/ Che cos'è un'architettura zero trust?
Che cos'è un'architettura zero trust?
L'architettura zero trust è un'architettura di sicurezza progettata per ridurre la superficie di attacco di un'organizzazione, fermare le compromissioni, prevenire il movimento laterale delle minacce e bloccare la perdita di dati seguendo i principi fondamentali del modello di sicurezza zero trust. Un modello di questo tipo mette da parte il tradizionale "perimetro di rete", all'interno del quale tutti i dispositivi e gli utenti sono considerati affidabili e ricevono ampie autorizzazioni, in favore di una connettività diretta alle app con privilegi minimi, che abbandona la connettività basata sulla rete e fornisce una microsegmentazione granulare.

L'importanza di un'architettura zero trust
Le organizzazioni oggi stanno attraversando una rapida trasformazione digitale, con l'adozione di servizi cloud, ambienti di lavoro ibridi, dispositivi IoT e applicazioni SaaS. Questa evoluzione ha reso obsolete le architetture di sicurezza di rete tradizionali e ha esposto le criticità dei modelli basati sul perimetro che usano principalmente firewall e VPN. Questi strumenti legacy, progettati per un mondo on-premise, non sono riusciti a tenere il passo con l'agilità e la sofisticatezza richieste dalle aziende moderne e, in realtà, aumentano il rischio informatico.
L'architettura zero trust (ZTA) è emersa come la soluzione a queste sfide. Ripensando radicalmente la sicurezza in base al principio di non fidarsi mai, ma verificare sempre qualsiasi entità, lo zero trust supera le vulnerabilità delle architetture tradizionali garantendo una connettività sicura e "any-to-any" a utenti, dispositivi, workload, sistemi IoT/OT e partner B2B. Questo articolo esplora il motivo per cui le architetture tradizionali sono insufficienti e il modo in cui lo zero trust trasforma la sicurezza per affrontare il panorama delle minacce moderne.
Le carenze delle architetture tradizionali
Le architetture basate sul perimetro, spesso indicate come modelli a "castello e fossato", sono state progettate per un'era in cui utenti, applicazioni e dati risiedevano principalmente on-premise ed erano collegati alla rete aziendale. Queste architetture dipendono fortemente da firewall e VPN per proteggere il perimetro di rete, e al contempo concedono un ampio accesso alle entità che si trovano all'interno della rete. Sebbene questo modello incentrato sulla rete abbia funzionato in modo accettabile in passato, è sempre più inefficace negli ambienti distribuiti e principalmente cloud di oggi.
Come funzionano le architetture tradizionali
Le architetture tradizionali ruotano attorno alla rete, e i loro strumenti sottostanti, come firewall e VPN, puntano a:
- Stabilire un perimetro di sicurezza: questi strumenti presumono che tutto ciò che si trova all'interno della rete sia attendibile, mentre tutto ciò che è al suo esterno è considerato non attendibile; i firewall sono essenzialmente utilizzati come guardiani che separano i due tipi di entità.
- Effettuare il backhauling del traffico: gli utenti in remoto devono connettersi ai data center centralizzati e alla rete tramite VPN per accedere alle applicazioni (comprese le applicazioni cloud all'esterno), un aspetto che aumenta la latenza e la complessità.
- Scansionare il traffico: i firewall eseguono scansioni superficiali del traffico in entrata e in uscita dalla rete, ma spesso lasciano passare minacce di cui non si accorgono e faticano a proteggere il traffico cifrato.
I quattro principali punti deboli delle architetture tradizionali
- Superficie di attacco estesa: i firewall e le VPN hanno indirizzi IP pubblici per permettere agli utenti legittimi di accedere, ma questo espone la rete ai criminali informatici sul web. L'espansione delle organizzazioni, che aggiungono sedi, ambienti cloud e lavoratori da remoto, porta a un'estensione della rete, all'aggiunta di firewall e VPN e alla presenza di più indirizzi IP pubblici. Di conseguenza, la superficie di attacco cresce e le vulnerabilità aumentano.
- Compromissione: che siano dispositivi virtuali o hardware, i firewall non dispongono delle prestazioni necessarie per ispezionare il traffico cifrato su larga scala. Dato che il 95% del traffico web di oggi è cifrato, le organizzazioni non si accorgono della maggior parte delle minacce informatiche, in quanto queste si nascondono in larga misura nel traffico TLS/SSL.
