Zero Trust Architecture: Principi e casi d’uso reali

Mia-Platform logo
Mia-Platform Team
12 minutes Leggi
12 Dicembre 2023
BlogPost Zero Trust

Il costante progresso della tecnologia porta con sé uno svantaggio ovvero l’aumento delle minacce informatiche. Negli ultimi anni si è assistito a un’impennata del tasso di criminalità informatica e di minacce a varie organizzazioni, come nei casi di LastPass e Twilio.

Questi attacchi si presentano in varie forme: phishing, malware, email, IoT, DDoS, e altri vettori di attacco. In questo panorama, le aziende hanno bisogno di soluzioni che migliorino la sicurezza e forniscano una solida protezione contro le minacce di Internet in costante evoluzione.

La Zero Trust Architecture (ZTA) è un approccio alla sicurezza basato sul principio: “fidarsi è bene, controllare è meglio”. Presuppone la necessità di trattare ogni richiesta di accesso come potenzialmente pericolosa e di effettuare un controllo approfondito prima di concedere l’accesso, indipendentemente dall’identità o dall’ubicazione del richiedente. È un concetto che enfatizza gli approcci proattivi, granulari e dinamici alla salvaguardia di dati e risorse.

Questo articolo analizza nel dettaglio:

  • I tre pilastri della ZTA e i suoi principi;
  • Vantaggi e svantaggi della migrazione a una ZTA;
  • Alcuni casi d’uso pratici delle ZTA e come le organizzazioni possono sfruttarle per rafforzare le proprie difese.

Cos’è una ZTA?

Il termine “zero trust” si riferisce al concetto di cybersecurity che guida lo sviluppo di strategie di difesa che si discostano dai perimetri statici basati sulla rete e si concentrano invece su utenti, asset, servizi e risorse. La ZTA parte dal presupposto che un’organizzazione non dovrebbe mai concedere fiducia implicita e dovrebbe dare priorità alla protezione dell’accesso alle risorse, indipendentemente dalla posizione della rete, dal soggetto o dalla risorsa.

Il principio alla base della fiducia zero è che “ogni dispositivo, utente e applicazione non è attendibile”. Si tratta di un approccio end-to-end alla sicurezza delle reti, delle risorse e dei dati aziendali, che comprende identità, credenziali, operazioni, endpoint, gestione degli accessi, ambienti di hosting e infrastrutture di interconnessione.

Questo concetto di sicurezza protegge le moderne aziende digitali, tra cui DevOps, robotic process automation (RPA), cloud pubblici e privati e applicazioni SaaS. Aziende come Microsoft, AWS e Google hanno creato framework e soluzioni ZTA, a testimonianza della sua popolarità.

 

Cos’è zero trust network access (ZTNA)?

Zero trust network access (ZTNA) è una componente fondamentale del modello zero trust, che enfatizza un approccio proattivo e consapevole del contesto alla gestione dell’accesso remoto. Offre una gestione centralizzata e la flessibilità necessaria ai team IT e di sicurezza per ottenere un efficace modello zero trust basato su politiche di controllo degli accessi definite.

Lo ZTNA viene spesso implementato attraverso varie tecnologie e soluzioni, tra cui le soluzioni software-defined perimeter (SDP) e secure access service edge (SASE). Utilizza l’autenticazione basata sull’identità per stabilire la fiducia e distribuisce l’accesso alle applicazioni interne nascondendo i dati fisici della rete, come gli indirizzi IP.

Limiti dei modelli di sicurezza tradizionali

Il modello di sicurezza tradizionale, spesso noto come approccio perimetrale, non è all’altezza delle minacce presenti nei nostri ambienti dinamici e in continua evoluzione per i seguenti motivi:

  • Si basa molto sull’idea che tutto ciò che si trova all’interno del perimetro di rete sia affidabile e utilizza difese perimetrali, come firewall e reti private virtuali (VPN), per tenere lontane le minacce.
  • L’autorizzazione viene controllata solo sul perimetro e un aggressore può evitare il perimetro di autorizzazione attraverso bug del software.
  • Poiché questa autorizzazione si applica solo a un livello, una volta che un aggressore entra in una rete, può muoversi lateralmente attraverso di essa fino a quando non incontra un obiettivo.

I limiti della sicurezza perimetrale tradizionale sono sempre più evidenti con la diffusione delle risorse basate su cloud e del lavoro remoto, che aumentano la proliferazione dei punti ciechi della sicurezza. Di conseguenza, gli aggressori possono facilmente infiltrarsi in una rete aziendale utilizzando i modelli di sicurezza tradizionali.

