Dark background with blue code overlay

Modello di sicurezza Zero Trust - Che cos'è il modello Zero Trust?

Che cos'è il modello Zero Trust?

Zero Trust è un modello di protezione della rete basato su una filosofia ben definita, ossia che l'accesso ai servizi o sistemi IT di un'azienda da parte di persone o dispositivi, interni o esterni alla rete aziendale, deve essere possibile solo previa autenticazione e costante verifica.

Sicurezza e visibilità adattive - Immagine

Che cos'è il modello Zero Trust?

Nel 2010 John Kindervag, analista di Forrester Research, ha proposto una soluzione denominata "Zero Trust", 

che ha determinato un cambio di strategia da "Fidarsi, ma verificare sempre" a "Verificare sempre, senza fidarsi". Con il modello Zero Trust, nessun utente o dispositivo è considerato affidabile per accedere a una risorsa fino a quando non ne vengono verificate l'identità e l'autorizzazione. Questo processo si applica a tutti coloro che normalmente si trovano all'interno di una rete privata, come un dipendente che lavora in modalità remota da casa con un computer aziendale o utilizza il proprio dispositivo mobile durante una conferenza in qualsiasi parte del mondo. Si applica anche a tutte le persone e ai dispositivi esterni alla rete. Non importa se l'utente ha già effettuato l'accesso alla rete una o più volte, perché l'identità non viene considerata attendibile se non viene verificata continuamente. In pratica, tutti gli utenti, i sistemi e i server devono essere considerati non attendibili fino a prova contraria.

Un tempo era possibile adottare un approccio alla sicurezza in cui l'azienda veniva vista come un castello da difendere con mura e fossati, utilizzando il perimetro della rete per distinguere i buoni (all'interno) dai cattivi (all'esterno). Ma, così come castelli e fossati appartengono al passato, anche questo tipo di approccio alla sicurezza è ormai ampiamente superato. Basta pensare alle attuali modalità di lavoro remoto. Oggi la forza lavoro e il posto di lavoro sono cambiati: il luogo, l'orario e il modo in cui le persone lavorano vanno ben oltre le quattro mura dell'ufficio. Con la diffusione del cloud, il classico perimetro di rete non esiste più. Molto spesso gli utenti e le applicazioni si trovano al di là del fossato, e non al suo interno. Questo approccio introduce varie vulnerabilità di sicurezza, che potrebbero essere sfruttate da utenti malintenzionati. Una volta entrati nel fossato, questi utenti sono liberi di muoversi, accedere alle risorse e agli asset di alto valore, come i dati dei clienti (o i gioielli della corona), oppure sferrare un attacco ransomware.

Come funziona il modello Zero Trust

Il modello Zero Trust può essere paragonato a un dispositivo di sorveglianza estremamente attento, che controlla sistematicamente le credenziali dell'utente prima di consentire l'accesso agli uffici in cui lavora, anche se lo riconosce, e ripete il processo per verificare continuamente la sua identità. 

Il modello Zero Trust si basa su metodi di autenticazione e autorizzazione efficaci per ogni dispositivo e persona, prima di consentire l'accesso o il trasferimento dei dati su una rete privata, indipendentemente dal fatto che si trovino all'interno o all'esterno del perimetro di rete. Il processo esegue anche operazioni di analisi, filtraggio e registrazione per verificare il comportamento e ricercare continuativamente eventuali sintomi di compromissione. Se un utente o un dispositivo sembra cambiare modalità operative, viene contrassegnato e monitorato come potenziale minaccia. Ad esempio, l'utente Marcus di Acme Co. in genere si connette da Columbus, in Ohio (Stati Uniti), ma oggi tenta di accedere alla Intranet di Acme da Berlino, in Germania. Anche se il nome utente e la password di Marcus sono stati inseriti correttamente, un approccio Zero Trust riterrebbe anomalo il suo comportamento e adotterebbe le misure appropriate, come la presentazione di una nuova richiesta di autenticazione per verificarne l'identità. 

Questo cambiamento radicale permette di difendersi dalle minacce più comuni alla sicurezza. I malintenzionati non possono più sfruttare i punti deboli del perimetro per accedere a dati e applicazioni sensibili, solo perché sono riusciti a superare il fossato. Ora non esiste più alcun fossato. Esistono solo utenti e applicazioni, ciascuno dei quali deve autenticarsi reciprocamente e verificare l'autorizzazione prima di poter effettuare l'accesso. Si parla di autenticazione reciproca quando due parti si autenticano contemporaneamente, ad esempio l'utente immette un nome di accesso e una password, mentre l'applicazione a cui si connette presenta un certificato digitale.

