Zero trust Cos’è zero trust?
Zero trust è un modello di cybersicurezza recente, progettato per rispondere meglio ai mutevoli requisiti di sicurezza delle organizzazioni moderne. I framework zero trust possono migliorare la sicurezza, limitare i movimenti laterali nella rete e prevenire le violazioni dei dati.
- Zero trust in dettaglio
- Come funziona zero trust?
- Quali sono le differenze tra zero trust e la sicurezza basata sul perimetro?
- Quali sono i tre concetti chiave dell’approccio zero trust?
- Quali sono i vantaggi di zero trust?
- Come iniziare a usare zero trust?
- Quali sono le differenze tra zero trust e SASE?
- In che modo HPE contribuisce all’adozione di un’architettura zero trust?
Zero trust in dettaglio
Zero trust è un modello di sicurezza in cui tutti i dispositivi, utenti o segmenti di rete sono considerati intrinsecamente non attendibili e devono essere quindi gestiti come potenziali minacce.
- Le minacce alla sicurezza possono essere interne o esterne alla rete.
- Ogni dispositivo e persona che accede alle risorse della rete richiede l’autenticazione e l’autorizzazione.
- Per impostazione predefinita, nessuna persona o dispositivo è da considerarsi attendibile.
Come funziona zero trust?
Per migliorare la sicurezza nelle aziende moderne, in cui gli utenti e i dispositivi sono remoti e le minacce aggirano le tradizionali difese perimetrali, è fondamentale disporre di un rigoroso modello di sicurezza che esegua controlli continui. Prima di accedere alla rete, tutti i dispositivi e gli utenti devono essere identificati e autenticati, concedendo il minimo accesso necessario, e quindi costantemente monitorati.
Quali sono le differenze tra zero trust e la sicurezza basata sul perimetro?
A differenza dei tradizionali approcci alla sicurezza perimetrale, le moderne architetture di sicurezza zero trust riconoscono l’attendibilità come una vulnerabilità: presumono che nessun utente o dispositivo, indipendentemente da come o dove si connetta, venga considerato attendibile per impostazione predefinita, perché potrebbe essere compromesso. La conferma e l’autenticazione delle identità e dei dispositivi sono quindi richieste in tutta la rete, in cui ogni componente deve definire la propria attendibilità in modo indipendente ed essere autenticato da tutti quelli con cui interagisce, incluse le misure di sicurezza dei point esistenti.
Quali sono i tre concetti chiave dell’approccio zero trust?
- Visibilità completa: la scoperta attiva e passiva fornisce una visibilità completa di tutti gli utenti e dispositivi sulla rete, il che contribuisce ai controlli.
- Accesso con privilegi minimi: i criteri di controllo degli accessi definiti garantiscono l’accesso solo alle risorse necessarie a un utente o dispositivo per svolgere il proprio lavoro o la propria funzione e le segmentano da quelle non necessarie.
- Monitoraggio e applicazione continui: il monitoraggio continuo degli utenti e dei dispositivi e l’applicazione dinamica delle policy riducono notevolmente i rischi correlati a minacce e malware.
Il networking basato sull’AI security-first di HPE Aruba Networking attiva i principi zero trust intrinsecamente in ogni punto di connessione, per offrire un set completo di funzionalità che includono visibilità, controllo e applicazione in linea con i requisiti di un’infrastruttura di rete decentralizzata e basata sull’IoT.
Quali sono i vantaggi di zero trust?
La protezione della rete è sempre più problematica a causa della mobilità, dell’IoT e degli ambienti di telelavoro. Zero trust consente di aumentare la visibilità, il controllo e l’applicazione delle norme per soddisfare i requisiti di sicurezza di un’infrastruttura di rete decentralizzata basata sull’IoT.
- Limita l’esposizione ai rischi per la sicurezza correlati ai dispositivi IoT vulnerabili.
- Contribuisce a ridurre il rischio di minacce avanzate che aggirino i controlli di sicurezza perimetrale tradizionali.
- Limita i danni legati al movimento laterale degli aggressori e dei dispositivi infetti.
- Adotta un approccio olistico alla sicurezza indipendentemente da chi o cosa si connette e da dove.
- Consente l’applicazione di best practice come la microsegmentazione per supportare l’accesso con privilegi minimi.
Come iniziare a usare zero trust?
Le architetture zero trust si concentrano sull’autenticazione, sull’autorizzazione e sulla gestione dei rischi continua. Ecco come cominciare.
