Proteggere la forza lavoro remota: Implementazione dell’accesso Zero Trust
Implementazione dell’accesso Zero Trust
La pandemia globale ha costretto i “lavoratori della conoscenza” a lasciare in massa gli uffici per trasferirsi nell’ambiente isolato delle loro case. La maggior parte tornerà in ufficio prima o poi, anche se non a tempo pieno, mentre le aziende si adeguano alle misure di allontanamento sociale volte a garantire la sicurezza dei dipendenti. Global Workplace Analytics stima che entro la fine del 2021 il 25-30% della forza lavoro lavorerà da casa più giorni alla settimana. Altri potrebbero non tornare mai in un ufficio, scegliendo di rimanere per sempre un dipendente che lavora da remoto (WFH).
L’improvvisa trasformazione di così tante persone in lavoratori da remoto ha messo a dura prova la sicurezza delle reti. Il tempo a disposizione per sviluppare ed eseguire una strategia di accesso remoto sicuro che fornisse lo stesso livello di protezione dei lavoratori in ufficio è stato pochissimo. Ciò ha introdotto una serie di rischi e sfide per la sicurezza informatica e la necessità di soluzioni reali di accesso Zero Trust, indipendentemente dal luogo in cui le persone lavorano.
La sicurezza è spesso un anello debole dell’accesso remoto
Ad aprile 2020, proprio mentre milioni di lavoratori d’ufficio iniziavano la loro incursione nelle pratiche WFH, Cato ha condotto il sondaggio “Enterprise Readiness to Support Widespread Work-from-Anywhere” survey sulla disponibilità delle aziende a facilitare il lavoro a distanza. Prendendo a campione quasi 700 organizzazioni, Cato ha scoperto che quasi per due terzi degli intervistati (62%) il traffico di accesso remoto è almeno raddoppiato dopo l’epidemia e per più di un quarto (27%) è triplicato.
Un aspetto critico è il modo in cui le aziende applicano i criteri di sicurezza ai loro dipendenti remoti in aumento. L’indagine ha rilevato che la maggior parte degli intervistati non impiega almeno una misura chiave necessaria per una sicurezza di livello aziendale:
- Autenticazione a più fattori (MFA) per convalidare l’identità dell’utente,
- Prevenzione delle intrusioni per identificare gli attacchi basati sulla rete, oppure
- Antimalware per prevenire le minacce poste da contenuti dannosi.
Sebbene l’MFA sia diventato uno standard anche tra i consumatori, più di un terzo (37%) degli intervistati non utilizza l’MFA per l’ammissione degli utenti remoti, affidandosi invece al Single Sign On (SSO) o a username e password. Per quanto riguarda la prevenzione degli attacchi, più della metà degli intervistati (55%) non impiega la prevenzione delle intrusioni o l’antimalware. Ancora peggio, l’11% non ispeziona affatto il traffico.
Utilizzati dal 64% degli intervistati, i server VPN sono la soluzione specifica dominante per consentire l’accesso remoto. Pur fornendo la crittografia del traffico e l’autenticazione degli utenti, le VPN rappresentano un rischio per la sicurezza perché garantiscono l’accesso all’intera rete senza la possibilità di controllare l’accesso granulare degli utenti a risorse specifiche. Non viene controllata la configurazione della sicurezza del dispositivo di connessione, che potrebbe consentire l’ingresso di malware nella rete. Inoltre, le credenziali VPN rubate sono state coinvolte in diverse violazioni di dati di alto profilo. Utilizzando credenziali legittime e collegandosi attraverso una VPN, gli aggressori sono stati in grado di infiltrarsi e muoversi liberamente nelle reti aziendali mirate.
Le VPN stanno cedendo il passo alla sicurezza Zero Trust
L’industria tecnologica si sta muovendo verso un modello di accesso degli utenti molto più sicuro, noto come Zero Trust Network Access (ZTNA). È anche chiamato perimetro definito dal software (SDP). Il funzionamento di ZTNA è semplice: negare a tutti e a tutto l’accesso a una risorsa, a meno che non sia esplicitamente consentito. Questo approccio consente una sicurezza generale della rete più rigorosa e una microsegmentazione che può limitare i movimenti laterali in caso di violazione. Questo è il principio di base su cui si fondano le architetture ZTNA.
