Come implementare la fiducia zero

Zero Trust è un termine sempre più comune che si sente nel settore della sicurezza. Si tratta sia di una mentalità per pensare alla sicurezza, sia di una soluzione ben architettata che aiuta a ridurre al minimo i rischi derivanti da un ambiente di lavoro in continua evoluzione e da un mondo sempre più ostile.

Zero Trust è un approccio e un modello attivo che integra analisi e verifica della fiducia continue e sensibili al contesto, nel tentativo di garantire che gli utenti e il dispositivo su una rete non stiano facendo nulla di dannoso.

 

Get the Miercom Zero Trust Platform Assessment 2024 Ottenere il Rapporto Forrester Zero Trust Wave

Come funziona zero-trust

L’idea di base alla base dello zero trust è il presupposto che tutti i dispositivi e gli utenti non siano affidabili fino a prova contraria. Anche dopo che un utente o un’entità si è dimostrata affidabile una volta, i modelli Zero Trust non si fidano per impostazione predefinita dello stesso utente o dispositivo la prossima volta che vengono visti dal sistema. La fiducia nel modello zero-trust non è mai data per scontata, ma si basa sull'osservazione e sull'autenticazione regolare per limitare i rischi.

 

Il concetto di zero-trust spesso viene associato a quello di SDP (Software-Defined Perimeter), un'iniziativa che, in origine, è stata sviluppata sotto gli auspici della Cloud Security Alliance (CSA).

 

Nel modello SDP generale esiste un controllore che definisce le politiche secondo le quali gli agenti possono connettersi e ottenere l'accesso a diverse risorse. Il componente gateway aiuta a reindirizzare il traffico verso il data center o le risorse cloud giusti. Dispositivi e servizi fanno uso di un agente SDP che connette e richiede al controllore l'accesso alle risorse. Per convalidare il livello di sicurezza, lungo il percorso vengono effettuati controlli di integrità dei dispositivi e profilazione degli utenti, anche attraverso l'utilizzo di dati sul comportamento e meccanismi di autenticazione a più fattori.

 

Il modello Zero Trust afferma che in ogni fase di una connessione agente o host, dovrebbe esserci un limite di sicurezza che convalida che una richiesta sia autenticata e autorizzata a procedere. Piuttosto che fare affidamento su un'attendibilità implicita dopo che sono stati forniti il nome utente e la password corretti o il token di accesso, con zero trust per definizione tutto è non attendibile e deve essere controllato prima di fornire l'accesso.

Sfide deploymentZero Trust

Zero-trust è un'ottima idea per aiutare le organizzazioni a ridurre la superficie di attacco e a limitare i rischi, ma presenta diverse complessità e sfide di implementazione.

  • Requisiti del dispositivo

Una sfida fondamentale di alcune implementazioni zero-trust SDP è che si basano su approcci di implementazione on-premise che richiedono certificati dei dispositivi e assistenza per il protocollo 802.1x per il Network Access Control (NAC) basato sulle porte.

  • SUPPORTO CLOUD

Abilitare il supporto completo ed end-to-end su più cloud pubblici e implementazioni on-premise spesso si rivela un'attività lunga e tediosa.

  • Fiducia

Anche se può sembrare un paradosso, spesso è necessario che le organizzazioni si fidino di una soluzione zero-trust in quanto esistono requisiti di terminazione della crittografia dei dati.

  • Non solo un altro strumento di sicurezza

In genere, un'organizzazione ha già predisposto diversi strumenti di sicurezza come VPN e firewall. Per un provider di soluzioni zero-trust, avventurarsi in un campo minato simile spesso è una sfida chiave.

  • Sfide deployment

L'implementazione di una soluzione Zero Trust dipende spesso dalla facilità di configurazione

Considerazioni sull'implementazione di zero-trust

I modelli zero-trust funzionano come sovrapposizioni sulla rete esistente e sulle topologie delle applicazioni. Pertanto, disporre di un piano dati agile in grado di gestire una rete distribuita è una considerazione fondamentale.

 

La quantità di impegno necessaria per installare i certificati e i file binari del dispositivo sul sistema di un utente finale è spesso aggravata da varie sfide, tra cui richieste di tempo e risorse. L'utilizzo di una soluzione senza agenti è una considerazione fondamentale, in quanto può fare la differenza tra avere una soluzione e avere una soluzione che può essere effettivamente implementata rapidamente in un ambiente di produzione.

 

Prendi in considerazione gli strumenti Zero Trust con un modello di sicurezza basato su host. Nel mondo moderno, molte applicazioni vengono fornite sul Web e l'adozione di un approccio basato su host è in linea con tale modello. In un modello basato su host per Zero Trust, il sistema ha convalidato che un determinato sistema dell'utente finale sia correttamente autorizzato a ricevere un token di accesso per una risorsa specifica.

 

È importante anche comprendere come funziona la crittografia nel modello Zero Trust . Un'opzione è applicare la crittografia end-to-end in deployment Zero Trust.

Come implementare Zero Trust nel cloud

Il metodo SDP di base è ben definito per implementare modelli zero-trust on-premise. Ma quando si parla di cloud, le cose si fanno più complesse. I vari provider di cloud hanno sistemi diversi, il che aggiunge una potenziale complessità a qualsiasi tipo di implementazione.

