Introdotto per la prima volta da John Kindervag, analista della Forrester Research nel 2010, Zero Trust Security è un modello non convenzionale per la sicurezza IT.
Si tratta di un’architettura ibrida e dinamica, all’interno della quale tutti gli host e le reti sono trattati con zero fiducia.
Bisogna assumere che tali host e reti esterne siano connessi alla rete Internet, quindi a reti non sicure, compromesse. Per cui, ogni utente deve essere sottoposto ad un rigido processo di verifica dell’identità per poter accedere a dati, applicazioni ed infrastrutture aziendali.
Perché le vecchie strategie di sicurezza non bastano più?
Con l’accelerazione della digital transformation aziendale avvenuta negli ultimi anni tutte le imprese, dalle più grandi alle più piccole, si sono adoperate nell’adottare sistemi di sicurezza informatica capaci di contenere minacce sempre più complesse e crescenti di pari passo alla modernizzazione tecnologica.
I nuovi processi aziendali aumentano l’esposizione a rischi e minacce “di nuova generazione”, pertanto le strategie standard non sono più adatte a garantire una protezione efficace. Questo perché tali modelli, della cosiddetta sicurezza perimetrale, si basano sulla fiducia piena a quanto avviene all’interno della rete (il perimetro) e dell’infrastruttura gestita, e sul firewall - letteralmente “muro di fuoco” – che deve impedire uscite e ingressi non autorizzati a qualsiasi tipo di programma.
Ma perché ciò non è più abbastanza?
In primis, perché utenti, dispositivi e dati non si trovano più solamente all’interno del perimetro aziendale. Inoltre, gli attackers moderni possono compiere attacchi laterali, entrando nel perimetro tramite host e device compromessi.
Ed è qui che si esplica il punto di forza della Zero Trust Security che, invece, può agire proprio su queste minacce non visibili, localizzate non solo nei data center ma anche in punti d’infiltrazione presenti in tutto l’ambiente informatico. Qualsiasi azione, comunicazione, o richiesta di accesso alle infrastrutture deve essere debitamente verificata ed autorizzata, rispettando a pieno il concetto di “never trust, always verify”.
Fondamenti della Zero Trust Security e perché è una strategia vincente
La Zero Trust Security si basa fondamentalmente sulla micro-segmentazione di tipo granulare e sul privilegio minimo. I principi della ZTS sono dunque i seguenti:
Verifica esplicita e continua: le reti sono tutte potenzialmente ostili, non esiste un perimetro o un dispositivo sicuro. Di conseguenza, ogni dispositivo, utente o rete deve essere autenticato ed autorizzato.
Least Priviledge Access: ogni accesso alle risorse deve prevedere il minimo dei privilegi sufficienti e necessari per permettere alle persone di svolgere il proprio lavoro in modo sicuro.
Assume Breach: comportati, ragiona ed agisci sempre assumendo che ci sia stata una violazione, applicando i principi precedenti.
Non solo eventuali attackers non potranno utilizzare connessioni non approvate e spostarsi lateralmente da un’applicazione o da un sistema compromesso, ma eventuali danni saranno limitati alla più piccola superficie esistente. L’approccio olistico del modello Zero Trust Security aiuta dunque a garantire la sicurezza della rete anche di fronte alle sfide moderne poste dalla mobilità, dall’IoT allo smart working.
Opmerkingen