Secondo IBM, nel 2023 si è registrato un aumento del 15% del costo mondiale delle violazioni dei dati. Inoltre, il report Identity Security Threat Landscape (ISTL) afferma che il 71% delle organizzazioni ha subito la perdita di dati riservati da parte di dipendenti, ex dipendenti e fornitori terzi.

Perché è importante una strategia zero trust?

Le organizzazioni allineano sempre più le loro politiche di sicurezza con gli obiettivi aziendali, anziché lasciare la cybersecurity come un pensiero secondario. L’adozione dell’approccio zero trust può incrementare la flessibilità aziendale e migliorare la sicurezza complessiva, evitando così danni alla reputazione, perdite finanziarie e sanzioni normative.

Inoltre, le ZTA utilizzano tecnologie di intelligence e di analisi come la gestione delle informazioni di sicurezza, le piattaforme di analisi di sicurezza avanzate e l’analisi del comportamento degli utenti. Pertanto, gli esperti di sicurezza la sfruttano per osservare le attività di rete in tempo reale per strategie di difesa più efficaci.

Come funziona la zero trust?

Il concetto di ZTA gestisce i compiti di sicurezza combinando diversi controlli e processi di sicurezza. Questi processi di sicurezza includono identity and access management (IAM), risk-based multi-factor authentication (MFA), next-generation firewall (NGFW), next-generation endpoint security, end-to-end encryption, and robust cloud workload technology. Insieme, autenticano e verificano la salute degli asset e degli endpoint prima di autorizzare le richieste di accesso alle risorse o a una rete più completa.

La ZTA suddivide la sicurezza in più livelli. Elimina gli accessi pre-autorizzati e impone controlli specifici sugli accessi degli utenti a un livello altamente granulare. In questo modo, l’autenticazione e l’autorizzazione (del soggetto e del dispositivo) vengono eseguite prima di stabilire una connessione su una rete aziendale.

La ZTA richiede alle organizzazioni di applicare controlli di accesso basati sul rischio, ispezionando, monitorando e registrando continuamente le interazioni per identificare e verificare l’accesso degli utenti e dei sistemi. L’implementazione efficace della ZTA richiede un monitoraggio e una verifica completi degli utenti, del traffico e degli attributi di identità delle applicazioni, compresi quelli crittografati nei diversi segmenti dell’ambiente.

Fondamenti della zero trust architecture

La ZTA si basa su pilastri e principi fondamentali progettati per rafforzare la sicurezza nelle moderne tecnologie.

 

I pilastri della zero trust

La Zero Trust si basa sul principio “mai fidarsi, verificare sempre”. Secondo il NIST, le organizzazioni dovranno sviluppare una strategia di zero-trust basata su questi principi guida applicati ai sei pilastri fondamentali.

  • Applicazioni;
  • Dati;
  • Endpoint;
  • Identità;
  • Infrastruttura;
  • Network.

 

Principi di zero trust

Ogni organizzazione ha le sue esigenze in termini di sicurezza, a seconda delle dimensioni, del settore, dell’infrastruttura esistente e del profilo di rischio. Di conseguenza, non esiste un approccio unico per l’implementazione della ZTA in un’organizzazione. I seguenti principi fondamentali creano le basi per una ZTA.

  • Multi-Factor Authentication (MFA): il MFA è un principio di zero trust che aumenta la sicurezza richiedendo agli utenti di fornire più forme di verifica prima di ottenere l’accesso a un sistema o a un’applicazione. Spesso comporta la richiesta di due o più fattori di autenticazione, come PIN, domande di sicurezza, verifica via e-mail, messaggi di testo, controlli biometrici dell’identità, ecc. Prima di concedere l’autorizzazione, ogni fase di verifica deve essere confermata.
  • Micro-segmentazione: la Micro-segmentation consiste nel suddividere i perimetri di sicurezza in piccole unità logiche e nell’applicare criteri per controllare l’accesso ai dati e alle applicazioni all’interno di questi segmenti. Questo limita il movimento laterale degli aggressori, anche se questi accedono a una parte della rete senza un’autorizzazione separata. I team di sicurezza utilizzano questo sistema per determinare le modalità di condivisione dei dati da parte delle applicazioni, regolare i limiti di trasferimento dei dati tra server e applicazioni e implementare processi di autenticazione per interazioni specifiche.
  • Controlli di accesso con privilegi minimi: le ZTA applicano controlli sull’accesso meno privilegiato, stabilendo la fiducia in base al contesto. Grazie al role-based access control (RBAC), Le aziende possono autorizzare e limitare l’accesso al sistema a utenti, dispositivi e applicazioni in base ai loro ruoli. Pertanto, tutto il traffico di rete è vietato per impostazione predefinita, consentendo solo le connessioni autorizzate. L’autenticazione rigorosa è obbligatoria prima di concedere l’accesso, anche a persone conosciute.
  • Controllo dell’accesso ai dispositivi: la Zero Trust richiede regole severe per l’accesso ai dispositivi, così come per gli utenti. I controlli incentrati sull’identità sono estesi agli endpoint dei dispositivi per verificarli continuamente, il che significa che le organizzazioni possono garantire che tutti gli endpoint che accedono alle risorse aziendali siano inizialmente registrati secondo i requisiti di sistema.

