Zero Trust: il nuovo approccio alla sicurezza informatica
Da tempo, diverse dinamiche moderne hanno radicalmente trasformato il modo in cui operano le organizzazioni. La crescente mobilità della forza lavoro, l’adozione diffusa di dispositivi personali per scopi lavorativi (BYOD – Bring Your Own Device), l’espansione del cloud computing e l’evoluzione continua delle minacce informatiche hanno reso evidente la necessità di un cambiamento paradigmatico per quel che riguarda la gestione della sicurezza informatica aziendale.
Di fronte a questo scenario, il principio cardine di Zero Trust – “non fidarti mai, verifica sempre” – offre un approccio più rigoroso e proattivo alla sicurezza, garantendo un controllo e una protezione costante su ogni accesso e interazione all’interno della rete aziendale. Alla base del modello Zero Trust c’è, d’altronde, un costante sospetto che consente di mettere in atto tutta una serie di misure di sicurezza volte a verificare l’affidabilità di utenti e dispositivi, indipendentemente dal fatto che siano interni o esterni alla rete aziendale.
Che cosa significa approccio Zero Trust?
L’espressione Zero Trust può essere tradotta letteralmente come “Zero Fiducia”. Di fatto, Zero Trust è un approccio che si basa sulla totale assenza di fiducia verso qualsiasi utente o dispositivo, e che fa quindi della verifica costante dell’identità la sua priorità.
Può sembrare un concetto banale, ma le cose non sono sempre andate così. Nel corso del tempo, la maggior parte delle aziende ha adottato la VPN come principale strategia per la sicurezza aziendale, concentrando la propria attenzione sulla protezione del perimetro informatico. Tuttavia, questo approccio ha portato con sé alcune problematiche.
Con un modello basato sulla VPN, infatti, avere accesso legittimo alla rete consente di accedere a una vasta gamma di risorse. Tuttavia, non tutti gli utenti che hanno accesso alla rete devono necessariamente avere il diritto di accedere a tutte le risorse disponibili. Inoltre, all’aumentare del numero di utenti, aumenta anche il rischio di intrusioni che possono essere difficilmente individuate in tempo utile, poiché le policy di sicurezza di una VPN si concentrano sul perimetro e non sui livelli interni della rete.
Oltre al portone di casa
Per comprendere meglio la differenza tra l’approccio tradizionale e quello Zero Trust, possiamo fare un semplice esempio utilizzando il contesto di una casa.
Con l’approccio VPN, le misure di sicurezza si concentrano principalmente lungo la staccionata, portone o muro che delimita la proprietà: poco importa se la porta di casa o le finestre sono aperte. Il principio di base è che nulla di indesiderato riuscirà ad avvicinarsi alla casa perché non riuscirà a superare quella prima barriera.
L’approccio Zero Trust rivede completamente questa politica. Pur mantenendo un certo grado di attenzione lungo il perimetro (la staccionata), aggiunge una serie di misure di sicurezza interne. Ad esempio, chiudendo porte e finestre e costringendo i visitatori a suonare il campanello per poter essere ammessi ed entrare in casa. In questo modo, ogni accesso viene verificato individualmente e continuamente, garantendo un livello di sicurezza molto più elevato e mirato.
Principi dell’approccio Zero Trust
L’approccio Zero Trust si basa su alcuni principi fondamentali, che insieme garantiscono una protezione più robusta e granulare rispetto ai modelli di sicurezza tradizionali.
- Verifica continua dell’identità e dello stato del dispositivo: in Zero Trust, ogni tentativo di accesso è soggetto a un’autenticazione rigorosa per verificare sia l’identità dell’utente che la sicurezza del dispositivo che cerca di connettersi. Il sistema parte dal presupposto che la rete sia sempre sotto attacco, e implementa misure costanti per prevenirlo. Questo significa che la verifica dell’identità non è un evento unico, ma un processo continuo che si ripete ogni volta che viene richiesta un’azione o un accesso.
- Minimo privilegio di accesso o Least Privilege Access: il principio del minimo privilegio di accesso sottolinea che agli utenti e ai dispositivi deve essere concesso l’accesso solo alle risorse strettamente necessarie per svolgere le loro funzioni. In questo modo, il movimento laterale all’interno della rete è limitato, impedendo agli utenti di accedere a risorse che non sono direttamente pertinenti alle loro necessità operative. Questo riduce notevolmente il rischio di diffusione di minacce all’interno della rete.
- Microsegmentazione: per applicare efficacemente il principio del minimo privilegio, la rete (o l’applicativo) viene suddivisa in segmenti più piccoli, un processo noto come microsegmentazione. Questa suddivisione permette un controllo più granulare degli accessi e limita il movimento laterale degli attaccanti. Anche in caso di violazione della sicurezza, gli attaccanti si troveranno confinati ai segmenti a cui hanno ottenuto accesso, con permessi di azione e visualizzazione fortemente limitati.
