Akamai is the cybersecurity and cloud computing company that powers and protects business online. Our market-leading security solutions, superior threat intelligence, and global operations team provide defense in depth to safeguard enterprise data and applications everywhere. Akamai’s full-stack cloud computing solutions deliver performance and affordability on the world’s most distributed platform. Global enterprises trust Akamai to provide the industry-leading reliability, scale, and expertise they need to grow their business with confidence.
Che cos'è il modello Zero Trust?
Il modello Zero Trust è una strategia di protezione della rete basata sul concetto secondo cui l'accesso ai carichi di lavoro o sistemi IT di un'azienda da parte di persone o dispositivi, interni o esterni alla rete aziendale, deve essere consentito solo se ritenuto espressamente necessario. In sintesi, non si basa su una fiducia implicita.
Che cos'è il modello Zero Trust?
Nel 2010 John Kindervag, analista di Forrester Research, ha proposto una soluzione denominata "Zero Trust",
che ha determinato un cambio di strategia da "Fidarsi, ma verificare sempre" a "Verificare sempre, senza fidarsi". Con il modello Zero Trust, nessun utente o dispositivo è considerato affidabile per accedere a una risorsa fino a quando non ne vengono verificate l'identità e l'autorizzazione. Questo processo si applica a tutti coloro che normalmente si trovano all'interno di una rete privata, come un dipendente che lavora in modalità remota da casa con un computer aziendale o utilizza il proprio dispositivo mobile durante una conferenza in qualsiasi parte del mondo. Si applica anche a tutte le persone e agli endpoint esterni alla rete. Non importa se l'utente ha già effettuato l'accesso alla rete una o più volte, perché l'identità non viene considerata attendibile se non viene verificata nuovamente. In pratica, tutti gli utenti, i sistemi e i server devono essere considerati non attendibili fino a prova contraria.
Un tempo era possibile adottare un approccio alla cybersicurezza in cui l'azienda veniva vista come un castello da difendere con mura e fossati, utilizzando il perimetro della rete per distinguere i buoni (all'interno) dai cattivi (all'esterno). Così come castelli e fossati appartengono al passato, anche questo tipo di approccio alla sicurezza è ormai ampiamente superato. Basta pensare alle attuali modalità di lavoro remoto. Oggi la forza lavoro e il posto di lavoro sono cambiati: il luogo, l'orario e il modo in cui le persone lavorano vanno ben oltre le quattro mura dell'ufficio. Con la diffusione del cloud, il classico perimetro di rete non esiste più. Molto spesso gli utenti e le applicazioni si trovano al di là del fossato, e non al suo interno. Questo approccio introduce varie vulnerabilità di sicurezza, che potrebbero essere sfruttate da utenti malintenzionati. Una volta entrati nel fossato, i criminali sono liberi di spostarsi tramite il movimento laterale che non viene solitamente controllato, accedendo alle risorse e agli asset di alto valore, come i dati dei clienti (o i gioielli della corona), oppure sferrare un attacco ransomware.
Come funziona il modello Zero Trust
Il modello Zero Trust può essere paragonato a un dispositivo di sorveglianza estremamente attento, che controlla sistematicamente le credenziali dell'utente prima di consentire l'accesso agli uffici in cui lavora, anche se lo riconosce, e ripete il processo per verificare continuamente la sua identità.
Il modello Zero Trust si basa su metodi di autenticazione e autorizzazione efficaci per ogni dispositivo e persona, prima di consentire l'accesso o il trasferimento dei dati su una rete privata, indipendentemente dal fatto che si trovino all'interno o all'esterno del perimetro di rete. Il processo esegue anche operazioni di analisi, filtraggio e registrazione per verificare il comportamento e ricercare continuativamente eventuali sintomi di compromissione. Se un utente o un dispositivo sembra cambiare modalità operative, viene contrassegnato e monitorato come potenziale minaccia. Ad esempio, l'utente Marcus di Acme Co. in genere si connette da Columbus, in Ohio (Stati Uniti), ma oggi tenta di accedere alla Intranet di Acme da Berlino, in Germania. Anche se il nome utente e la password di Marcus sono stati inseriti correttamente, un approccio Zero Trust riterrebbe anomalo il suo comportamento e adotterebbe le misure appropriate, come la presentazione di una nuova richiesta di autenticazione per verificarne l'identità.
