Nel 2010 John Kindervag, analista di Forrester Research, ha proposto una soluzione denominata "Zero Trust", 

che ha determinato un cambio di strategia da "Fidarsi, ma verificare sempre" a "Verificare sempre, senza fidarsi". Con il modello Zero Trust, nessun utente o dispositivo è considerato affidabile per accedere a una risorsa fino a quando non ne vengono verificate l'identità e l'autorizzazione. Questo processo si applica a tutti coloro che normalmente si trovano all'interno di una rete privata, come un dipendente che lavora in modalità remota da casa con un computer aziendale o utilizza il proprio dispositivo mobile durante una conferenza in qualsiasi parte del mondo. Si applica anche a tutte le persone e ai dispositivi esterni alla rete. Non importa se l'utente ha già effettuato l'accesso alla rete una o più volte, perché l'identità non viene considerata attendibile se non viene verificata continuamente. In pratica, tutti gli utenti, i sistemi e i server devono essere considerati non attendibili fino a prova contraria.

Un tempo era possibile adottare un approccio alla sicurezza in cui l'azienda veniva vista come un castello da difendere con mura e fossati, utilizzando il perimetro della rete per distinguere i buoni (all'interno) dai cattivi (all'esterno). Ma, così come castelli e fossati appartengono al passato, anche questo tipo di approccio alla sicurezza è ormai ampiamente superato. Basta pensare alle attuali modalità di lavoro remoto. Oggi la forza lavoro e il posto di lavoro sono cambiati: il luogo, l'orario e il modo in cui le persone lavorano vanno ben oltre le quattro mura dell'ufficio. Con la diffusione del cloud, il classico perimetro di rete non esiste più. Molto spesso gli utenti e le applicazioni si trovano al di là del fossato, e non al suo interno. Questo approccio introduce varie vulnerabilità di sicurezza, che potrebbero essere sfruttate da utenti malintenzionati. Una volta entrati nel fossato, questi utenti sono liberi di muoversi, accedere alle risorse e agli asset di alto valore, come i dati dei clienti (o i gioielli della corona), oppure sferrare un attacco ransomware.

Il modello Zero Trust può essere paragonato a un dispositivo di sorveglianza estremamente attento, che controlla sistematicamente le credenziali dell'utente prima di consentire l'accesso agli uffici in cui lavora, anche se lo riconosce, e ripete il processo per verificare continuamente la sua identità. 

Il modello Zero Trust si basa su metodi di autenticazione e autorizzazione efficaci per ogni dispositivo e persona, prima di consentire l'accesso o il trasferimento dei dati su una rete privata, indipendentemente dal fatto che si trovino all'interno o all'esterno del perimetro di rete. Il processo esegue anche operazioni di analisi, filtraggio e registrazione per verificare il comportamento e ricercare continuativamente eventuali sintomi di compromissione. Se un utente o un dispositivo sembra cambiare modalità operative, viene contrassegnato e monitorato come potenziale minaccia. Ad esempio, l'utente Marcus di Acme Co. in genere si connette da Columbus, in Ohio (Stati Uniti), ma oggi tenta di accedere alla Intranet di Acme da Berlino, in Germania. Anche se il nome utente e la password di Marcus sono stati inseriti correttamente, un approccio Zero Trust riterrebbe anomalo il suo comportamento e adotterebbe le misure appropriate, come la presentazione di una nuova richiesta di autenticazione per verificarne l'identità. 

Questo cambiamento radicale permette di difendersi dalle minacce più comuni alla sicurezza. I malintenzionati non possono più sfruttare i punti deboli del perimetro per accedere a dati e applicazioni sensibili, solo perché sono riusciti a superare il fossato. Ora non esiste più alcun fossato. Esistono solo utenti e applicazioni, ciascuno dei quali deve autenticarsi reciprocamente e verificare l'autorizzazione prima di poter effettuare l'accesso. Si parla di autenticazione reciproca quando due parti si autenticano contemporaneamente, ad esempio l'utente immette un nome di accesso e una password, mentre l'applicazione a cui si connette presenta un certificato digitale.

Oggi il modello di sicurezza Zero Trust si è esteso. Esistono molte implementazioni dei suoi principi, come Zero Trust Architecture (ZTA), Zero Trust Network Access (ZTNA) e Zero Trust Edge (ZTE). La sicurezza Zero Trust viene talvolta denominata "protezione senza perimetro".

Il modello Zero Trust non deve essere visto come una singola tecnologia discreta. Un'architettura Zero Trust utilizza infatti una serie di tecnologie e principi diversi per affrontare i problemi di sicurezza più comuni adottando varie tecniche di prevenzione. Questi componenti sono progettati per fornire una protezione avanzata dalle minacce, a mano a mano che i confini tra casa e lavoro si dissolvono e si afferma una nuova normalità incentrata su una forza lavoro remota sempre più distribuita.

