Getting Maximum Protection through Zero Trust Callout

Massima protezione tramite il modello zero trust

Intervista con John Summers, CTO, sicurezza web e performance, Akamai Technologies

Come descrivereste un approccio zero trust?

L'approccio zero trust sta nel far sparire la differenza tra interno ed esterno. I data center e le reti delle organizzazioni un tempo erano racchiusi all'interno di una zona di controllo. Si fidavano di ciò che era all'interno ed erano cauti quando si trattava di cose provenienti dall'esterno. La sicurezza era focalizzata sull'ostacolare gli accessi non autorizzati e garantire l'accesso alle persone autorizzate, con l'aiuto di un controllo degli accessi molto buono relativamente all'attraversamento del perimetro.

Ma guardate cosa sta succedendo oggi nelle nostre aziende. Il perimetro sta scomparendo. L'infrastruttura, le applicazioni, i dati e gli utenti si disperdono sempre di più. Spesso non ci sono perimetri tra gli utenti mobili e le app aziendali nel cloud, e le interazioni si svolgono su reti non controllate dall'azienda. Perciò, dobbiamo adattare il nostro modo di pensare a questo nuovo paradigma e realizzare la sicurezza in nuovi modi.

Tanto per cominciare, non possiamo fidarci di una comunicazione solo sapendo da dove viene. Perciò, che provenga dall'interno o dall'esterno della rete, prima di essere stabilita, la comunicazione deve essere verificata attraverso lo stesso livello di controlli di autenticazione e autorizzazione. Trattare tutto come inaffidabile rappresenta semplicemente un valido modo per avere a che fare con lo stato di transizione in cui si trovano le organizzazioni, ossia una situazione nella quale un'applicazione nel data center in questo mese si troverà ad essere nel cloud il prossimo. E l'utente che rientra oggi nella vostra zona di controllo domani lavorerà da un altro posto.

Fidarsi di nulla, verificare tutto, mantenere controlli regolari: è questa l'essenza del modello zero trust.

Diteci di più su cosa spinge l'azienda verso un modello zero trust.

Lo scopo della cyber sicurezza è quello di agevolare un'azienda a lavorare e a compiere innovazioni in modo efficace e sicuro, proteggendo le sue risorse digitali e chi le usa. Oggi queste risorse sono distribuite e più in movimento che mai.

L'infrastruttura alla quale ci affidiamo ora comprende Internet e il cloud e, poiché è più definita dal software, la sua posizione fisica diventa più flessibile. L'infrastruttura di rete collega le aziende ai clienti, ai dipendenti con dispositivi mobili e a terze parti: queste interazioni attraversano necessariamente il perimetro tradizionale.

Le applicazioni rappresentano le attività aziendali che creano valore. Persino quelle mission-critical si stanno spostando dal data center al cloud, con tutti i dati al seguito. Le transazioni devono essere protette, così come i dati e l'attività aziendale deve essere controllata per scopi di conformità normativa: proprio come quando queste risorse erano all'interno del data center.

E gli utenti sono dovunque. L'azienda deve collegarsi con i clienti sui loro dispositivi e secondo le modalità da loro dettate, qualunque esse siano. I dipendenti con dispositivi mobili o in remoto passano meno tempo nella tradizionale zona di controllo. E i partner aziendali, i fornitori, i distributori e i collaboratori sono altamente distribuiti.

Sommate tutto questo. L'infrastruttura, le applicazioni, i dati e gli utenti possono essere dovunque. Ciò ha aumentato drasticamente il livello di esposizione: le dimensioni della superficie di attacco che le aziende devono proteggere. Ha aumentato drasticamente anche la complessità della gestione della rete e della sicurezza.

Non possiamo trattenere queste risorse e crescere nell'era del business digitale. Perciò, dobbiamo proteggerle non con un perimetro, ma più individualmente, ovunque esse siano. Ciò richiede un'elevata visibilità e un modello zero trust.

Cosa comporta la transizione a un modello zero trust?

È necessaria un'architettura di sicurezza diversa. La policy e i controlli di sicurezza devono essere applicati dove meglio funzionano, ossia per la protezione delle risorse digitali. Pensate al modo giusto per proteggere una comunicazione da un endpoint nel cloud a un altro. Vi piacerebbe tanto poter trovare il percorso di comunicazione più rapido tra questi due punti e poi implementare i controlli di sicurezza appropriati nel bel mezzo del percorso. Non vengono stabilite comunicazioni a meno che entrambe le parti non abbiano soddisfatto una severa autenticazione; inoltre, non si muove nessun dato se prima non è stato adeguatamente crittografato. Questo è ciò che dobbiamo fare.