 

Pro e contro della zero trust

Se si sta pensando di implementare lo ZTA, è bene ricordare che, come qualsiasi altro approccio tecnologico, presenta pro e contro.

Pro Contro
Le ZTA offrono una solida protezione contro le violazioni della sicurezza Le ZTA non sono del tutto immuni agli attacchi insider
Riduzione della superficie di attacco Richiede più tempo e sforzi per la configurazione
Diminuzione della suscettibilità agli attacchi insider Implementazione complessa
Limitazione dell’impatto di una violazione Costi più elevati
Offrire una maggiore visibilità Più applicazioni, dispositivi e utenti da monitorare e gestire
Protezione dei dati più elevata Più dati da proteggere

Best practice per implementare la zero trust

Le ZTA prevedono la protezione degli endpoint, l’adozione del principio del minimo privilegio e lo sfruttamento della potenza dell’intelligenza artificiale, machine learning, e automazione. Ciò richiede indubbiamente una pianificazione meticolosa e il rispetto delle best practice per garantirne l’efficacia. Ecco quattro best practice fondamentali per implementare una strategia Zero Trust.

  • Rivalutare gli investimenti pregressi: nell’implementazione di una strategia zero trust, occorre valutare i sistemi, i processi e gli strumenti legacy per garantire che siano in linea con i principi di questo approccio alla sicurezza, rivedendo e migliorando le misure di protezione dei dati. Per centralizzare e semplificare i controlli sull’identità degli utenti, è necessario assicurarsi che i sistemi esistenti si integrino perfettamente con solide soluzioni di gestione delle identità, come ad esempio piattaforme di identity and access management (IAM).
  • Presupporre sempre una violazione: considerare la progettazione di una rete con una mentalità di fiducia zero, partendo dal presupposto che le minacce possono già esistere all’interno della rete. Questo aiuterà a rilevare le anomalie e a revocare automaticamente l’accesso una volta identificate le attività dannose.
  • Monitoring continuo: Nell’implementazione di una strategia zero trust, bisogna considerare approcci proattivi per prevenire la perdita di dati, come il monitoraggio continuo e l’autenticazione. Anche se si verifica una violazione, il monitoraggio in tempo reale può aiutare a identificare e limitare il “raggio di esplosione” senza sacrificare l’esperienza degli utenti.
  • Meccanismi di autenticazione forti: applicare solidi meccanismi di autenticazione, compresa l’implementazione del MFA. In questo modo, il sistema acquisisce un ulteriore livello di protezione, garantendo che solo gli utenti autorizzati con identità verificate possano accedere alle risorse sensibili.

Casi d’uso reali della ZTA

Man mano che un numero maggiore di dipendenti lavora da remoto e le organizzazioni adottano soluzioni cloud, è inevitabile che vengano esposti più vettori di attacco. Le organizzazioni possono sfruttare il modello di sicurezza zero trust per applicare criteri di sicurezza coerenti in tutti gli ambienti, mantenere una strategia di sicurezza unificata e proteggersi da potenziali minacce.

Storicamente, le aziende che desiderano accedere da remoto si sono spesso affidate a soluzioni VPN tradizionali. In alternativa, lo ZTA sfrutta i gateway web sicuri e SASE per fornire un accesso sicuro a qualsiasi utente, da qualsiasi dispositivo a qualsiasi risorsa aziendale, indipendentemente dal luogo in cui è ospitata, nel cloud o on-premises.

