Zero Trust Branch: di' addio al movimento laterale delle minacce

L'espansione delle reti e l'aumento di dispositivi di sicurezza

Le architetture di rete legacy sono state progettate per un mondo in cui tutti i dipendenti lavoravano dall'ufficio e le applicazioni risiedevano nei data center. Abbiamo creato e ottimizzato le reti private per collegare le filiali e i data center con tecnologie come l'MPLS e la VPN site-to-site e, più di recente, la SD-WAN, e abbiamo protetto il perimetro con i firewall, considerando attendibile tutto ciò che si trovava all'interno della rete e non attendibile tutto il resto.

Allo spostamento delle applicazioni sul cloud e alla sempre maggiore distribuzione delle organizzazioni, abbiamo risposto semplicemente estendendo la rete alle sedi in remoto, ai partner e al cloud. Il problema è queste reti continuano a essere caratterizzate da un'eccessiva attendibilità implicita, e i tentativi di segmentarle tramite i firewall contribuiscono solo a dar vita a una crescita incontrollata di questi strumenti, a progetti di segmentazione senza fine e a un'impennata nei costi e nella complessità; tutto questo lascia i team responsabili delle infrastrutture a corto di risorse.

La SD-WAN tradizionale facilita gli attacchi ransomware

Se da un lato queste architetture di rete legacy hanno semplificato la comunicazione tra utenti, dispositivi e workload, esse facilitano anche lo spostamento laterale delle minacce. Un singolo dispositivo infetto in una filiale può raggiungere e infettare le tue app più preziose nel data center o sul cloud. Questo è uno dei principali modi attraverso cui si diffondono gli attacchi ransomware. Secondo il Report del 2024 di ThreatLabz sui ransomware, solo nel corso dell'ultimo anno il numero di aziende che hanno subito estorsioni è aumentato del 58%, e i pagamenti di riscatti maggiori hanno raggiunto i 75 milioni di dollari. Gli attacchi ransomware continuano ad andare a buon fine per un semplice motivo: le SD-WAN legacy estendono la superficie di attacco e favoriscono il movimento laterale.

Continuare a utilizzare architetture legacy nel mondo moderno non solo accresce i costi e la complessità, ma rende anche le aziende più vulnerabili.

Zero Trust Branch: nessun movimento laterale, nessun firewall

Con l'architettura di Zero Trust Branch non hai bisogno di estendere la rete ovunque per far sì che gli utenti delle filiali godano di un'esperienza ottimale. Gli utenti, i dispositivi e le app comunicano tramite Zero Trust Exchange mediante qualsiasi connessione a banda larga o cellulare. Non ci sono porte aperte in ascolto per le connessioni VPN che potrebbero essere sfruttate dagli aggressori. Un dispositivo in una determinata postazione non è in grado eseguire la scansione della rete per rilevare i dispositivi e le app presenti altrove. In assenza di una rete instradabile piatta, non sono necessari firewall per ogni filiale.

Zero Trust Branch è supportato da tre innovazioni principali di Zscaler. La prima è Zscaler Zero Trust SD-WAN, che sostituisce le SD-WAN, l'MPLS o le VPN site-to-site tradizionali e facilita le comunicazioni sicure in entrata e in uscita dalle filiali. Tramite un dispositivo Zscaler Edge che interrompe e gestisce direttamente le connessioni ISP, Zero Trust SD-WAN ottimizza le prestazioni delle app e fornisce protezione completa contro le minacce informatiche e tutela dei dati per tutto il traffico di utenti, dispositivi e server dalle filiali. Con tre apparecchiature fisiche (ZT 400, ZT 600 e ZT 800) e un'apparecchiatura virtuale (ZT VM), le organizzazioni sono in grado di connettere una varietà di filiali, campus, stabilimenti produttivi e data center a Zero Trust Exchange.