Modello di sicurezza e visibilità adattivo:

Principi fondamentali alla base al modello di accesso alla rete Zero Trust

Il modello Zero Trust è basato su cinque principi di base:

  • tutti gli utenti connessi alla rete vengono sempre considerati ostili
  • Le minacce esterne e interne sono sempre presenti sulla rete
  • La posizione di rete non è sufficiente per decidere l'affidabilità di una rete
  • Ogni dispositivo, utente e flusso di rete viene autenticato e autorizzato
  • Le policy devono essere dinamiche e calcolate da quante più origini dati possibile

Componenti del modello Zero Trust

Oggi il modello di sicurezza Zero Trust si è esteso. Esistono molte implementazioni dei suoi principi, come Zero Trust Architecture (ZTA), Zero Trust Network Access (ZTNA) e Zero Trust Edge (ZTE). La sicurezza Zero Trust viene talvolta denominata "protezione senza perimetro".

Il modello Zero Trust non deve essere visto come una singola tecnologia discreta. Un'architettura Zero Trust utilizza infatti una serie di tecnologie e principi diversi per affrontare i problemi di sicurezza più comuni adottando varie tecniche di prevenzione. Questi componenti sono progettati per fornire una protezione avanzata dalle minacce, a mano a mano che i confini tra casa e lavoro si dissolvono e si afferma una nuova normalità incentrata su una forza lavoro remota sempre più distribuita.

Funzionalità ZTNA (Zero Trust Network Access):

  • Controllo dei flussi di rete tra tutte le risorse
  • Verifica dell'identità e concessione dell'accesso al cloud
  • Autenticazione e autorizzazione, inclusa l'autenticazione multifattore (MFA, Multi-Factor Authentication)
  • Confronto tra l'accesso alle applicazioni e l'accesso all'intera rete
  • Accessi utente basati sul principio del privilegio minimo a tutte le applicazioni (IaaS, SaaS e in sede)
  • Eliminazione delle VPN
  • Inserimento dei servizi
  • Sicurezza sull'edge
  • Miglioramento delle performance delle applicazioni
  • Protezione migliorata contro minacce avanzate

Vantaggi chiave di un'architettura Zero Trust

Un'architettura Zero Trust è completamente trasparente agli utenti, protegge dagli attacchi informatici e semplifica i requisiti dell'infrastruttura. I diversi componenti di un'architettura Zero Trust consentono di:

Proteggere la rete e contrastare gli attacchi dannosi

Il reparto IT deve garantire a utenti e dispositivi una connessione Internet sicura, a prescindere alla posizione da cui si connettono, senza la complessità tipica degli approcci legacy. Deve anche di identificare, bloccare e mitigare in modo proattivo minacce mirate come malware, ransomware, phishing, esfiltrazione di dati DNS e avanzati attacchi zero-day contro gli utenti. Il modello di sicurezza Zero Trust consente di migliorare i livelli di protezione, riducendo al contempo il rischio di malware.

Garantire a dipendenti e partner un accesso sicuro alle applicazioni

Le tecnologie di accesso tradizionali basate su principi di fiducia antiquati, come le VPN, sono particolarmente vulnerabili alla compromissione delle credenziali utente, come dimostrano i vari episodi di violazione. Il reparto IT deve rivedere il proprio modello di accesso e le tecnologie correlate per garantire la protezione all'azienda, promuovendo al tempo stesso un accesso semplice e rapido a tutti gli utenti (anche di terze parti). La sicurezza Zero Trust può ridurre i rischi e la complessità, fornendo, nel contempo, una user experience coerente.

Ridurre la complessità e risparmiare risorse IT

L'accesso e la sicurezza di un'azienda sono aspetti complessi e in costante evoluzione. Con le tecnologie enterprise tradizionali, l'introduzione di un cambiamento (che in genere coinvolge diversi componenti hardware e software) spesso richiede diversi giorni e l'impegno di risorse preziose. Un modello di sicurezza Zero Trust può ridurre la complessità dell'architettura.

