilità necessaria per ispezionare il traffico cifrato (dove si nasconde la maggior parte delle minacce, ma di questo parleremo più avanti).
   
3. Lo zero trust fornisce una connettività direct-to-app, ossia diretta alle app, anziché l'accesso alla rete, impedendo il potenziale movimento laterale tra le risorse. 
    
4. Lo zero trust blocca la perdita dei dati, ancora una volta, attraverso l'ispezione del traffico cifrato (in cui si verifica la maggior parte delle perdite dei dati) e proteggendo tutti i moderni percorsi associati a questo pericolo, come la condivisione tramite app SaaS, l'archiviazione rimovibile sugli endpoint e molto altro.

Oltre a quanto scritto sopra, una piattaforma zero trust completa dovrebbe fornire funzionalità di protezione dalle minacce informatiche, come sandboxing sul cloud, sicurezza DNS, isolamento del browser e molto altro. Allo stesso modo, dovrebbe fornire funzionalità di protezione dati, come SSPM, CASB fuori banda, EDM e altro.

Una distribuzione d'eccellenza

Per approfondire un aspetto accennato in precedenza, lo zero trust è un'architettura nativa del cloud. Questo significa che non è possibile implementarlo semplicemente distribuendo un altro dispositivo in un data center o in un cloud privato; viene invece fornito come servizio da un cloud globale multi-tenant, creato con lo scopo di fornire un'architettura zero trust all'edge, ovvero il più vicino possibile agli utenti finali.

Dato che questo cloud onnipresente fornisce una connettività sicura da qualsiasi luogo, oltre a tutte le funzioni di sicurezza che si potrebbero desiderare, è la soluzione perfetta per le organizzazioni moderne caratterizzate da risorse cloud, dati e lavoratori in remoto distribuiti. Queste organizzazioni non devono più effettuare il backhauling del traffico verso i loro data center o gestire gli stessi complessi stack in entrata e in uscita di dispositivi di sicurezza e di rete (siano essi hardware o virtuali).

Inoltre, a differenza delle apparecchiature fisiche, la scalabilità del cloud implica che lo zero trust disponga delle prestazioni necessarie per ispezionare il traffico cifrato. Dato che il 95% del traffico web è ormai cifrato e l'86% degli attacchi informatici si nasconde al suo interno, la sua ispezione è imprescindibile. 

I vantaggi dello zero trust

Riduzione del rischio

Il principale e più ovvio vantaggio di un'architettura zero trust è la riduzione sistematica del rischio informatico. La distribuzione della segmentazione zero trust dal cloud, la protezione da ogni fase della catena di attacco, l'implementazione di una protezione completa dei dati e di una difesa dalle minacce e l'applicazione di policy basate sul contesto e sul rischio per ogni entità che accede a una qualsiasi risorsa, sono tutti fattori che garantiscono una difesa impenetrabile.
 

Una produttività di livello superiore

Lo zero trust consente di eliminare le VPN e il backhauling del traffico, per ottenere una connettività direct-to-app fornita attraverso un cloud globale che dispone della scalabilità necessaria per gestire i picchi di traffico che le apparecchiature fisiche non riescono a sopportare. L'aggiunta del monitoraggio integrato dell'esperienza digitale (Digital Experience Monitoring, DEM) contribuisce ad aumentare i vantaggi dell'esperienza utente. Il risultato è un incremento della produttività degli utenti, dell'assistenza tecnica e della rete stessa, grazie alla riduzione dei ticket e delle problematiche gestionali che gravano sugli amministratori.

Complessità e costi ridotti

Lo zero trust elimina sei principali costi delle architetture basate sul perimetro, perché:

1. Elimina la necessità di acquistare una miriade di prodotti di sicurezza e di rete
    
2. Riduce la complessità operativa e l'onere amministrativo
    
3. Accelera le integrazioni IT durante fusioni e acquisizioni
    
4. Riduce al minimo il rischio e, di conseguenza, il costo delle violazioni dei dati
    
5. Migliora la produttività, come discusso in precedenza
    
6. Riduce il consumo di energia e l'impronta di carbonio
    

Trasformazione digitale

Trasformando la sicurezza e la connettività con lo zero trust, le organizzazioni di tutto il mondo possono intraprendere la trasformazione digitale in modo sicuro ed efficace. Invece di adattare forzatamente l'approccio del passato alla sicurezza e al networking degli ambienti di lavoro moderni, le organizzazioni possono sfruttare l'architettura zero trust e trarre il massimo vantaggio dalle app cloud, dal lavoro da remoto e da qualsiasi altra cosa che il futuro digitale abbia in serbo.
 

Vuoi iniziare?

Se vuoi adottare un'architettura zero trust completa in grado di soddisfare tutte le tue esigenze e offrirti i vantaggi descritti in questo articolo, la scelta è una sola: Zscaler, la prima azienda a farsi strada nel campo dello zero trust e sua costante innovatrice.

La piattaforma Zscaler Zero Trust Exchange è il security cloud inline più grande del mondo. Comprende oltre 160 data center in tutto il mondo, elabora più di 500 miliardi di transazioni al giorno, protegge oltre il 40% delle aziende Fortune 500 e vanta un Net Promoter Score superiore a 70 (la media delle soluzioni SaaS è inferiore a 30). Zscaler vanta una comprovata competenza e dispone della scalabilità necessaria per aiutare qualsiasi organizzazione a implementare con successo il modello zero trust.

Se vuoi iniziare il tuo percorso verso lo zero trust ma non sai da dove cominciare, registrati al nostro webinar mensile in diretta: "Fondamenti dello zero trust: inizia qui il tuo viaggio", in cui esploreremo lo zero trust partendo dalle sue basi. È la prima puntata della nostra serie in tre parti "Lo zero trust: dalla teoria alla pratica", che abbiamo ideato per guidare le organizzazioni dalla fase iniziale di ricerca fino all'implementazione dello zero trust. Registrati oggi per iniziare.