I principi che abbiamo visto fin qui rientrano nella cosiddetta assunzione del rischio, dove ogni richiesta di accesso è trattata di default come potenzialmente pericolosa. La continua verifica dell’identità e del dispositivo riflette infatti proprio questa mentalità, assumendo che la rete e le applicazioni siano costantemente a rischio di attacco.
Già da qui è quindi evidente che a differenza dell’approccio tradizionale, che concentra la sicurezza sul perimetro della rete, l’approccio Zero Trust si focalizza sulla protezione dei dati stessi. I controlli di sicurezza vengono perciò implementati il più vicino possibile alle risorse e ai dati, garantendo una protezione approfondita e specifica per ogni microsegmento.
Questi principi, lavorando in sinergia, creano un ambiente di sicurezza più dinamico e adattabile, capace di rispondere alle minacce moderne con maggiore efficacia e precisione.
Come si implementa il principio di Zero Trust
L’approccio Zero Trust si traduce in una serie di metodologie e soluzioni specifiche che mirano a rafforzare la sicurezza informatica adottando una mentalità di non fiducia verso ogni accesso e interazione all’interno della rete aziendale.
End Point Security e SIEM
Una delle prime aree di attenzione è la sicurezza degli endpoint, dove soluzioni come antivirus, antimalware e sistemi di detection e response (EDR e XDR) giocano un ruolo chiave. Questi strumenti monitorano attivamente gli eventi generati dai dispositivi, rilevando, segnalando e rispondendo tempestivamente a situazioni anomale che potrebbero indicare attività malevola.
Network Access Control e Microsegmentazione
Se il Network Access Control consente di gestire l’accesso alla rete, garantendo che solo dispositivi conformi possano connettersi, la microsegmentazione suddivide la rete in segmenti più piccoli, limitando il movimento laterale degli utenti (e potenziali) attaccanti, migliorando il controllo granulare degli accessi.
Multifactor Authentication, SSO e OAuth
Secondo il principio Zero Trust, ulteriori soluzioni per rafforzare l’autenticazione e l’autorizzazione degli utenti coincidono con la Multifactor Authentication (MFA), che richiede più prove di identità per l’accesso, e il Single Sign-On (SSO), che semplifica l’accesso a multiple applicazioni con un’unica autenticazione. L’aspetto interessante della MFA, anche in questo caso, è che l’approccio Zero Trust parte dall’assunto che ogni dispositivo può essere di fatto compromesso: ecco perché rende necessario procedere con l’autenticazione utilizzando un dispositivo esterno.
Va poi sicuramente citato il protocollo OAuth o Open Authorization, che garantisce un accesso sicuro ai servizi, integrandosi efficacemente con l’approccio Zero Trust.
I vantaggi dello Zero Trust
Implementare lo Zero Trust porta numerosi vantaggi significativi:
- Riduzione della superficie di attacco: limitando l’accesso solo alle risorse necessarie, si riduce la possibilità di compromissione.
- Maggiore sicurezza dei dati: anche in caso di compromissione di un utente o dispositivo, i dati rimangono protetti grazie ai controlli rigorosi implementati.
- Adattabilità ai moderni ambienti di lavoro: lo Zero Trust si adatta perfettamente alle necessità del lavoro remoto e all’uso diffuso del cloud, garantendo una protezione continua e uniforme.
- Conformità normativa: aiuta le organizzazioni a soddisfare i requisiti di conformità normativa, assicurando la protezione dei dati sensibili.
Zero Trust e Cloud
Con l’avvento del cloud computing, l’approccio Zero Trust ha acquisito ancora maggiore rilevanza. A differenza del passato, quando le aziende mantenevano e gestivano i propri server e infrastrutture internamente, oggi molte imprese preferiscono affidare le proprie risorse a provider cloud come Azure, AWS o Google Cloud. Questo scenario rende la creazione di un perimetro di sicurezza tradizionale decisamente più complesso, poiché le risorse sono accessibili potenzialmente da altri.
È chiaro che in questa situazione, l’adozione dell’approccio Zero Trust è diventato basilare considerato che il controllo che si ha sulle risorse è oggettivamente inferiore rispetto al controllo che si poteva avere quando le risorse si trovavano in casa. In effetti, oggi sono gli stessi cloud provider ad offrire una gamma di strumenti avanzati che supportano l’implementazione efficace dell’approccio Zero Trust, aiutando le aziende a gestire e proteggere le proprie risorse in modo più sicuro e controllato, adottando tutte o alcune delle soluzioni e dei principi di cui abbiamo parlato in questo articolo.
Hai bisogno di aiuto per realizzare la trasformazione digitale della tua impresa? Beliven è la software factory che fornisce soluzioni software su misura, affiancando il cliente nella progettazione e sviluppo di applicazione e altri servizi in ambito digital. Contattaci!