Questo cambiamento radicale permette di difendersi dalle minacce più comuni alla sicurezza. I malintenzionati non possono più sfruttare i punti deboli del perimetro per accedere a dati e applicazioni sensibili, solo perché sono riusciti a superare il fossato. Ora non esiste più alcun fossato. Esistono solo utenti e applicazioni, ciascuno dei quali deve autenticarsi reciprocamente e verificare l'autorizzazione prima di poter effettuare l'accesso. Si parla di autenticazione reciproca quando due parti si autenticano contemporaneamente, ad esempio l'utente immette un nome di accesso e una password, mentre l'applicazione a cui si connette presenta un certificato digitale.
Componenti del modello Zero Trust
Oggi il modello di sicurezza Zero Trust si è esteso. Esistono molte implementazioni dei suoi principi, come Zero Trust Architecture, Zero Trust Network Access (ZTNA) e Zero Trust Secure Web Gateway (SWG), e la microsegmentazione. La sicurezza Zero Trust viene talvolta denominata "protezione senza perimetro".
Il modello Zero Trust non deve essere visto come una singola tecnologia discreta. Un'architettura Zero Trust utilizza infatti una serie di controlli e principi diversi per affrontare i problemi di sicurezza più comuni adottando varie tecniche di prevenzione. Questi componenti sono progettati per fornire una protezione avanzata dalle minacce, a mano a mano che i confini tra casa e lavoro si dissolvono e si afferma una nuova normalità incentrata su una forza lavoro remota sempre più distribuita.
Caratteristiche principali per l'implementazione del modello Zero Trust
- Visibilità degli ambienti on-premise/cloud e dei dispositivi IoT
- Controllo dei flussi di rete tra tutte le risorse
- Verifica dell'identità e possibilità di concedere l'accesso al cloud
- Segmentazione della rete e delle applicazioni
- Autenticazione e autorizzazione, inclusa l'autenticazione multifattore (MFA, Multi-Factor Authentication)
- Policy degli accessi granulari (accesso alle applicazioni o all'intera rete)
- Accessi utente basati sul principio del privilegio minimo a tutte le applicazioni (IaaS, SaaS e in sede)
- Minimizzazione dell'utilizzo di VPN e firewall
- Inserimento dei servizi
- Sicurezza sull'edge
- Miglioramento delle performance delle applicazioni
- Protezione migliorata contro minacce avanzate
- Funzionalità di automazione e integrazione
Vantaggi chiave di un'architettura Zero Trust
Un'architettura Zero Trust è completamente trasparente agli utenti, riduce la superficie di attacco, protegge dagli attacchi informatici e semplifica i requisiti dell'infrastruttura. I diversi componenti di un'architettura Zero Trust consentono di:
Proteggere la rete e contrastare gli attacchi dannosi
Il reparto IT deve garantire a utenti e dispositivi una connessione Internet sicura, a prescindere dalla posizione da cui proviene la richiesta di accesso, senza la complessità tipica degli approcci legacy e deve anche identificare, bloccare e mitigare in maniera proattiva minacce mirate come malware, ransomware, phishing ed esfiltrazione di dati che sfruttano il DNS, nonché vulnerabilità zero-day avanzate per gli utenti. Il modello di sicurezza Zero Trust consente di migliorare i livelli di protezione, riducendo al contempo il rischio di malware.
