Le aziende devono ora adottare il modello della Zero Trust Architecture (ZTA) per garantire la sicurezza delle loro infrastrutture IT. Il tradizionale approccio “perimetro da difendere” non è più sufficiente.

Perché utilizzare Zero Trust Architecture è la scelta migliore

Negli ultimi tempi l’infrastruttura IT di un’organizzazione è diventata molto più complessa.

Un’azienda può gestire più reti interne, infrastrutture locali per uffici remoti, connessioni remote e/o mobili e servizi cloud.

Finora le aziende si sono affidate alle misure di sicurezza tradizionali, ma questi metodi non sono più adeguati per affrontare le potenziali minacce presenti nelle reti.

Di conseguenza, è necessaria una trasformazione della metodologia di protezione delle reti aziendali, che richiede un sostanziale cambiamento di prospettiva.

Negli ultimi tempi si è assistito a una crescente attenzione per il modello Zero Trust Architecture, che non è solo una tendenza passeggera, ma un requisito ormai essenziale.

Il “Teorema del Fortino” non è più valido

Fino a poco tempo fa, l’azienda e i suoi sistemi informativi erano visti come una fortezza sicura, con i “buoni” all’interno delle mura e i “cattivi” all’esterno.

Si parlava infatti di “perimetro difensivo”, ovvero delle mura di fortificazione che separano l’azienda da potenziali assalitori.

Il concetto di sicurezza perimetrale rispecchia la dottrina dei fronti della prima guerra mondiale, che prevede la creazione di confini continui per differenziare le aree sicure e protette da quelle considerate insicure e pericolose.

Uno degli esempi più noti di questa strategia è la Linea Maginot.

Questo modello è oggi considerato obsoleto e viene comunemente chiamato “deperimetralizzazione”.

La complessità delle reti e dei sistemi aziendali è cresciuta oltre le capacità dei tradizionali metodi di sicurezza di rete basati sul perimetro, in quanto il concetto di un perimetro unico e facilmente identificabile per l’azienda non è più applicabile. Inoltre, la sicurezza di rete basata sul perimetro si è dimostrata inadeguata a impedire agli aggressori di muoversi lateralmente all’interno della rete una volta violato il perimetro.

Nonostante i progressi dei sistemi di protezione perimetrale, questi rimangono suscettibili di essere aggirati da avversari motivati e dotati di buone risorse.

La necessità di un drastico cambiamento nel modello di difesa è stata ulteriormente enfatizzata dall’emergere dell’everywhere workplace, che ha di fatto eliminato i tradizionali confini di difesa un tempo confinati all’interno delle mura aziendali e che ora possono esistere in qualsiasi luogo.

La diffusione dello smart working ha reso possibile ai dipendenti l’accesso alle applicazioni e ai dati aziendali da qualsiasi luogo, utilizzando una varietà di dispositivi.

Inoltre, è cresciuto l’utilizzo delle risorse nei sistemi basati su cloud e nei data center remoti.

Se dovessimo tentare di definire l’ambito della difesa, esso comprenderebbe l’intero globo.

Non sempre fidarsi è la soluzione migliore

Allontanandosi dal modello tradizionale di fortezza, è necessario adottare un approccio di sistema immunitario, utilizzando gli anticorpi per combattere qualsiasi potenziale attaccante.

È necessario spostare il focus della difesa dal bordo della rete ai dispositivi e agli utenti che si connettono.

L’affidabilità della connessione dipende dall’identità dell’utente che si connette, indipendentemente dalla rete da cui si connette.

I termini “interno” ed “esterno” non sono più rilevanti quando si parla di sicurezza.

L’implementazione dell’Architettura Zero Trust è fondamentale nell’ambiente odierno, poiché le minacce possono provenire sia da fonti esterne che interne.

Non è più possibile dare per scontato che tutti gli utenti interni siano affidabili.

Gli insider malintenzionati possono causare una quantità significativa di attacchi e incidenti informatici, con l’intento di danneggiare l’azienda o rubare i suoi dati.

Le azioni disattente o disinformate dei dipendenti possono creare vulnerabilità che gli aggressori possono sfruttare (ad esempio, tramite social engineering o phishing). Ciò può rendere il dipendente un potenziale rischio per l’azienda.

Per garantire la sicurezza aziendale, è necessario formare il personale sui rischi della navigazione web e implementare un sistema di intelligence basato su cloud come FlashStart. Questo sistema filtra l’accesso a siti web dannosi e pericolosi a livello di DNS e offre protezione per le connessioni remote. Inoltre, si dovrebbe prendere in considerazione il modello di architettura Zero Trust. Questo modello di sicurezza presuppone che non venga concessa alcuna fiducia alle risorse o agli account utente in base alla loro posizione fisica o di rete o alla proprietà delle risorse. L’autenticazione e l’autorizzazione del soggetto e del dispositivo devono essere completate prima di stabilire una sessione con una risorsa aziendale.

In risposta alla crescente diffusione degli utenti remoti, dell’uso di BYOD (Bring Your Own Device) e delle risorse basate su cloud al di fuori delle reti aziendali, Zero Trust è diventato un modello di sicurezza molto diffuso.

L’architettura Zero Trust enfatizza la salvaguardia degli asset (asset, servizi, processi, account di rete, ecc.), non dei segmenti di rete, in quanto la posizione della rete non è più considerata il fattore principale per lo stato di sicurezza dell’asset.

In base a queste considerazioni, nessun utente o dispositivo può avere accesso illimitato alle risorse aziendali; anche dopo un’autenticazione riuscita, i privilegi di accesso saranno assegnati in modo dettagliato e costantemente monitorati.

Un’architettura a fiducia zero implementata correttamente attribuisce la responsabilità della protezione dei dati all’interno dell’organizzazione a ogni utente, dispositivo e applicazione che tenta di accedere alla rete aziendale.

Quali sono le indicazioni del NIST riguardo la ZTA

Quando si affronta il discorso ZTA, è essenziale attenersi alle linee guida e alle normative stabilite dal NIST.

Il National Institute of Standards and Technology (NIST), una divisione del Dipartimento del Commercio degli Stati Uniti (DoC), è responsabile della gestione della tecnologia.

Il National Bureau of Standards (NBS) è stato fondato nel 1901 e nel 1988 è stato rinominato National Institute of Standards and Technology (NIST).

L’obiettivo principale di questa istituzione è la creazione di standard, il che la rende il principale istituto mondiale per lo sviluppo di standard tecnologici, informatici e di cybersecurity.

Le pubblicazioni del NIST possono non essere ampiamente riconosciute in Europa, ma sono spesso adottate come standard de facto grazie allo status di autorevolezza dell’istituto.

La Pubblicazione speciale SP 800-207 del NIST “Architettura a fiducia zero” è stata pubblicata nell’agosto 2020 ed è disponibile per il download gratuito in inglese.

Questo documento approfondisce la ZTA, i suoi elementi, i potenziali piani di implementazione e i rischi associati.

Il documento fornisce un quadro di riferimento per le organizzazioni che intendono passare a un approccio progettuale a fiducia zero.

È importante notare che la ZTA non è un’architettura unica, ma piuttosto un insieme di linee guida da utilizzare per la progettazione e l’ottimizzazione dei sistemi informativi aziendali, che possono essere impiegate per rafforzare la sicurezza di qualsiasi organizzazione.

Il passaggio alla ZTA richiede lo sviluppo di una strategia completa per la valutazione e la gestione del rischio all’interno dell’organizzazione.

Il successo non può essere raggiunto con un semplice cambiamento di tecnologie, ma richiede un processo.

Il NIST consiglia di implementare gradualmente i principi della ZTA,  le modifiche ai processi e le soluzioni tecnologiche per salvaguardare le risorse di dati e le operazioni aziendali.

La sezione 2 dell’SP 800-207 illustra i concetti fondamentali della ZTA.

Non si deve dare per scontato che tutte le reti aziendali private siano sicure. Le risorse devono essere sempre gestite come se un intruso fosse presente sulla rete e tutte le comunicazioni devono essere condotte in modo sicuro. Ciò include la verifica di tutte le connessioni e la crittografia di tutto il traffico.

I dispositivi utilizzati in rete possono non essere di proprietà o configurati dall’organizzazione. I visitatori e/o i collaboratori esterni possono includere risorse che non sono di proprietà dell’azienda, ma che richiedono l’accesso alla rete per svolgere le loro mansioni. Ciò potrebbe includere politiche BYOD (bring-your-own-device) che consentono alle entità aziendali di utilizzare i propri dispositivi personali per accedere alle risorse aziendali.

Tutte le risorse devono essere valutate attraverso un PEP (Policy Enforcement Point) prima di poter accedere alle risorse aziendali. Questa valutazione deve essere continua per tutta la durata della sessione. Le sole credenziali non sono sufficienti per autenticare un dispositivo a una risorsa aziendale.

Tutte le risorse aziendali non si limitano all’infrastruttura di proprietà dell’azienda, ma si estendono alle entità aziendali remote e ai servizi cloud.

Le entità e le risorse aziendali remote devono usare cautela quando utilizzano la loro connessione alla rete locale, poiché non è possibile garantirne l’affidabilità. Si raccomanda che tutte le richieste di connessione siano autenticate e autorizzate e che tutte le comunicazioni siano condotte in modo sicuro.

Le risorse e i carichi di lavoro devono mantenere la loro postura di sicurezza quando si passa da un’infrastruttura aziendale a reti non aziendali (ad esempio, utenti remoti) e quando si migra da data center on-premises a istanze cloud esterne. È essenziale applicare una politica e una postura di sicurezza coerente alle risorse e ai flussi di lavoro che si spostano tra infrastrutture aziendali e non aziendali.

L’illustrazione fornita nel documento SP 800-207 mostra il modello di accesso che dovrebbe essere implementato nella ZTA.

L’autorizzazione a utilizzare la risorsa viene concessa attraverso un Policy Decision Point (PDP) e il corrispondente Policy Enforcement Point (PEP).

Il sistema deve verificare la legittimità del soggetto e la legittimità della richiesta. Il PDP/PEP prenderà una decisione informata per concedere al soggetto l’accesso alla risorsa.

È essenziale capire che il concetto di fiducia zero si applica sia all’autenticazione che all’autorizzazione.

L’autenticazione è il processo di verifica della propria identità per accedere alle risorse aziendali.

Autorizzazione: Le risorse a cui si è autorizzati ad accedere.

Si raccomanda alle aziende di stabilire e sostenere norme adattive basate sul rischio per l’accesso alle risorse e di istituire un meccanismo che garantisca che tali norme siano utilizzate in modo accurato e uniforme per le richieste di accesso alle risorse individuali.

Le aziende non devono dare per scontato che chiunque abbia raggiunto un livello di autenticazione di base (ad esempio, l’accesso a una risorsa) sia intrinsecamente affidabile. Tutte le successive richieste di risorse devono essere trattate con lo stesso scrutinio.

Il “punto di applicazione delle politiche” (PEP) identificato dal NIST è un componente critico dell’architettura ZTA.

Questo sistema è responsabile di facilitare, supervisionare ed eventualmente terminare le associazioni tra una persona e una risorsa aziendale.

Il PEP interagisce con l’amministratore delle politiche per trasmettere le richieste e acquisire le modifiche alle politiche.

Oltre il PEP si trova la “zona di fiducia” che contiene la risorsa aziendale.

Altri componenti essenziali sono in accordo con l’implementazione dell’Architettura Zero Trust.

L’infrastruttura a chiave pubblica aziendale (PKI) è responsabile della creazione e della registrazione dei certificati distribuiti dall’azienda a risorse, soggetti, servizi e applicazioni. Inoltre, questo sistema comprende la rete globale di autorità di certificazione, che possono essere o meno incorporate nella PKI aziendale.

Il sistema di gestione delle identità (ID Management System) è responsabile della creazione, dell’archiviazione e della manutenzione degli account utente e dei dati di identità dell’organizzazione, come un server Light Directory Access Protocol (LDAP).

Questo sistema memorizza i dettagli essenziali relativi all’individuo, ad esempio il nome, l’indirizzo e-mail e i certificati. Memorizza anche caratteristiche aziendali come il ruolo dell’individuo, gli attributi di accesso e le risorse assegnate. Può integrarsi con altri sistemi, come un’infrastruttura a chiave pubblica (PKI), per memorizzare gli artefatti relativi agli account utente e può far parte di una comunità federata più ampia, che può includere personale non aziendale o collegamenti a risorse non aziendali per la collaborazione.

In sintesi, l’Architettura a Fiducia Zero è una procedura multiforme che richiede un’attenta coordinazione.

L’obiettivo è garantire che le risorse aziendali non siano accessibili senza l’autorizzazione di un PEP. Le risorse non accettano connessioni in entrata da Internet e consentono solo connessioni personalizzate dopo che il cliente è stato autenticato e autorizzato. Questi percorsi di comunicazione sono stabiliti dal PEP.

L’uso di un Packet Edge Protector (PEP) aiuta a proteggersi dagli aggressori che tentano di identificare gli obiettivi attraverso la scansione e il lancio di attacchi Denial of Service (DoS) contro le risorse situate dietro il PEP.