- Movimento laterale delle minacce: una volta violato il perimetro, gli aggressori possono muoversi lateralmente attraverso la rete, accedendo alle risorse connesse. Sebbene la segmentazione della rete tramite firewall aggiuntivi sia spesso proposta come soluzione, questa strategia finisce solo per aumentare il rischio, la complessità e i costi senza affrontare il vero problema: l'architettura stessa basata su firewall e perimetro.
- Perdita di dati: l'incapacità dei firewall di ispezionare il traffico cifrato consente ai dati sensibili di uscire dalla rete senza essere rilevati. Inoltre, gli strumenti tradizionali non sono adatti a proteggere i moderni percorsi attraverso cui i dati vanno persi, come la condivisione di file all'interno delle applicazioni SaaS.

In che modo un'architettura zero trust trasforma la sicurezza
Lo zero trust è fondamentalmente diverso dalle architetture tradizionali: invece di proteggere le reti, protegge l'accesso diretto alle risorse IT e, invece di concedere l'accesso in base all'identità (che può essere rubata), lo fa in base al contesto e al rischio. Un'infrastruttura cloud appositamente progettata per questo scopo offre l'architettura come servizio e all'edge, agendo come un centralino intelligente che consente connessioni sicure e one-to-one tra utenti, dispositivi, workload, filiali e applicazioni, indipendentemente dalla loro posizione. In altre parole, lo zero trust separa la sicurezza e la connettività dalla rete, in modo che le organizzazioni possano utilizzare efficacemente Internet come rete aziendale.
I principi dello zero trust
- Verifica dell'identità: ogni richiesta di accesso inizia con l'autenticazione dell'identità dell'utente o di un'altra entità che tenta di accedere.
- Determinazione della destinazione: la piattaforma zero trust identifica la destinazione richiesta e verifica che sia legittima e sicura.
- Valutazione del rischio: l'intelligenza artificiale e il machine learning analizzano il contesto del tentativo di accesso per valutarne il rischio, tenendo conto del comportamento dell'utente, del profilo del dispositivo, della posizione e di innumerevoli altre variabili.
- Applicazione delle policy: le policy vengono applicate in tempo reale per ogni sessione, concedendo, negando o fornendo un livello intermedio di accesso in base al rischio, al fine di garantire l'accesso a privilegi minimi.
I quattro punti di forza dello zero trust
- Riduce al minimo la superficie di attacco: nascondendo le applicazioni dietro un cloud zero trust, lo zero trust elimina la necessità di indirizzi IP pubblici e impedisce le connessioni in entrata. Le applicazioni sono invisibili a Internet, e la superficie di attacco viene ridotta.
- Ferma le compromissioni: lo zero trust impiega un cloud di sicurezza ad alte prestazioni per agire da proxy e ispezionare tutto il traffico, incluso quello cifrato, su larga scala. Le policy in tempo reale bloccano le minacce prima che raggiungano utenti o applicazioni.
- Previene il movimento laterale: lo zero trust collega gli utenti direttamente alle applicazioni, non alla rete. Questa segmentazione granulare impedisce agli aggressori di muoversi lateralmente tra le risorse, contenendo efficacemente le violazioni.
- Blocca la perdita di dati: l'architettura zero trust protegge le informazioni sensibili su tutti i possibili canali di perdita – che siano in transito sul web (anche se cifrate), archiviate nel cloud, o in uso sui dispositivi endpoint.
Lo zero trust in azione: protezione della connettività "any-to-any"
Uno dei punti di forza del modello zero trust è la sua capacità di garantire la connettività "any-to-any". Questo significa che può proteggere qualsiasi entità che abbia bisogno di accedere alle risorse IT, come:
- La forza lavoro: gli utenti possono accedere in modo sicuro al web, alle applicazioni SaaS e a quelle private senza accedere alla rete.
- I cloud: lo zero trust protegge le comunicazioni tra i workload nei cloud pubblici, privati e ibridi e protegge i dati inattivi nei cloud e nelle app SaaS
- I dispositivi IoT/OT: lo zero trust garantisce una connettività sicura per i sistemi IoT e di tecnologia operativa (OT), proteggendo questi asset critici dagli attacchi informatici
- I partner B2B: le terze parti, come i partner di canale, ottengono un accesso sicuro direttamente alle applicazioni specifiche, senza bisogno di VPN o dell'accesso a livello di rete.