Perché è necessario adottare un modello di sicurezza Zero Trust

In sintesi, la forza lavoro moderna sta diventando sempre più mobile, pertanto accede alle applicazioni da più dispositivi al di fuori del perimetro aziendale. In passato le aziende adottavano il principio della fiducia basata sulla verifica preliminare, che concedeva a un utente dotato di credenziali corrette l'accesso a tutti i siti, le app o i dispositivi di cui aveva bisogno. Questo approccio ha determinato un aumento del rischio di esposizione, dissolvendo i confini di quella che una volta era un'area sicura sotto il controllo dell'azienda e lasciando molte organizzazioni vulnerabili a violazioni di dati, malware e attacchi ransomware. Ora è necessario garantire la protezione all'interno delle infrastrutture digitali specifiche in cui si trovano le applicazioni, i dati, gli utenti e i dispositivi.

Motivazioni valide per l'adozione di un modello Zero Trust

  • Gli utenti, i dispositivi, le applicazioni e i dati si stanno spostando al di fuori del perimetro e della zona sotto il controllo dell'azienda, lontano dai data center tradizionali
  • I nuovi requisiti aziendali legati alla trasformazione digitale aumentano l'esposizione ai rischi
  • Ora che le minacce avanzate e mirate si sono spostate all'interno del perimetro aziendale, non è più sufficiente concedere la fiducia sulla base di una verifica preliminare.
  • I perimetri tradizionali sono complessi, aumentano i rischi e non sono compatibili con i modelli di business attuali
  • Per essere competitive, le aziende hanno bisogno di un'architettura di rete Zero Trust in grado di proteggere i dati aziendali, ovunque si trovino utenti e dispositivi, garantendo al tempo stesso il funzionamento rapido e senza problemi delle applicazioni.

Implementazione di un modello di architettura Zero Trust con Akamai

I servizi Akamai per la sicurezza nel cloud possono essere combinati in modo da creare una soluzione Zero Trust completa, su misura per le vostre esigenze aziendali specifiche. Consentendo l'accesso sicuro alle applicazioni in un mondo cloud-native, le reti aziendali interne diventano un ricordo del passato.

Combinando la nostra avanzata soluzione ZTNA distribuita con la potenza dell'Akamai Intelligent Edge Platform globale, frutto di 20 anni di esperienza, potete passare con naturalezza a un mondo privo di confini, introducendo gradualmente nuove applicazioni, proteggendo il business e promuovendo la crescita.

Il percorso di Akamai verso la sicurezza Zero Trust

Una nuova definizione dell'accesso alle applicazioni: semplice, rapido e sicuro

Offrite ai dipendenti un accesso rapido e sicuro con Zero Trust Network Access. Enterprise Application Access consente di adattarsi ai cambiamenti improvvisi del workflow. Bastano pochi minuti per configurare nuove applicazioni e nuovi utenti, tramite un singolo portale e l'accesso remoto su vasta scala. Enterprise Application Access è progettato per consentire alle aziende di prendere decisioni di accesso intelligenti, riducendo al contempo costi, complessità e rischi, con un semplice servizio erogato attraverso il cloud e senza applicazioni fisiche o virtuali da gestire.

Accesso Zero Trust alla rete con un'Intelligence impareggiabile sulle minacce Offrite agli utenti autorizzati solo i diritti specifici necessari per accedere alle app di cui hanno effettivamente bisogno, non a tutta la rete. Grazie ai controlli di accesso adattivi, che forniscono indicatori di sicurezza e punteggi di rischio quasi in tempo reale, le app aziendali vengono protette automaticamente.

Protezione proattiva da malware e phishing zero-day

Connessione Internet sicura di utenti e dispositivi, con Enterprise Threat Protector, grazie a un Secure Web Gateway (SWG). Proteggete utenti e dispositivi con una difesa multilivello basata sui motori di rilevamento e l'Intelligence in tempo reale della piattaforma edge più grande del mondo: una soluzione scalabile a livello globale e implementabile in pochi minuti, che contribuisce a ridurre le attività lunghe e complesse richieste dalla gestione della sicurezza.

Scoprite l'autenticazione multifattore a prova di phishing

Akamai MFA evita l'appropriazione degli account dei dipendenti e le violazioni dei dati, garantendo una sicurezza che non teme rivali. La sicurezza viene fornita dalla crittografia end-to-end e da un flusso di verifica/risposta chiuso. Questo metodo rende il processo di autenticazione riservato proteggendolo dagli attacchi di phishing.

Scopri tutte le soluzioni per la sicurezza di Akamai