È necessario anche un diverso approccio alla sicurezza. La maggior parte dei professionisti della sicurezza ha vissuto nel mondo di una gestione di rete che aveva come strumenti del mestiere router, firewall e pacchetti di rete. È naturale continuare a tentare di crittografare la sicurezza prima al livello di rete con tecniche come la microsegmentazione. Ma questa è la strada più difficile. Dobbiamo abbandonare le abitudini e spostarci al livello delle applicazioni. L'obiettivo è proteggere le interazioni con le applicazioni, a prescindere dalla rete sulla quale avvengono, in quanto circolano su reti sulle quali l'azienda non ha controllo. Il livello dell'applicazione è quello nel quale è meglio realizzare e applicare le policy e il controllo della sicurezza definiti dall'azienda. In questo livello, i controlli di sicurezza possono essere trasferiti alle risorse, ovunque si trovino.

Cosa significa per l'azienda il modello zero trust?

Il modello zero trust crea una visibilità mai vista su ciò che succede con le risorse digitali e gli utenti, non solo all'interno della rete. Ciò favorisce una sicurezza più completa in un ambiente aziendale altamente dispersivo. I controlli di sicurezza standard possono essere creati all'interno delle applicazioni e delle relative interfacce, il che rende più rapidi lo sviluppo e l'implementazione di nuove capacità aziendali. Perciò, il modello zero trust, in definitiva, consente all'azienda di essere più agile, di procedere più velocemente e con più sicurezza in tutte le sue iniziative digitali.

Il modello zero trust riduce anche la complessità e semplifica la gestione della rete. Se i professionisti nel campo della rete non devono preoccuparsi di adottare controlli e policy di sicurezza a livello di procedure aziendali nella rete, possono concentrarsi di più sulle performance e sull'affidabilità della rete, offrendo agli utenti experience digitali.

È possibile soddisfare i controlli di sicurezza in termini commerciali: Chi è l'utente, quanto mi posso fidare di lui, quale applicazione sta tentando di utilizzare, qual è il rischio aziendale derivante dall'uso dell'applicazione data da parte sua e quali sono le policy e i controlli da implementare nel percorso di comunicazione? Le decisioni relative a queste policy e controlli sono chiaramente una responsabilità dei proprietari dell'applicazione, perché è quella la sede idonea. Ciò semplifica le vide dei CISO e dei professionisti nel campo delle reti.

Per gli utenti, il modello zero trust riduce i problemi e migliora l'experience. Possiamo rafforzare l'autenticazione tramite mezzi diversi dalle password. E il livello di autenticazione può variare in base a ciò che l'utente fa: accesso senza problemi per attività semplici; autenticazione più severa per l'accesso a dati sensibili. Ricerca nella directory aziendale: avanti tutta. Informazioni finanziarie dell'azienda: una storia del tutto diversa.

Infine, la maggiore visibilità della quale stiamo parlando è buona non solo per la protezione delle risorse. Offre anche visibilità sull'azienda. Fornisce una comprensione più granulare delle attività e della transazioni aziendali che avvengono online. Potete analizzare queste informazioni, ottenere altri dati sul comportamento effettivo dei vostri processi e clienti e trovare opportunità di miglioramento ben oltre la sfera della sicurezza.

Come e da dove devono iniziare le organizzazioni?

Alcuni dei migliori casi d'uso sono quelli in cui c'è necessità di configurare nuovamente le reti in grande stile. Ad esempio, una catena di negozi doveva lanciare nuove capacità aziendali in oltre 10.000 luoghi. L'obiettivo aziendale era quello di offrire un'analisi migliore al fine di ridurre i costi e aumentare i profitti in luoghi singoli e nell'insieme. Tentare di creare un collegamento tra le reti dei negozi tramite VPN, applicando controlli di sicurezza con una microsegmentazione era troppo complicato e non c'erano le caratteristiche di scalabilità giuste.

L'alternativa di gran lunga migliore è stata quella di servirsi di un approccio zero trust che si basasse sul cloud e su controlli a livello di applicazione. Anziché unire tra loro una serie di reti, si è deciso di implementare un accesso basato sugli attributi, con un'autenticazione multifattore, basata sui ruoli del personale all'interno dell'organizzazione. Tutta l'infrastruttura di controllo degli accessi è virtualizzata. I trasferimenti di dati avvengono essenzialmente tra coppie di connessioni nel cloud e non ci sono esposizioni a Internet per i sistemi di back-end dell'azienda.

Ciò ha velocizzato l'implementazione, riducendo al minimo le modifiche apportate alla rete. Dopo aver acquisito questa esperienza e questo successo, l'azienda sta applicando l'architettura zero trust a una serie di iniziative aziendali.