Garantire a dipendenti e partner un accesso sicuro alle applicazioni
Le tecnologie di accesso tradizionali basate su principi di gestione degli accessi antiquati, come le VPN, sono particolarmente vulnerabili alla compromissione delle credenziali utente, come dimostrano i vari episodi di violazione. Il reparto IT deve rivedere il proprio modello di accesso e le tecnologie correlate per garantire la protezione all'azienda, promuovendo al tempo stesso un accesso semplice e rapido a tutti gli utenti (anche di terze parti). La sicurezza Zero Trust può ridurre i rischi e la complessità, fornendo, nel contempo, una user experience coerente tramite policy di sicurezza granulari.
Ridurre la complessità e risparmiare risorse IT
L'accesso e la sicurezza di un'azienda sono aspetti complessi e in costante evoluzione. Con le tecnologie aziendali tradizionali, l'introduzione di un cambiamento o di un'implementazione (che, in genere, coinvolge diversi componenti hardware e software) spesso richiede diversi giorni e l'impegno di risorse preziose. Un modello di sicurezza Zero Trust può ridurre la complessità dell'architettura.
Altri motivi validi per l'adozione della strategia Zero Trust
- Gli utenti, i dispositivi, le applicazioni e i dati si stanno spostando al di fuori del perimetro e della zona sotto il controllo dell'azienda, lontano dai data center tradizionali
- I nuovi requisiti aziendali legati alla trasformazione digitale aumentano l'esposizione ai rischi
- Ora che le minacce avanzate e mirate si sono spostate all'interno del perimetro aziendale, non è più sufficiente concedere la fiducia sulla base di una verifica preliminare.
- I perimetri tradizionali sono complessi, aumentano i rischi e non sono compatibili con i modelli di business attuali
- Per essere competitivi, i team addetti alla sicurezza hanno bisogno di un'architettura di rete Zero Trust in grado di proteggere i dati aziendali, ovunque si trovino utenti e dispositivi, garantendo al tempo stesso il funzionamento rapido e senza problemi delle applicazioni
Quali sono i principi del modello Zero Trust?
Il modello Zero Trust è basato su tre principi di base:
- Tutte le entità sono considerate non attendibili per impostazione predefinita
- Viene applicato l'accesso basato sul privilegio minimo
- Viene implementato un monitoraggio costante della sicurezza
Perché è necessario adottare un modello di sicurezza Zero Trust?
La forza lavoro moderna sta diventando sempre più mobile, pertanto accede alle applicazioni e ai servizi cloud da più dispositivi al di fuori del perimetro aziendale. In passato le aziende adottavano il principio della fiducia basata sulla verifica preliminare, che concedeva a un utente dotato di credenziali corrette l'accesso a tutti i siti, le app o i dispositivi di cui aveva bisogno. Questo approccio ha determinato un aumento del rischio di esposizione, dissolvendo i confini di quella che una volta era un'area sicura sotto il controllo dell'azienda e lasciando molte organizzazioni vulnerabili a violazioni di dati, malware e attacchi ransomware. Ora è necessario garantire la protezione all'interno delle infrastrutture digitali specifiche in cui si trovano le applicazioni, i dati, gli utenti e i dispositivi.
Implementazione di un modello di architettura Zero Trust con Akamai
I servizi Akamai per la sicurezza nel cloud possono essere combinati in modo da creare una soluzione Zero Trust completa, su misura per le vostre esigenze aziendali specifiche. Consentendo l'accesso sicuro alle applicazioni in un mondo cloud-native, le reti aziendali interne diventano un ricordo del passato.
Combinando la nostra avanzata soluzione ZTNA distribuita, una microsegmentazione leader del settore, un'autenticazione MFA e una soluzione SWG proattiva, insieme alla potenza di Akamai Connected Cloud, frutto di 20 anni di esperienza, potete passare con naturalezza a un mondo privo di confini, introducendo gradualmente nuove applicazioni, proteggendo il business e promuovendo la crescita.