“Zero Trust” è un termine coniato nel 2010 da John Kindervag, analista di Forrester Research, da allora, è diventato più di una parola ed è ora una strategia essenziale per le aziende alle prese con la digitalizzazione, in cui il numero di processi interconnessi è in aumento. Ma come implementare efficacemente una strategia Zero Trust?
Sono quattro i fattori fondamentali per un’adozione di successo:
Zero Trust deve essere limitato ai misure di cybersecurity
In primo luogo, si fanno ancora troppo spesso supposizioni nei protocolli di sicurezza. Ad esempio, quando si ritiene che un account autentico all’interno della rete aziendale possa essere automaticamente classificato come sicuro. In realtà, non dovrebbe essere scartato come potenziale minaccia. Uno dei driver principali di una strategia Zero Trust è avere il controllo assoluto della cybersicurezza eliminando proprio tali supposizioni. Questo non significa dubitare di tutti i dipendenti e colleghi, ma garantire la protezione di tutti accertandosi che non ci siano potenziali pericoli all’interno della rete aziendale.
Zero Trust offre scalabilità in un mondo digitale in rapida evoluzione
Insieme alla digitalizzazione delle aziende, la situazione lavorativa è intrinsecamente cambiata e rende ancora più importante non dare per scontato nulla in materia di cybersecurity. A prescindere dal luogo dal quale l’utente si connetta alla rete aziendale – da casa o in ufficio – dovrebbero essere applicati gli stessi controlli di sicurezza. Troppo spesso invece ci si concentra su quale dispositivo IT viene protetto e come. Ma è altrettanto, se non più importante, sapere dove si trovano i dispositivi informatici in rete perché anche in questo caso le misure di cybersecurity dovrebbero essere le stesse, indipendentemente dalla posizione. Questa coerenza assicura scalabilità, che è la chiave in un mondo digitale in rapida evoluzione.
I processi aziendali chiave devono essere segmentati
Ancora oggi, numerose aziende operano con architetture IT flat e molte stanno cercando di diventare più interconnesse, garantendo l’accesso alle informazioni a tutti coloro che lavorano nell’organizzazione. Con supply chain digitali sempre più estese e connessioni al cloud in rapida crescita, l’esposizione al rischio per ogni azienda diventa insostenibile. I processi chiave devono essere segmentati per potenziare la resilienza operativa digitale in modo che, in caso di incidente, l’esposizione sia limitata.
Completa visibilità degli asset digitali a supporto del business
Una strategia “cloud first” è ormai uno standard in ogni grande azienda italiana. Incoraggiando le unità di business a sfruttare autonomamente tutte le capacità fornite dall’innovazione digitale, i tradizionali confini della rete aziendale sono sfumati. Sapere chi accede a cosa, e per quale scopo, richiede una visione globale delle dipendenze dei servizi digitali online (SaaS) e delle interconnessioni con le reti di terze parti (fornitori, partner e anche clienti).
Elementi fondamentali di un’architettura Zero Trust
Zero Trust richiede un approccio olistico e coerente attivabile in tutti i domini chiave. Ci sono alcuni elementi fondamentali della sua architettura:
1. Verificare tutti gli utenti, dispositivi, infrastrutture e applicazioni: convalidare sempre l’identità dell’utente, l’integrità dell’host che sta utilizzando e l’applicazione a cui cerca di accedere. Indipendentemente da dove si trovino utente, dispositivo o applicazione.
2. Applicare l’accesso basato su contesto: ogni decisione sulla policy di accesso dovrebbe prendere in considerazione il contesto di utente, dispositivo e applicazione (ad esempio se l’utente utilizza o meno un software antivirus).
3. Proteggere tutti i contenuti: controllo costante di tutti i contenuti per verificare che siano legittimi, sicuri e protetti, e analisi di tutte le transazioni di dati per prevenirne la perdita.
4. Monitoraggio e analisi continui di tutta l’infrastruttura di sicurezza: controllare tutte le connessioni e i contenuti alla ricerca di segnali di attività anomale o dannose per scoprire vulnerabilità all’interno dell’implementazione e utilizzare questi dati per analizzare e mettere a punto in modo costante policy per migliorare la sicurezza del sistema.
Zero Trust richiede una visibilità costante e robusta. Se non si possono identificare i processi chiave del business digitale nell’’intero ecosistema, non si potranno definire controlli di sicurezza appropriati e coerenti. Il tempo e gli sforzi della sicurezza devono essere concentrati per dare la massima resilienza operativa all’azienda. Non si può più basare la sicurezza sull’IT in sé, ma serve concentrarsi su ciò che fa e su quali processi aziendali ricoprono un ruolo fondamentale.
A cura di Raphael Marichez, CISO SEUR di Palo Alto Networks
