Zero Trust è un termine che vediamo sempre più spesso associato alla sicurezza informatica, in particolare da un paio d’anni a questa parte, da quando cioè il lavoro ibrido e da remoto è diventato estremamente comune. Si tratta di un peculiare approccio alla cybersecurity profondamente diverso rispetto al passato, quando la sicurezza era basata sul presupposto che gli utenti lavorassero esclusivamente – o quasi – all’interno delle sedi aziendali.
Ma vediamo più precisamente di che cosa stiamo parlando: innanzitutto si tratta di un modello che ha un’origine ben precisa, poiché è stato ideato da John Kindervag, analista di Forrester Research nel 2010. Kindervag si era infatti reso conto che i modelli di sicurezza esistenti si basavano su un presupposto ormai diventati obsoleto: cioè che tutti i pacchetti dati presenti all’interno della rete aziendale potessero essere valutati come affidabili, poiché avevano passato l’esame delle barriere perimetrali, a partire dai firewall.
Al contrario, l’approccio Zero Trust alla sicurezza presuppone l’assenza di un perimetro di rete affidabile e dunque, in base a questo assunto, sostiene che ogni transazione di rete debba essere autenticata prima che possa concretizzarsi.
Cerchiamo di spiegare meglio questo concetto: come accennato, gli approcci tradizionali alla sicurezza danno per scontato che tutto quanto si trova all’interno della rete aziendale sia affidabile. La realtà oggi però è diversa, grazie alla mobilità, alla possibilità di utilizzare il proprio dispositivo mobile (BYOD), all’avvento dell’IoT, senza dimenticare l’utilizzo del cloud e la grande diffusione delle piattaforme di collaborazione aperte verso l’esterno. Un modello Zero Trust considera tutte le risorse come esterne e ne verifica continuamente l’attendibilità prima di concedere solo l’accesso richiesto. In altre parole, il modello zero-trust si basa sul principio “non fidarsi mai, verificare sempre” e fa affidamento su alcune particolari metodologie di sicurezza della rete, quali la segmentazione della rete e l’introduzione controlli di accesso rigorosi.
[Martedì 26 settembre c’è stato il primo, esclusivo evento organizzato dal Centro di Eccellenza Cybersecurity & Datacenter di Ingram Micro Italia. Una giornata speciale insieme a Ingram Macro e ai suoi Partner Tecnologici a Bologna, per discutere della visione dei Vendor e del futuro della Zero-Trust Security. Qui sotto il report della giornata.]
Gli obiettivi
Viene quindi completamente ribaltato l’approccio alla sicurezza tradizionale o perimetrale, che si concentra soprattutto sul tenere i potenziali aggressori fuori dalla rete, rendendola però così vulnerabile agli utenti e ai dispositivi che sono riusciti a essere presenti all’interno, che sono di per sé ritenuti degni di fiducia.
Il problema, come abbiamo scritto in precedenza, è che oggi le organizzazioni non possono più contare su un perimetro sicuro, a causa dei cambiamenti nella natura della forza lavoro (sempre più in mobilità), ma anche dalla crescente adozione di applicazioni basate su microservizi, che possono avere componenti praticamente ovunque e della natura sempre più collaborativa dei processi aziendali.
Al contrario Zero Trust parte dal presupposto che la rete sia stata compromessa e chiede perciò continuamente all’utente o al dispositivo connesso di dimostrare di non essere aggressori. In questo senso, nonostante l’utente sia già all’interno del perimetro di rete, l’applicazione del principio Zero Trust richiede una rigorosa verifica dell’identità quando si tenta di accedere a una qualsiasi risorsa. L’obiettivo di questo approccio è quello di impedire a eventuali malintenzionati che hanno avuto accesso alla rete di avere accesso libero a tutte le applicazioni della rete.
Come mettere in piedi un modello Zero Trust
Ma come si fa a mettere concretamente in atto un approccio Zero trust nella propria organizzazione? Quello che si può dire è che non basta acquistare una singola tecnologia o prodotto, anche se sicuramente esistono soluzioni più o meno compatibili con un ambiente e un’architettura zero-trust. Tra questi, l’autenticazione multifattore e l’applicazione dei principi di microsegmentazione e del privilegio minimo. D’altra parte, c’è una buona notizia: il modello ZeroTrust utilizza l’architettura di rete esistente e non richiede upgrade rilevanti. Piuttosto, l’implementazione di questo modello richiedere alle aziende di ripensare il modo con cui proteggono ciascuna risorsa aziendale.
Fondamentale, in questo senso, è innanzitutto mappare i flussi delle transazioni di tutti i dati sensibili per scoprire come si spostano tra persone, applicazioni e connessioni esterne verso partner commerciali e clienti. I dati che richiedono protezione possono quindi essere segmentati in microperimetri, che possono essere collegati tra loro per creare una rete zero-trust più ampia. Ma l’applicazione del modello Zero trust passa anche dall’adozione di precise politiche di governance IT: tra queste vale il principio fornire agli utenti la minor quantità di accesso di cui hanno bisogno per svolgere le proprie attività specifiche.
I benefici del modello Zero Trust
I benefici del modello Zero trust sono evidenti: la pandemia ha provocato un enorme aumento del numero di utenti che accedono ai sistemi aziendali da remoto. Un cambiamento che, purtroppo, è perfettamente noto anche ai cybercriminali, che cercano di sfruttare la situazione per attaccare i dispositivi collegati da remoto e, da lì, alle reti aziendali. Dunque, la logica del Zero Trust può consentire di limitare efficacemente le conseguenze negative per la cybersecurity correlate alla predominanza dello Smart working.
Non mancano, naturalmente delle complessità: l’applicazione rigorosa del modello Zero trust, con le sue limitazioni dell’accesso, potrebbe complicare il lavoro a quei dipendenti e collaboratori che avevano magari soltanto un accesso occasionale alle applicazioni. In questo senso, oltre all’implementazione tecnologica, la formazione su dipendenti e utenti può svolgere un ruolo fondamentale per meglio godere dei vantaggi dello Zero Trust.
[Martedì 26 settembre c’è stato il primo, esclusivo evento organizzato dal Centro di Eccellenza Cybersecurity & Datacenter di Ingram Micro Italia. Una giornata speciale insieme a Ingram Macro e ai suoi Partner Tecnologici a Bologna, per discutere della visione dei Vendor e del futuro della Zero-Trust Security. Qui sotto il report della giornata.]
