Zero trust Cos’è zero trust?
Zero trust è un modello di cybersicurezza recente, progettato per rispondere meglio ai mutevoli requisiti di protezione delle organizzazioni moderne. I framework zero trust possono migliorare la sicurezza, limitare i movimenti laterali nella rete e prevenire le violazioni dei dati.
Indice
Zero trust in dettaglio
La complessità degli attuali cyberattacchi, i vettori di aggressione in continua espansione e le minacce costanti possono spesso paralizzare anche le aziende più agili. La sicurezza zero trust contribuisce alla semplificazione dell’approccio alla protezione, facilitando la gestione dell’ambiente.
In sostanza, il modello di sicurezza zero trust sostituisce la fiducia nell'integrità dei perimetri di rete sicuri (come reti private, firewall e VPN/VPC) con quella dei singoli sistemi software che gestiscono i dati critici.
Hewlett Packard Enterprise ha riconosciuto che, per consentire a clienti e partner di offrire una soluzione di sicurezza zero trust agile e robusta per i sistemi dati più critici, la fiducia deve essere integrata in tutto quello che usano — dai chip che eseguono il software alla rete che collega utenti e dispositivi a dati e applicazioni di cui hanno bisogno.
Come funziona zero trust?
Per migliorare la sicurezza nelle aziende moderne, con utenti e dispositivi da remoto e le minacce aggirano le tradizionali difese perimetrali, è fondamentale avere un modello di sicurezza rigoroso che esegua controlli continui. Prima di accedere alla rete, tutti i dispositivi e gli utenti devono essere identificati e autenticati, concedendo il minimo accesso necessario, e quindi costantemente monitorati.
Quali sono le differenze tra zero trust e la sicurezza basata sul perimetro?
A differenza degli approcci tradizionali alla sicurezza perimetrale, le architetture di sicurezza zero trust moderne riconoscono l’attendibilità come una vulnerabilità. presumono che nessun utente o dispositivo, indipendentemente da come o dove si connetta, venga considerato attendibile per impostazione predefinita, perché potrebbe essere compromesso. La conferma e l’autenticazione delle identità e dei dispositivi sono quindi richieste in tutta la rete, in cui ogni componente deve definire la propria attendibilità in modo indipendente ed essere autenticato da tutti quelli con cui interagisce, incluse le misure di sicurezza dei point esistenti.
Quali sono i principi fondamentali della strategia zero trust?
- Nessuna fiducia implicita: autenticare e autorizzare sempre, in base a tutti i dati contestuali disponibili, come identità dell'utente, posizione, orario, comportamento del dispositivo e applicazione a cui si accede. La fiducia non viene mai presupposta.
- Accesso con privilegi minimi: concedere a utenti e dispositivi solo le autorizzazioni necessarie all’esecuzione delle loro attività specifiche e solo fino a quando il loro comportamento è coerente con il loro ruolo. In questo modo si riduce al minimo il rischio di accessi non autorizzati e di spostamento laterale degli attacchi all'interno della rete.
- Presupporre la violazione: progettare i sistemi partendo dal presupposto che una violazione si sia già verificata o potrebbe verificarsi in qualsiasi momento. Concentrare le funzionalità di sicurezza in base a rilevamento, contenimento e riduzione al minimo dell'impatto.
- Micro-segmentazione: suddividere la rete in zone più piccole e isolate per limitare l'accesso e ridurre la superficie di attacco. Anche se una zona viene compromessa, le altre rimangono sicure.
- Monitoraggio e convalida continui: monitorare il comportamento del dispositivo, il suo stato e i modelli di accesso per rilevare le anomalie e applicare le policy in tempo reale.
- Sicurezza incentrata su dispositivi e identità: collegare la politica di sicurezza all'identità e al ruolo anziché alla posizione (da dove l'utente o il dispositivo si connette, ad esempio all'interno del perimetro di rete). Questo è fondamentale negli ambienti ibridi e cloud e per la forza lavoro da remoto.
Il networking basato sull’AI security-first di HPE Aruba Networking attiva i principi zero trust in modo intrinseco in ogni punto di connessione, per offrire un set completo di funzionalità che includono visibilità, controllo e applicazione in linea con i requisiti di un’infrastruttura di rete decentralizzata e basata sull’IoT.
Quali sono i vantaggi di zero trust?
La protezione della rete è sempre più problematica a causa della mobilità, dell’IoT e degli ambienti di telelavoro. Zero trust consente di aumentare la visibilità, il controllo e l’applicazione delle policy per soddisfare i requisiti di sicurezza di un’infrastruttura di rete decentralizzata basata sull’IoT.
- Limita l’esposizione ai rischi per la sicurezza correlati ai dispositivi IoT vulnerabili.
- Contribuisce a ridurre il rischio di minacce avanzate che aggirino i controlli di sicurezza perimetrale tradizionali.