L’anno scorso, la Market Guide for Zero Trust Network Access (ZTNA) di Gartner ha previsto che entro il 2023 il 60% delle aziende abbandonerà le VPN e utilizzerà invece ZTNA. Il vantaggio principale di ZTNA è il controllo granulare su chi ottiene e mantiene l’accesso alla rete, a quali risorse specifiche e da quale dispositivo dell’utente finale. L’accesso viene concesso con privilegi minimi, secondo i criteri di sicurezza.
Questo controllo a livello granulare è anche il motivo per cui Zero Trust Network Access completa l’approccio basato sull’identità alle richieste di accesso di rete SASE (Secure Access Service Edge). Grazie a ZTNA integrato in una piattaforma di rete cloud-native, SASE è in grado di collegare le risorse delle aziende moderne (siti, applicazioni cloud, data center cloud e utenti mobili e da remoto) con il giusto grado di accesso.
L’integrazione della sicurezza è la chiave per applicare in modo efficace i criteri di sicurezza Zero Trust
Come le VPN, i firewall e le soluzioni di prevenzione delle intrusioni, esistono sul mercato soluzioni specifiche per ZTNA. In effetti, oggi molte reti sono configurate con una serie di soluzioni di sicurezza e di accesso remoto stand-alone. Questa mancanza di integrazione dei prodotti è un vero e proprio svantaggio per una serie di motivi. In primo luogo, aumenta la probabilità di configurazioni errate e di criteri di sicurezza incoerenti. In secondo luogo, aumenta la latenza della rete, poiché il traffico deve essere ispezionato separatamente da ciascun dispositivo. Infine, la mancanza di integrazione rende praticamente impossibile il rilevamento olistico delle minacce, poiché ogni appliance ha i propri dati nel proprio formato. Anche se questi dati vengono aggregati da un SIEM, c’è un lavoro considerevole per normalizzare i dati e correlare gli eventi in tempo per fermare le minacce prima che possano fare danni.
Inoltre, Zero Trust è solo una parte di una soluzione di accesso remoto. Esistono problemi di prestazioni e di sicurezza continua che non vengono affrontati dalle offerte stand-alone di ZTNA. È qui che la piena integrazione di ZTNA completamente integrato in una soluzione SASE è molto vantaggiosa.
SASE mette Zero Trust Network Access, NGFW, e altri servizi di sicurezza insieme a servizi di rete come SD-WAN, ottimizzazione WAN, e aggregazione della larghezza di banda in una piattaforma cloud-native. Questo significa che le aziende che sfruttano l’architettura SASE ricevono i vantaggi di Zero Trust Network Access, oltre a una suite completa di soluzioni convergenti di rete e di sicurezza semplici da gestire e altamente scalabili. La soluzione Cato SASE offre tutto questo in una piattaforma cloud-native.
La piattaforma SASE di Cato semplifica l’accesso remoto sicuro per chi lavora da remoto
Cosa significa questo per chi lavora con l’accesso remoto? La piattaforma Cato SASE rende molto semplice e veloce l’accesso altamente sicuro a tutti i lavoratori da remoto.
Cato offre la flessibilità necessaria per scegliere le modalità di connessione sicura degli utenti da remoto e mobili alle risorse e alle applicazioni. Cato Client è un’applicazione leggera che può essere configurata in pochi minuti e che connette automaticamente l’utente da remoto a Cato Cloud. L’accesso clientless consente un accesso ottimizzato e sicuro a determinate applicazioni attraverso un browser. Gli utenti devono semplicemente accedere a un portale delle applicazioni, disponibile a livello globale da tutti i 57 PoP di Cato, autenticarsi con l’SSO configurato e ricevere immediatamente le applicazioni approvate. Entrambi gli approcci utilizzano ZTNA integrato per proteggere l’accesso a specifiche risorse di rete.
Un approccio Zero Trust è essenziale per una forza lavoro remota sicura e la soluzione di Cato consente un’implementazione semplice ed efficace di ZTNA.
Per ulteriori informazioni su come supportare la vostra forza lavoro remota, scaricate l’e-book gratuito di Cato Work From Anywhere for Everyone.