Considerazioni nella valutazione delle piattaforme zero trust
L'adozione di una piattaforma zero trust è una decisione fondamentale per le organizzazioni che intendono modernizzare la propria infrastruttura di sicurezza. Con numerose opzioni disponibili sul mercato, è essenziale valutare le potenziali soluzioni secondo una serie di criteri importanti, al fine di assicurarsi che la piattaforma scelta sia in linea con le esigenze specifiche della propria organizzazione. Di seguito sono riportati alcuni importanti aspetti da considerare durante il processo di valutazione:
Copertura completa per tutte le entità
Una vera piattaforma zero trust deve garantire l'accesso sicuro per tutte le entità critiche all'interno di un'organizzazione, tra cui forza lavoro, applicazioni, cloud, sistemi IoT/OT e partner. Garantire una protezione unificata per questi vettori è fondamentale per mantenere un profilo di sicurezza coerente e affidabile, senza lasciare lacune che gli aggressori in futuro potrebbero sfruttare.
Stabilità finanziaria del fornitore
La salute finanziaria e la longevità del fornitore della piattaforma non possono essere trascurate. Una piattaforma zero trust è spesso un servizio mission-critical, e le organizzazioni devono assicurarsi che il fornitore scelto abbia la stabilità finanziaria e le risorse per investire continuamente in innovazione ed evitare interruzioni nell'erogazione del servizio.
Esperienza comprovata con i clienti
Una piattaforma zero trust dovrebbe vantare una comprovata esperienza di successo in una vasta gamma di settori e clienti. Cerca casi di studio documentati, riconoscimenti o testimonianze che dimostrino l'efficacia della piattaforma nel proteggere organizzazioni di dimensioni, complessità o settore simili al tuo. La validazione derivata da implementazioni reali rafforza la fiducia nelle capacità della piattaforma.
Scalabilità e prestazioni a livello globale
Oggi le organizzazioni operano a livello globale, ed è quindi necessario che una piattaforma zero trust sia del tutto scalabile e in grado di garantire prestazioni costanti. La piattaforma deve disporre dell'infrastruttura necessaria per supportare utenti, applicazioni e workload in diverse aree geografiche, assicurando bassa latenza, alta disponibilità e una connettività affidabile.
Resilienza per affrontare gli imprevisti
In un'epoca di minacce in continua evoluzione, la resilienza non è negoziabile. La piattaforma deve essere in grado di gestire eventuali imprevisti, che si tratti di picchi di attività degli utenti, nuove sfide in materia di sicurezza informatica o guasti tecnici inattesi. Una soluzione zero trust resiliente garantisce la continuità del servizio anche nelle condizioni più critiche.
Integrazione dell'intelligenza artificiale per maggiore sicurezza ed efficienza
Infine, nel valutare le piattaforme zero trust, è importante considerare il modo in cui l'intelligenza artificiale (AI) viene integrata nella soluzione. Le moderne piattaforme zero trust, come Zscaler Zero Trust Exchange, utilizzano l'intelligenza artificiale e il machine learning (ML) per ottimizzare l'applicazione delle policy, rilevare anomalie e semplificare i processi decisionali. L'intelligenza artificiale consente alle organizzazioni di rispondere alle minacce con rapidità e precisione, gettando le basi per i futuri progressi nella sicurezza informatica.
Valutare le piattaforme zero trust in base a questi elementi ti aiuterà a scegliere una soluzione sicura, affidabile e flessibile. Con il tempo, l'AI diventerà un motore imprescindibile di innovazione ed efficienza per lo zero trust.
Intelligenza artificiale e zero trust
L'architettura zero trust rappresenta la base ideale per implementare una sicurezza basata sull'AI, in quanto l'enorme volume di dati che una piattaforma zero trust elabora gestendo il traffico dei clienti è perfetto per eseguire il training di modelli linguistici di grandi dimensioni (LLM). A sua volta, l'intelligenza artificiale rafforza le capacità del modello zero trust, rendendolo più intelligente, efficace e automatizzato. Ad esempio, Zscaler integra AI ed ML in tutta la piattaforma Zero Trust Exchange per migliorare numerose funzionalità, come:
- Rilevamento e blocco delle minacce: i modelli di machine learning aiutano a identificare e contrastare in tempo reale minacce sofisticate, come gli attacchi 0-day.
- Automazione della segmentazione: la segmentazione delle applicazioni basata sull'intelligenza artificiale garantisce che le applicazioni siano accessibili solo agli utenti autorizzati, riducendo la superficie di attacco interna e il rischio di errori umani associati alla segmentazione manuale.