Siamo felici di annunciare i nuovi dispositivi Zsaler Edge con supporto per la rete cellulare 5G, come connessione ISP primaria o di backup, per proteggere ulteriori sedi, come terminali ATM, uffici periferici e negozi al dettaglio. Stiamo inoltre introducendo apparecchiature con throughput più elevato che supporteranno un throughput cifrato di fino a 5 Gbps per abilitare connessioni in fibra multi-gigabit in modalità attiva-attiva.

Zero Trust SD-WAN garantisce che le minacce non possano spostarsi lateralmente tra le varie sedi. All'interno delle sedi, infatti, le innovazioni di Zscaler apportate a Zero Trust Device Segmentation ti aiutano a segmentare ulteriormente ogni dispositivo fino a ottenere una rete univoca, eliminando la necessità di ricorrere a firewall est-ovest, NAC e switch proprietari molto costosi. Distribuibile in poche ore, questa soluzione innovativa è in grado di rilevare, identificare e segmentare ogni dispositivo, persino i sistemi OT legacy, ed elimina tutto il movimento laterale all'interno della sede.

Un altro fattore di rischio molto significativo relativo al movimento laterale delle minacce è rappresentato dai fornitori e collaboratori terzi che accedono ai sistemi e ai server OT. Tradizionalmente, il loro accesso richiedeva una connessione di rete o una VPN che portava dispositivi non gestiti/sconosciuti sulla rete e forniva un accesso diretto alle risorse critiche. Zscaler Privileged Remote Access fornisce un approccio più sicuro che non richiede una connessione di rete tra i terzi e l'infrastruttura. Con un accesso clientless basato su browser e una tecnologia basata sullo streaming di pixel con controllo di tastiera e mouse, puoi consentire ai tecnici in remoto di accedere in modo sicuro ai sistemi OT, con supervisione completa, registrazione delle sessioni e controlli dei file tramite sandbox, per aiutare a ridurre al minimo i rischi degli stabilimenti produttivi e garantire la sicurezza del personale.

Abbatti i costi e potenzia la sicurezza

Un'architettura semplice offre molti vantaggi sia ai i team dell'infrastruttura che agli utenti.

• Costi più bassi: dato che la rete non viene non estesa ovunque, l'impronta e i costi dell'infrastruttura si riducono considerevolmente. Non ci sarà più bisogno di proteggere ogni filiale con i firewall, proprio come non sarà necessario proteggere la rete domestica di ogni dipendente. In questo modo, puoi eliminare la complessità del routing e la gestione delle policy dei firewall.

• Sicurezza migliore: i ransomware non saranno più in grado di muoversi lateralmente tra i vari siti o persino tra dispositivi nello stesso sito. Inoltre, la superficie di attacco si riduce, perché le filiali non rappresenteranno più obiettivi facili da colpire. Zero Trust Exchange fornisce una protezione completa contro le minacce informatiche che tutela i dati e garantisce che i dispositivi non comunichino con siti di comando e controllo noti o esfiltrino i dati su canali come il DNS.

• Esperienza utente di qualità più elevata: dato che non è più necessario effettuare il backhauling del traffico attraverso il data center per l'ispezione di sicurezza, le applicazioni vengono eseguite molto più velocemente, e gli utenti ottengono un'esperienza migliore e più uniforme, sia in ufficio che a casa. Si eliminano inoltre i compromessi in termini di prestazioni e sicurezza, in quanto tutto il traffico, incluso quello cifrato con TLS, può essere ispezionato tramite Zero Trust Exchange senza influire negativamente sulle prestazioni.

Zscaler Zero Trust Branch non solo semplifica l'architettura della tua filiale, riducendo i costi infrastrutturali fino al 50%, ma migliora anche le prestazioni e l'esperienza utente. In più, grazie a un'architettura zero trust, elimina il movimento laterale delle minacce e blocca gli attacchi ransomware sul nascere.

Per saperne di più sulle innovazioni di Zero Trust Branch, consulta la nostra pagina delle risorse sui nuovi prodotti.