• Controllo dei flussi di rete tra tutte le risorse
• Verifica dell'identità e concessione dell'accesso al cloud
• Autenticazione e autorizzazione, inclusa l'autenticazione multifattore (MFA, Multi-Factor Authentication)
• Confronto tra l'accesso alle applicazioni e l'accesso all'intera rete
• Accessi utente basati sul principio del privilegio minimo a tutte le applicazioni (IaaS, SaaS e in sede)
• Eliminazione delle VPN
• Inserimento dei servizi
• Sicurezza sull'edge
• Miglioramento delle performance delle applicazioni
• Protezione migliorata contro minacce avanzate

Un'architettura Zero Trust è completamente trasparente agli utenti, protegge dagli attacchi informatici e semplifica i requisiti dell'infrastruttura. I diversi componenti di un'architettura Zero Trust consentono di:

Il reparto IT deve garantire a utenti e dispositivi una connessione Internet sicura, a prescindere alla posizione da cui si connettono, senza la complessità tipica degli approcci legacy. Deve anche di identificare, bloccare e mitigare in modo proattivo minacce mirate come malware, ransomware, phishing, esfiltrazione di dati DNS e avanzati attacchi zero-day contro gli utenti. Il modello di sicurezza Zero Trust consente di migliorare i livelli di protezione, riducendo al contempo il rischio di malware.

Le tecnologie di accesso tradizionali basate su principi di fiducia antiquati, come le VPN, sono particolarmente vulnerabili alla compromissione delle credenziali utente, come dimostrano i vari episodi di violazione. Il reparto IT deve rivedere il proprio modello di accesso e le tecnologie correlate per garantire la protezione all'azienda, promuovendo al tempo stesso un accesso semplice e rapido a tutti gli utenti (anche di terze parti). La sicurezza Zero Trust può ridurre i rischi e la complessità, fornendo, nel contempo, una user experience coerente.

L'accesso e la sicurezza di un'azienda sono aspetti complessi e in costante evoluzione. Con le tecnologie enterprise tradizionali, l'introduzione di un cambiamento (che in genere coinvolge diversi componenti hardware e software) spesso richiede diversi giorni e l'impegno di risorse preziose. Un modello di sicurezza Zero Trust può ridurre la complessità dell'architettura.

In sintesi, la forza lavoro moderna sta diventando sempre più mobile, pertanto accede alle applicazioni da più dispositivi al di fuori del perimetro aziendale. In passato le aziende adottavano il principio della fiducia basata sulla verifica preliminare, che concedeva a un utente dotato di credenziali corrette l'accesso a tutti i siti, le app o i dispositivi di cui aveva bisogno. Questo approccio ha determinato un aumento del rischio di esposizione, dissolvendo i confini di quella che una volta era un'area sicura sotto il controllo dell'azienda e lasciando molte organizzazioni vulnerabili a violazioni di dati, malware e attacchi ransomware. Ora è necessario garantire la protezione all'interno delle infrastrutture digitali specifiche in cui si trovano le applicazioni, i dati, gli utenti e i dispositivi.

• Gli utenti, i dispositivi, le applicazioni e i dati si stanno spostando al di fuori del perimetro e della zona sotto il controllo dell'azienda, lontano dai data center tradizionali
• I nuovi requisiti aziendali legati alla trasformazione digitale aumentano l'esposizione ai rischi
• Ora che le minacce avanzate e mirate si sono spostate all'interno del perimetro aziendale, non è più sufficiente concedere la fiducia sulla base di una verifica preliminare.
• I perimetri tradizionali sono complessi, aumentano i rischi e non sono compatibili con i modelli di business attuali
• Per essere competitive, le aziende hanno bisogno di un'architettura di rete Zero Trust in grado di proteggere i dati aziendali, ovunque si trovino utenti e dispositivi, garantendo al tempo stesso il funzionamento rapido e senza problemi delle applicazioni.

I servizi Akamai per la sicurezza nel cloud possono essere combinati in modo da creare una soluzione Zero Trust completa, su misura per le vostre esigenze aziendali specifiche. Consentendo l'accesso sicuro alle applicazioni in un mondo cloud-native, le reti aziendali interne diventano un ricordo del passato.

Combinando la nostra avanzata soluzione ZTNA distribuita con la potenza dell'Akamai Intelligent Edge Platform globale, frutto di 20 anni di esperienza, potete passare con naturalezza a un mondo privo di confini, introducendo gradualmente nuove applicazioni, proteggendo il business e promuovendo la crescita.

Akamai MFA evita l'appropriazione degli account dei dipendenti e le violazioni dei dati, garantendo una sicurezza che non teme rivali. La sicurezza viene fornita dalla crittografia end-to-end e da un flusso di verifica/risposta chiuso. Questo metodo rende il processo di autenticazione riservato proteggendolo dagli attacchi di phishing.

Un piano per l'architettura di sicurezza Zero Trust

Guida pratica: La trasformazione verso un modello di sicurezza Zero Trust