1. Eliminare i punti ciechi della rete individuando e profilando tutti i dispositivi connessi alla rete.
2. Verificare l’identità prima di consentire l’accesso tramite tecniche di autenticazione basate su 802.1X, nonché soluzioni emergenti per i dispositivi IoT.
3. Valutare la configurazione degli endpoint rispetto alle regole di riferimento per la compliance e rimediare se necessario.
4. Stabilire l’accesso con privilegio minimo alle risorse IT segmentando il traffico in base a policy basate sull’identità.
5. Monitorare costantemente lo stato di sicurezza dell’utente e del dispositivo e comunicare in modo bidirezionale con altri elementi dell’ecosistema di sicurezza. Stabilire policy per revocare i diritti di accesso di un utente o di un dispositivo in caso di compromissione o attacco.
Quali sono le differenze tra zero trust e SASE?
Zero trust e SASE (Secure Access Service Edge) sono due approcci che migliorano la sicurezza a fronte di una forza lavoro sempre più remota e dispersa e di superfici di attacco delle organizzazioni particolarmente estese.
SASE definisce i componenti necessari per fornire un accesso ottimizzato e sicuro all’edge. Unisce le funzionalità WAN (wide area network) complete, tra cui SD-WAN, instradamento e ottimizzazione della WAN, con servizi di sicurezza erogati tramite cloud, come SWG, CASB e ZTNA. Una soluzione SASE deve essere in grado di identificare i dati sensibili, oltre a crittografare e decrittografare i contenuti con un monitoraggio continuo dei livelli di rischio e di attendibilità. Questo approccio è particolarmente utile per le organizzazioni con più filiali e sedi remote, l’Internet of Things (IoT), le implementazioni all’edge e le forze lavoro estremamente distribuite.
Il modello e la filosofia zero trust sono stati pensati per ridurre i rischi di sicurezza nell’intera azienda, mettendo fine al concetto di fiducia implicita e imponendo invece un accesso con privilegi minimi che preveda l’autenticazione e l’autorizzazione basate sull’identità e costantemente monitorate. Comprende non solo l’accesso sicuro, ma anche il monitoraggio delle minacce informatiche mirate all’organizzazione, la governance e i requisiti di compliance dei dati, nonché la manutenzione dell’ambiente di rete.
Zero trust e SASE hanno principi sovrapposti. L’implementazione di una soluzione SASE può rappresentare un passo in avanti nel percorso di un’organizzazione verso un’architettura di sicurezza zero trust completa.
In che modo HPE contribuisce all’adozione di un’architettura zero trust?
Project Aurora è l’architettura di sicurezza zero trust edge to cloud di HPE che contribuisce a proteggere i clienti da alcuni degli attacchi malware più sofisticati di oggi. Basandosi sulla silicon root of trust di HPE, Project Aurora misura tutto prima dell’abilitazione o del rilascio per l’esecuzione e ripete continuamente questa misurazione durante il runtime.
Project Aurora non è una soluzione monofunzionale: affronta la sicurezza end-to-end per le implementazioni edge to cloud, con nuove soluzioni di sicurezza integrate e incorporate che iniziano al livello del silicio. Incorpora tecnologie di sicurezza integrate con verifica e conferma automatizzate per stabilire un approccio di protezione assoluta che inizia dal livello fondamentale più basso: il silicio.
Incorporando la sicurezza in una catena di attendibilità sicura dal silicio al carico di lavoro, Project Aurora consente alle organizzazioni di garantire maggiore sicurezza ai sistemi software distribuiti, offrendo più agilità e flessibilità per la commercializzazione di soluzioni differenziate e a costi contenuti.
Project Aurora getterà le basi per fornire più servizi zero trust su HPE GreenLake e altre soluzioni di HPE. Inizialmente, sarà incorporato all’interno di HPE GreenLake Lighthouse per verificare in modo automatico e continuo l’integrità di hardware, firmware, sistemi operativi, piattaforme e carichi di lavoro, inclusi quelli dei fornitori di sicurezza. Questo contribuisce a ridurre la perdita, la crittografia non autorizzata e il danneggiamento di dati aziendali preziosi e della proprietà intellettuale.
In futuro, Project Aurora sarà incorporato in HPE GreenLake Cloud Services per offrire ai clienti una soluzione indipendente dalla piattaforma con cui definire, creare e implementare un’architettura zero trust distribuita dall’edge al cloud.