- Limita i danni legati al movimento laterale degli aggressori e dei dispositivi infetti.
- Adotta un approccio olistico alla sicurezza indipendentemente da chi o cosa si connette e da dove.
- Consente l’applicazione di best practice come la microsegmentazione per supportare l’accesso con privilegi minimi.
Come iniziare a usare zero trust?
Le architetture zero trust si concentrano sull’autenticazione, sull’autorizzazione e sulla gestione dei rischi continua. Ecco come cominciare.
1. Eliminare i punti ciechi della rete individuando e profilando tutti i dispositivi connessi alla rete.
2. Verificare l’identità prima di consentire l’accesso tramite tecniche di autenticazione basate su 802.1X, nonché soluzioni emergenti per i dispositivi IoT.
3. Valutare la configurazione degli endpoint rispetto alle regole di riferimento per la compliance e rimediare se necessario.
4. Stabilire l’accesso con privilegio minimo alle risorse IT segmentando il traffico in base a policy basate sull’identità.
5. Monitorare costantemente lo stato di sicurezza dell’utente e del dispositivo e comunicare in modo bidirezionale con altri elementi dell’ecosistema di sicurezza. Stabilire policy per revocare i diritti di accesso di un utente o di un dispositivo in caso di compromissione o attacco.
Quali sono le differenze tra zero trust e SASE?
Zero trust e Secure Access Service Edge (SASE) sono due approcci che migliorano la sicurezza nel momento in cui la forza lavoro diventa sempre più remota e dispersa e le superfici di attacco delle organizzazioni si espandono.
Il SASE definisce i componenti necessari per fornire un accesso sicuro, ottimizzato all’edge. Unisce le funzionalità WAN (wide area network) complete, tra cui SD-WAN, instradamento e ottimizzazione della WAN, con servizi di sicurezza erogati tramite cloud, come SWG, CASB e ZTNA. Una soluzione SASE deve essere in grado di identificare i dati sensibili, oltre a crittografare e decrittografare i contenuti con un monitoraggio continuo dei livelli di rischio e di attendibilità. Questo approccio è particolarmente utile per le organizzazioni con più filiali e sedi remote e per le forze lavoro estremamente distribuite.
Il modello e la filosofia zero trust sono stati pensati per ridurre i rischi di sicurezza nell’intera azienda, mettendo fine al concetto di fiducia implicita e imponendo invece un accesso con privilegi minimi che preveda l’autenticazione e l’autorizzazione basate sull’identità e costantemente monitorate. Comprende non solo l’accesso sicuro, ma anche il monitoraggio delle minacce informatiche mirate all’organizzazione, la governance e i requisiti di compliance dei dati, nonché la manutenzione dell’ambiente di rete.
Zero trust e SASE hanno principi sovrapposti. L’implementazione di una soluzione SASE può rappresentare un passo in avanti nel percorso di un’organizzazione verso un’architettura di sicurezza zero trust completa.
In che modo HPE può contribuire all’adozione di un'architettura zero trust?
Project Aurora è l'architettura di sicurezza zero trust edge to cloud HPE che contribuisce a proteggere i clienti da alcuni degli attacchi malware più sofisticati di oggi. Basandosi sulla silicon root of trust di HPE, Project Aurora misura tutto prima dell’abilitazione o del rilascio per l’esecuzione e ripete continuamente questa misurazione durante il runtime.
Project Aurora non è una soluzione monofunzionale: affronta la sicurezza end-to-end per le implementazioni edge to cloud, con nuove soluzioni di sicurezza integrate e incorporate che iniziano al livello del silicio. Incorpora tecnologie di sicurezza integrate con verifica e conferma automatizzate per stabilire un approccio di protezione assoluta che inizia dal livello fondamentale più basso: il silicio.
Incorporando la sicurezza in una catena di attendibilità sicura dal silicio al carico di lavoro, Project Aurora consente alle organizzazioni di garantire maggiore sicurezza ai sistemi software distribuiti, offrendo più agilità e flessibilità per la commercializzazione di soluzioni differenziate e a costi contenuti.
Project Aurora getterà le basi per fornire più servizi zero trust su GreenLake e altre soluzioni di HPE. Inizialmente, sarà incorporato all’interno di GreenLake Lighthouse per verificare in modo automatico e continuo l’integrità di hardware, firmware, sistemi operativi, piattaforme e carichi di lavoro, inclusi quelli dei fornitori di sicurezza. Questo contribuisce a ridurre la perdita, la crittografia non autorizzata e il danneggiamento di dati aziendali preziosi e della proprietà intellettuale.
In futuro, Project Aurora sarà incorporato in GreenLake Cloud Services per offrire ai clienti una soluzione indipendente dalla piattaforma con cui definire, creare e implementare un’architettura zero trust distribuita dall’edge al cloud.