Google è stata pioniera nell’implementazione della sicurezza zero trust attraverso il suo framework “BeyondCorp“. In sostanza, BeyondCorp stabilisce regole dettagliate di controllo degli accessi per Google Cloud Platform e Google G Suite, considerando variabili come l’indirizzo IP, lo stato di sicurezza del dispositivo e l’identificazione dell’utente.
Gli istituti finanziari gestiscono dati sensibili dei clienti e sono obiettivi interessanti per i cyberattacchi. Per esempio, Wells Fargo ha investito in modo proattivo in un modello di sicurezza a fiducia zero per proteggere la propria rete e i dati dei clienti. “Uno dei principi fondamentali di un framework zero trust è la valutazione dell’esposizione al rischio dell’organizzazione, che inizia con l’accesso privilegiato”, sostiene Sridhar Sidhu, senior vice president and head of the enterprise security services group di Wells Fargo.

Come implementare la ZTA con Mia‑Platform

Mia-Platform può essere determinante per semplificare l’implementazione di una ZTA. Può aiutare le organizzazioni nei seguenti modi.

  • Collegare il prodotto al provider di identità scelto per abilitare l’autenticazione e l’autorizzazione basata sui ruoli.
  • Permette di configurare la tua infrastruttura fornendo meccanismi di autenticazione e autorizzazione robusti e affidabili che controllano l’accesso ai microservizi e alle API.
  • È inoltre possibile standardizzare il modo in cui vengono creati i microservizi, con regole di sicurezza e controlli di accesso già predisposti.
  • Nel caso di molti utenti, è possibile creare dei gruppi per gestire l’accesso a Mia-Platform Console e creare Service Account per abilitare l’autenticazione M2M a microservizi e API.
  • Attraverso Rönd, un progetto open-source di Mia-Platform, è possibile creare criteri di accesso e distribuire l’applicazione dei criteri di sicurezza in tutto l’applicativo. Consente inoltre di creare una soluzione RBAC o attribute-based access control (ABAC) definendo ruoli, autorizzazioni e utenti.

Per saperne di più sulle ZTA e sul funzionamento di RBAC, questo white paper su RBAC è un ottimo punto di partenza.

Conclusione

A differenza del modello di sicurezza tradizionale, la Zero Trust suggerisce che le organizzazioni non dovrebbero fidarsi automaticamente di alcun utente, dispositivo o sistema, anche se si trovano all’interno del perimetro aziendale. Sebbene il modello di sicurezza zero trust sia un processo complesso e continuamente interattivo, può essere integrato senza problemi nelle architetture esistenti; non è necessario che le organizzazioni rimuovano l’infrastruttura esistente. L’implementazione di una strategia zero-trust va oltre la combinazione di soluzioni tecnologiche e solide policy per eliminare potenziali minacce e violazioni. Si tratta di un cambiamento culturale verso una mentalità orientata alla sicurezza, per rispondere alle realtà delle reti, del personale e delle minacce di oggi.

Mia-Platform RBAC Platform Engineering
Torna all'inizio ↑
INDICE
Cos’è una ZTA?
Limiti dei modelli di sicurezza tradizionali
Perché è importante una strategia zero trust?
Come funziona la zero trust?
Fondamenti della zero trust architecture
Best practice per implementare la zero trust
Casi d’uso reali della ZTA
Come implementare la ZTA con Mia‑Platform
Conclusione

Articoli correlati

BlogPost Yellow05 2
Engineering

Service Account 101: il potenziale del M2M in un'ottica di sicurezza

I service account sono utili ma, se non gestiti correttamente, possono comportare dei rischi per la sicurezza. Scopri le best practice da seguire!
11 Maggio 2023
Leggi di più ->
Og Image
API Open-source Prodotti

Presentazione di Rönd, il nuovo progetto open‑source di Mia‑Platform

Siamo orgogliosi di annunciare Rönd, il nuovo progetto open‑source di Mia‑Platform che distribuisce l’applicazione di policy di sicurezza sulle tue API.
06 Settembre 2022
Leggi di più ->
Mia Platform20 20Software20Architecture20Patterns 1 1
Architettura Engineering

Software Architecture Pattern - Scarica la mappa gratuita!

Scarica la mappa visiva dei Software Architecture Pattern più utilizzati e condividila con amici e colleghi!
18 Novembre 2022
Leggi di più ->
Vedi tutti gli articoli
🪩 Platmosphere 2026: Master the Vibe 🪩| La Conferenza in Presenza per i Platform Enthusiasts. Registrati ora! ➡️