- Rilevamento di dati sensibili: il rilevamento automatico dei dati con l'AI individua e classifica automaticamente le informazioni sensibili in tutti i possibili canali di fuga.
- Aumento della produttività degli utenti: l'analisi delle cause radice supportata dall'AI identifica automaticamente i problemi che causano rallentamenti nell'esperienza utente, migliorando la produttività sia dei dipendenti che del supporto IT.
Oltre la sicurezza: i benefici del modello zero trust per le aziende
Oltre a ridurre il rischio informatico, lo zero trust offre numerosi vantaggi operativi ed economici:
- Riduzione della complessità: sostituendo firewall, VPN e varie soluzioni isolate con una piattaforma moderna e unificata, le organizzazioni possono semplificare l'ambiente IT.
- Risparmi sui costi: l'eliminazione degli strumenti legacy e la semplificazione della sicurezza e della rete riducono i costi di gestione e abbassano il costo totale di proprietà (TCO).
- Esperienza utente migliore: la connessione diretta alle applicazioni elimina la latenza associata al backhauling del traffico, garantendo un accesso rapido e fluido e aumentando la produttività.
- Agilità aziendale: lo zero trust è un'architettura flessibile che consente alle organizzazioni di proteggere le applicazioni cloud e il lavoro ibrido, consentendo loro di adattarsi rapidamente e in sicurezza alle mutevoli esigenze aziendali.
Conclusione
Il ritmo rapido della trasformazione digitale richiede un'architettura di sicurezza in grado di rimanere al passo con questa velocità. Gli approcci tradizionali basati sul perimetro, con le loro debolezze intrinseche, non sono più sufficienti. L'architettura zero trust, con il suo focus sulla connettività sicura any-to-any e su policy dinamiche basate sul contesto, rappresenta una soluzione moderna alle sfide attuali della sicurezza informatica.
Integrando l'intelligenza artificiale nell'approccio zero trust, le organizzazioni possono rafforzare ulteriormente il profilo di sicurezza, semplificare le operazioni e migliorare l'esperienza utente. Con Zscaler Zero Trust Exchange, le aziende possono affrontare con fiducia la trasformazione digitale, proteggendo utenti, dati, applicazioni e tutto l'ecosistema IT.
Per le organizzazioni pronte a compiere il passo successivo, il percorso verso lo zero trust inizia con la comprensione dei suoi principi, dei suoi punti di forza e delle strategie di implementazione. Proteggi il tuo futuro oggi stesso con Zscaler.
Inizia il tuo percorso verso lo zero trust – Scopri di più
Risorse suggerite
FAQ
Lo zero trust è un framework di sicurezza che si basa sul concetto che nessun utente o applicazione sia attendibile automaticamente. L'architettura zero trust applica controlli dell'accesso a privilegi minimi, concede l'attendibilità in base al contesto (ad esempio l'identità e la posizione dell'utente, il profilo di sicurezza dell'endpoint, dell'app o del servizio richiesto) e applica controlli delle policy a ogni passaggio. Le richieste di accesso, anche se provenienti da persone note, vengono approvate solo dopo una rigorosa procedura di autenticazione.
Lo zero trust è il futuro della sicurezza, perché l'ascesa del cloud computing e del lavoro da remoto ha reso i perimetri di sicurezza tradizionali inaffidabili. L'architettura zero trust si adatta ai paradigmi di lavoro moderni e dinamici attraverso controlli di accesso rigorosi, monitoraggio continuo e sicurezza incentrata sui dati, fornendo difese proattive più robuste e più adattive per combattere le minacce interne e le svariate tecniche avanzate di attacco informatico di oggi.
Implementare la sicurezza zero trust richiede tempo, ma è una scelta necessaria se le organizzazioni moderne vogliono sopravvivere e crescere. Zscaler suddivide il percorso verso lo zero trust in quattro fasi:
- Potenziamento e protezione della forza lavoro
- Protezione dei dati nei workload sul cloud
- Modernizzazione della sicurezza IoT/OT
- Interazione sicura con clienti e fornitori
Con il raggiungimento di questi obiettivi e la trasformazione di rete e sicurezza durante il percorso, otterrai un'architettura zero trust in grado di connettere in modo sicuro utenti, dispositivi e applicazioni su qualsiasi rete, ovunque.
Leggi di più nel nostro articolo dedicato: Come si implementa lo zero trust?