Un altro caso d'uso valido è quello della fusione o acquisizione, laddove le sinergie e il successo finanziario dipendono dalla capacità di fondere rapidamente la tecnologia e le applicazioni alle operazioni aziendali. Alcune organizzazioni devono fare questa cosa ripetutamente, come nel caso in cui un grande istituto di servizi finanziari acquisisce una serie di banche regionali o locali. L'approccio tradizionale (collegare tra loro le reti, mettere i firewall davanti ai firewall e tentare di identificare tutte le nuove risorse sulle vecchie reti, nonché i relativi controlli di sicurezza) è complesso, dispendioso in termini di tempo e soggetto a errori.

Al contrario, un'architettura zero trust può sovrapporre accessibilità e controlli. Mantenete attivi i sistemi di acquisizione. Offrire ai dipendenti un accesso adeguato alle applicazioni e ai dati dell'azienda madre e viceversa. Per prima cosa, stabilite dei collegamenti tra i perimetri e le applicazioni, in modo tale che le aziende possano coordinare rapidamente le operazioni. Poi, nel tempo, unite la topologia effettiva delle reti di base nella misura necessaria.

Analogamente, dopo una cessione completa o parziale, l'accesso alle risorse può essere separato in modo sicuro oppure condiviso selettivamente. Nel settore di comunicazione e intrattenimento, quando vendono svendute risorse specifiche, si verificano casi complessi. Diciamo pure che si tratta di un'operazione di produzione di contenuti disseminata in più strutture. Metà del personale inizierà a lavorare per la nuova azienda, mentre l'altra metà resterà con la vecchia. Tra le app che necessitano di accesso, alcune andranno alla nuova azienda, altre resteranno dove sono e alcune potrebbero restare al centro di questo quadro, e quindi essere condivise. In un tale scenario, come è possibile rinnovare tutti i cablaggi? Sarebbe molto costoso e non funzionerebbe mai bene.

La soluzione è lasciare l'infrastruttura fisica dov'è e sovrapporre ad essa una segmentazione virtuale di popolazioni di utenti, con un accesso esclusivo o condiviso alle applicazioni e controlli di sicurezza completi. Ciò può proteggere la produttività del personale e offrire molto rapidamente all'azienda un time-to-value.

Questi tre esempi sono latori di un messaggio sottinteso molto importante: il modello zero trust può essere adottato gradualmente con insiemi di applicazioni. Non è una ristrutturazione all'ingrosso dell'architettura e dell'infrastruttura. Può integrare e, col tempo, sostituire i meccanismi di sicurezza esistenti, offrendo valore. E accertatevi di iniziare con un caso d'uso che non solo dimostra la veridicità di questo concetto, ma offre anche un valore significativo all'azienda.

Cosa vi entusiasma di più nel modello zero trust?

Noi di Akamai siamo entusiasti, perché sappiamo come funziona e nessun altro ha l'esperienza che abbiamo noi in materia. Immaginate per un momento di dover implementare una piattaforma aziendale comprendente migliaia di server in tutto il mondo, il tutto incorporato direttamente nella struttura di Internet. Questi server devono tutti comunicare e interagire tra loro. E supponiamo anche che abbiate pensato a questa cosa già 20 anni fa. Questa è proprio la storia di Akamai.

Mentre realizzavamo la nostra rete per la distribuzione dei contenuti altamente distribuita e basata su Internet (garantendo performance elevate ai suoi clienti) abbiamo presupposto di non fidarci di nessuna trasmissione.

Perciò, abbiamo creato un'autenticazione avanzata a ogni endpoint. Non si tratta solo di conoscere l'indirizzo IP: c'è uno scambio e una convalida dei certificati digitali prima che avvenga una qualsiasi comunicazione. E nessuno utente può accedere alla piattaforma senza prima aver superato un proxy per il controllo degli accessi. Quindi, logicamente c'è un punto di applicazione centrale delle policy basato sugli attributi: chi sei, da dove arrivi, che ruolo hai nella tua azienda e persino che ora è, perché se si tratta di una fascia oraria non lavorativa, non dovresti proprio ritrovarti ad accedere.

La piattaforma Akamai oggi ha oltre 240.000 server in più di 130 paesi. Lavoriamo sull'edge di Internet, laddove la nozione di perimetro è obsoleta. Gestiamo un'ampia quantità di traffico Internet, il che ci fornisce una straordinaria visibilità sulla sicurezza relativa a Internet e all'infrastruttura dei nostri clienti. Questa visibilità ininterrotta continua a motivare la nostra prospettiva e le nostre innovazioni in materia di cyber sicurezza.

Nessuno l'aveva chiamato "zero trust" 20 anni fa, ma è comunque lo stesso approccio che abbiamo adottato sin dal primo giorno. Non avevamo molta scelta, volendo fare le cose nel modo giusto. Perciò, è per questo che tra le nostre passioni rientrano il modello zero trust e l'aiutare i nostri clienti a fare un salto di qualità in fatto di sicurezza, per rendere questo tipo di approccio un fattore determinante per l'azienda digitale.

Related CIO Content