Approccio Zero Trust: da dove cominciare?

Ormai da qualche anno si discute dell’approccio Zero Trust e tutto fa pensare che sarà il modello sempre più diffuso in materia di sicurezza dei dati. Tuttavia, molte organizzazioni trovano ancora difficile compiere il primo passo. Gli esperti di Juniper Networks, azienda specializzata nelle reti sicure basate su AI, hanno analizzato le caratteristiche e le principali strategie Zero Trust che le aziende possono adottare a seconda dei progetti e delle necessità specifiche.

Visibilità

Molti fornitori di soluzioni di networking e di sicurezza hanno iniziato a sviluppare soluzioni e campagne di rebranding per capitalizzare sull’approccio Zero Trust. Tuttavia, i decisori sono ancora confusi su come avviare le proprie iniziative e spesso non sanno da dove cominciare.

Partire dalla visibilità è fondamentale. Con Zero Trust non parliamo solo di visibilità degli asset, bensì di divisibilità e classificazione dei dati, nonché di visibilità a un livello molto più granulare su privilegi, account, entità impersonali, API. Per Zero Trust, la visibilità e l’interoperabilità di questi elementi hanno una portata molto più vasta di quanto si è pensato per anni semplicemente in riferimento alla compliance.

Generalmente, le organizzazioni possono definire una strategia a livello di board nel loro approccio alla sicurezza, mettendo i team al lavoro su progetti e prodotti per un periodo di 18-36 mesi, oppure scegliere di risolvere i problemi man mano che si presentano con progetti puntuali in modo non strutturato. Pur essendo molto più pratico, il secondo approccio presenta il rischio di ritrovarsi con un’eccessiva quantità di soluzioni che si sovrappongono o lasciano falle nel fabric, oltre a essere molto costose da gestire.

Di seguito, i progetti più idonei per avviare le iniziative Zero Trust secondo gli esperti di Juniper:

  • Progetti IT a breve termine, come ad esempio l’accesso di terzi o di fornitori. Ciò non ha un effetto sull’intera popolazione di utenti, per cui costi e impatto sono contenuti. Generalmente, si tratta di una decisione facile e, in caso non risulti in linea con la strategia a lungo termine, è possibile tornare sui propri passi senza troppi danni.
  • Approccio greenfield, ovvero quando un’organizzazione si trova in un ciclo di aggiornamento. Se un’azienda sta iniziando a migrare risorse nel cloud e a sostituire le VPN, sta già facendo acquisti e prendendo decisioni. Questo è il momento di implementare una strategia Zero Trust in modo relativamente semplice.
  • Nuove leggi e normative possono entrare in gioco. Se un’azienda possiede tipi di dati che rientrano nell’ambito della conformità, il processo è abbastanza lineare.

Dopo avere identificato e selezionato un progetto, è necessario mappare e valutare i rischi per la sicurezza in relazione al contesto. Molte potenziali violazioni sono causate dagli utenti che cercano di accedere alle risorse o dai dispositivi che cercano di accedere ad altri dispositivi. Possono anche verificarsi problemi di sicurezza riguardanti la microsegmentazione dei workload, soprattutto negli ambienti data center.

Le quattro principali soluzioni Zero Trust

In generale, è possibile individuare quattro principali tipologie di soluzioni che possono aiutare le organizzazioni ad avvicinarsi al modello Zero Trust:

  • Controllo degli accessi alla rete. Un processo NAC (Network Access Control) aggiunge alla rete policy per il controllo degli accessi da parte di dispositivi e utenti. Le policy possono essere basate sull’autenticazione dell’utente e/o del dispositivo e sullo stato della configurazione dell’endpoint.
  • Accesso Zero Trust alla rete. ZTNA (Zero Trust Network Access) è un’architettura di sicurezza IT che fornisce un accesso remoto sicuro ad applicazioni, dati e servizi di un’organizzazione in base a policy di controllo degli accessi chiaramente definite.
  • Broker di sicurezza per l’accesso cloud. Secondo Gartner, un broker di sicurezza per l’accesso cloud (CASB) è un punto di applicazione della policy di sicurezza on-premise o nel cloud che si colloca tra i consumatori e i fornitori dei servizi cloud per combinare e applicare le policy di sicurezza aziendali al momento dell’accesso alle risorse cloud.
  • Gateway web sicuri. Un gateway web sicuro è una soluzione che filtra malware e software indesiderati dal traffico web/internet avviato dall’utente e garantisce la conformità ai criteri aziendali e normativi.

All’elenco si può aggiungere anche il modello Secure Access Security Edge (SASE), trattandosi di un framework di sicurezza che offre networking e sicurezza convergenti sotto forma di funzionalità quali SD-WAN, Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Network Firewall (NGFW) e Zero Trust Network Access (ZTNA).

La soluzione ottimale

Sono molti i fattori da considerare quando si sceglie una soluzione Zero Trust: è in cloud? Qual è la curva di apprendimento? Come si concilia con l’attuale roadmap per la sicurezza e quanto influisce sul workload? Le aziende devono quantificare questi fattori assegnando dei valori e trovando un modo per misurare le soluzioni possibili e mappare la soluzione reale.

Anche se tutti sono alla ricerca della soluzione ideale capace di risolvere le sfide associate a Zero Trust, la realtà è che muovendosi tra questi casi d’uso le aziende incontreranno diversi motori di policy e diversi punti dell’infrastruttura che stanno ancora prendendo decisioni sull’accesso, almeno nel prossimo futuro. Per il momento, le aziende devono essere pronte ad avere, per così dire, molteplici fonti di verità, come accadeva in certa misura nelle varie implementazioni.

Un aspetto molto vantaggioso dell’esercizio di mappatura della soluzione è che si tratta di un approccio mirato. In questo modo, si evita che le organizzazioni si trovino a gestire un insieme di strumenti diversi e soluzioni isolate. L’intento dovrebbe consistere nell’adottare i progetti a più alta priorità nelle categorie precedentemente citate puntando a implementare strategie Zero Trust efficaci.