 

Ad aggravare la complessità c’è la tendenza crescente verso implementazioni multi-cloud. Quindi, oltre alle sfide dell'implementazione su un unico provider di cloud pubblico, si presenta la complessità di un modello zero-trust sia implementabile che applicabile su più provider di cloud pubblico.

 

Uno dei modi per implementare zero-trust in un'implementazione multi-cloud è sfruttare la piattaforma open-source di orchestrazione dei contenitori Kubernetes. Kubernetes è supportato su tutti i principali provider di cloud pubblico, tra cui Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP). Con Kubernetes è disponibile un piano di controllo per la gestione dei nodi distribuiti delle applicazioni eseguite in contenitori docker.

 

Usare un contenitore docker come metodo per creare un pacchetto e distribuire un'applicazione per abilitare lo zero-trust è un approccio che riduce ulteriormente la complessità. Invece di utilizzare diversi binari di applicazione per diversi sistemi, utilizzando un approccio nativo per il cloud con un sistema basato su Kubernetes è possibile astrarre la complessità del mondo multi-cloud.

 

Inoltre, il cloud non è un costrutto uniforme, nel senso che tutti i provider di cloud pubblico hanno più regioni geografiche e zone del mondo. Lo scopo delle diverse implementazioni è far sì che le risorse siano disponibili il più vicino possibile all'utente finale. Quando si implementa un modello zero-trust sul cloud, è importante scegliere una soluzione con più punti di presenza in tutto il mondo, per garantire che la latenza di rete sia la minore possibile.

Perché vale la pena deployment Zero Trust

Le risorse IT sono sempre limitate e poche organizzazioni, se non addirittura nessuna, hanno il budget necessario per fare tutto ciò che è necessario. L'aggiunta di un ulteriore livello di sicurezza con Zero-Trust a volte può essere vista come un'ulteriore complessità che richiede altro tempo e risorse dalle rare e preziose risorse del reparto IT.

 

Se adeguatamente implementato, però, Zero-Trust ha il potenziale di ridurre il carico sul già oberato staff IT.

 

In un ambiente di rete non basato su zero-trust, il nome utente e la password sono spesso i principali guardiani dell'accesso, insieme alla tecnologia di gestione dell'identità e dell'accesso basata su directory di base (Active Directory o altro). Anche il firewall e il sistema di protezione dalle intrusioni (IPS) vengono comunemente utilizzati per migliorare la sicurezza.

 

Tuttavia, ciò che nessuno di questi sistemi fa in realtà è convalidare continuamente lo stato di una determinata richiesta di accesso. Se e quando qualcosa va storto, se una credenziale viene persa o rubata, il personale IT richiede tempo e sforzi aggiuntivi per individuare la causa principale e quindi porvi rimedio.

 

In un ambiente zero-trust correttamente configurato e distribuito, tutti gli accessi vengono convalidati. Ciò significa che, invece di dover capire che una credenziale è stata oggetto di un abuso e un sistema è stato violato, il personale IT inizia sempre con il presupposto di zero accesso. Solo attraverso la convalida viene concesso l'accesso. Zero Trust significa una superficie di attacco ridotta che in genere si traduce in una riduzione del rischio.

 

Significa anche meno ore trascorse dall'IT a chiedersi se un account è stato violato e a scavare nei log per capire cosa è successo. Con Zero Trust, l’accesso semplicemente non viene mai concesso a una macchina compromessa e il potenziale movimento laterale di un avversario attraverso una rete è limitato.

Elenco di controllo deployment di Zero Trust

Quando si considera come implementare una soluzione Zero-Trust, è importante tenere a mente queste semplici domande.

  • Facilità di deployment: quanto velocemente puoi rendere operativo un sistema? Il provider ti costringe a modificare il tuo ambiente per adattarlo alla sua soluzione? (ad esempio, aprendo le porte nel firewall)
  • Supporto multi-cloud: la soluzione Zero Trust consente facilmente il supporto tra più provider di cloud pubblici? È possibile proteggere in modo efficace i carichi di lavoro su più cloud?
  • crittografia: in che modo la soluzione Zero Trust gestisce la crittografia e mantiene i dati al sicuro? Dove sono archiviate le chiavi di crittografia e puoi portare le tue chiavi?
  • scalabilità: quanto è scalabile l'architettura Zero Trust? Soddisfa le esigenze dei tuoi carichi di lavoro?
  • Sicurezza: Quali misure di sicurezza vengono applicate dal fornitore della soluzione? Mantiene un ciclo di sicurezza semplificato? Può fornire livelli di sicurezza aggiuntivi come la protezione DDoS a livello di accesso dell'applicazione o richiede l'uso di meccanismi di terze parti?
  • Visibilità: La soluzione è in grado di fornire un'ispezione del traffico sotto il cofano per contenuti, DLP e comportamenti dannosi/anomali?
  • Servizio e supporto: Il fornitore di soluzioni Zero Trust sarà disponibile per aiutare a risolvere eventuali problemi?
  • Valore: La soluzione fornisce un valore aggiunto? Scopri come e dove la soluzione Zero Trust offre valore, funzionalità e riduzione dei rischi al di là di ciò che gli strumenti di sicurezza esistenti già forniscono.

Per iniziare

CloudGuard Connect

Sicurezza SD-WAN

Sicurezza SASE

Argomenti correlati

Cos'è SASE

Vantaggi di SD-WAN

Cos'è Zero Trust?

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK