Approccio Zero Trust, come si fa nella pratica e 4 software che servono

29 Settembre 2021

L’approccio di sicurezza Zero Trust è stato introdotto da Forrester nel 2009 e si basa sul fatto che la fiducia (trust) sia una vulnerabilità. Quindi la sicurezza IT andrebbe sempre progettata secondo la strategia “never trust, always verify” (mai fidarsi, verificare sempre). In pratica, la sicurezza Zero Trust presuppone che ogni utente, dispositivo, sistema o connessione possa essere già compromesso, sia che si trovi all’interno sia all’esterno della rete aziendale, e quindi non ci si deve mai fidare. In poche parole, fornisce ai CISO e agli altri leader della sicurezza IT un metodo più rigoroso, adatto ad affrontare un mondo caratterizzato da un rischio crescente per la stessa sicurezza IT.

Come si applica l’approccio Zero Trust

Zero Trust non è una tecnologia e non è un prodotto, è una sorta di approccio filosofico alla sicurezza abilitato dalla tecnologia che si basa sul fatto che in qualsiasi momento qualcosa potrebbe andare storto e si potrebbe subire un attacco. Anche una persona di grande fiducia potrebbe fare cose malevole o, meglio, potrebbe essere sfruttata per fare cose malevole perché gli hacker hanno preso il controllo del suo computer o del suo account.

Da quando esiste l’informatica, si sono sempre considerati dei livelli di fiducia. Il computer in ufficio non protetto da password che chiunque può usare è una dimostrazione di fiducia nei confronti degli utenti presenti in azienda, ma è molto lontano dallo Zero Trust. Un approccio Zero Trust implica che ogni utente che utilizza quel computer condiviso debba avere credenziali proprie e che ci siano delle policy che gli permettano di usare solo i software o le funzioni di sua competenza. Siccome di base non ci si fida, qualsiasi cosa un utente faccia su quel computer deve essere loggata da qualche altra parte e in maniera non alterabile, così da avere, in ogni momento, una traccia delle azioni svolte.

L’approccio Zero Trust si può riflettere su tantissimi altri aspetti. Prendiamo per esempio le VPN. Sono uno strumento fondamentale, utilizzato praticamente da tutte le aziende: con lo smart working hanno permesso di salvare il lavoro nell’ultimo anno. Le VPN sono delle porte che permettono di entrare nel network aziendale ovunque ci si trovi, come se si fosse collegati con il cavo di rete. Questo, se non sono attive delle policy, permette di muoversi liberamente all’interno della rete stessa.

L’approccio Zero Trust impone che si implementino soluzioni affinché ogni persona che si collega possa raggiungere solo e unicamente quei server dell’azienda necessari per il suo lavoro. In pratica, si crea una microsegmentazione applicativa per utenti, dove ogni utente può accedere a un numero limitato di applicazioni. Se necessario, gli si può proporre una finestra di autenticazione in più per verificare la sua identità, attendendo magari come risposta una notifica sul cellulare che mostra il suo volto. In pratica, è un’autenticazione a due fattori come quella proposta quando si fa un’operazione bancaria.

4 software per introdurre in azienda l’approccio Zero Trust

Come detto, Zero Trust non è una tecnologia e quindi non esistono prodotti basati sullo Zero Trust. Però ci sono vendor che hanno fatto di questa filosofia il loro modo d’essere e quindi hanno creato prodotti o interi ecosistemi di sicurezza che si basano interamente sull’approccio Zero Trust. Ecco i 4 più interessanti.

1. L’ecosistema Zscaler

Uno di tali prodotti è Zscaler, che si compone di un intero ecosistema di soluzioni in cloud che consentono di portare la filosofia Zero Trust in azienda. Zscaler include un meccanismo per proteggere la navigazione web e, quindi, controllare tutto ciò che le persone fanno per andare su Internet. In questo senso, ispeziona tutto il traffico, fa detonare eventuali file in sandbox, gestisce i login ed effettua un monitoring globale. Il tutto passando attraverso una soluzione in cloud chiamata Zero Trust Exchange, che è un punto di scambio Zero Trust. In questo modo, da un lato c’è la gestione Zero Trust della navigazione, mentre dall’altro c’è una soluzione paragonabile alla VPN, ma che non è VPN. È invece un Private Access, un accesso privato alle applicazioni interne dell’azienda. Qui, al contrario di quanto accade con una VPN, passando attraverso lo Zero Trust Exchange e configurando precise policy aziendali, si concede alle persone di accedere ai servizi che gli competono all’interno dell’azienda, ma non gli si fornisce una presenza in rete tale da poter fare tutto quello che ritengono opportuno.

Insieme, tutte le soluzioni che fanno parte dell’ecosistema Zscaler portano ad avere un ambiente realmente Zero Trust.

2. Autenticazioni sotto controllo con Okta

Zscaler fa molto, ma non fa tutto. Per esempio, non amministra l’autenticazione. Per questa attività si appoggia su altri servizi. In tal senso, una soluzione che permette di applicare la filosofia dello Zero Trust sulle applicazioni è Okta. Si tratta di un prodotto di identity management, che consente l’autenticazione e l’accesso alle applicazioni attraverso un monitoring centralizzato e l’impiego di specifiche policy aziendali. Grazie al dialogo fra diverse soluzioni, verifica che tutto proceda in modo regolare. Se viene individuato qualcosa di anomalo, è richiesta un’autenticazione più rigorosa per verificare che la persona che sta operando sia veramente quella in oggetto.

3. Microsegmentazione evoluta con Guardicore

Per svolgere questo compito ci sono soluzioni ancora più evolute, come per esempio Guardicore. Il principio di funzionamento si basa sull’attivazione di una serie di agenti su tutti i server, per permettere di configurare ogni connessione consentita, stabilendo quindi quale processo di un determinato server potrà parlare con un altro processo di un altro server. Questo meccanismo ha un incredibile potere nel limitare, per esempio, i “movimenti laterali”, un passaggio fondamentale di qualsiasi attacco hacker.

4. L’EDR secondo Crowdstrike

Passando invece all’endpoint protection, dove un endpoint può essere sia un computer sia un server, tra le soluzioni più orientate allo Zero Trust troviamo Crowdstrike che è un EDR, un endpoint detection and response. Si tratta sempre di un agente, un processo “invisibile” attivato sul computer che controlla cosa viene fatto e quando. Se individua dei pattern che possono corrispondere a segnali di attacco, di azioni di hacker o di agenti malevoli comunica la sua detection all’IT aziendale. Crowdstrike può anche fare un’azione di prevention e quindi impedire che tale attacco possa propagarsi.

CTA_Wp_Zero-Trust-Security