Rete Zero Trust: perché ne avete bisogno e 5 passi per cominciare
Cos’è la rete Zero Trust?
Il modello di sicurezza Zero Trust prevede che non ci si debba fidare di nessun utente o entità, all’interno o all’esterno dell’organizzazione. Non esiste un perimetro di rete. Invece, ci sono micro-perimetri intorno a sistemi specifici, ognuno con i propri criteri di sicurezza. A ogni utente o entità viene concesso solo l’accesso minimo necessario per svolgere il proprio ruolo.
In passato, la sicurezza della rete si basava principalmente sulla difesa del perimetro. Sistemi come i firewall e sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS) sono stati implementati in corrispondenza degli edge della rete e avevano il compito di impedire agli intrusi di penetrare nella rete. In una rete Zero Trust, questi strumenti sono ancora utilizzati, ma sono integrati da misure avanzate per fermare gli aggressori quando sono già all’interno della rete aziendale.
Le reti Zero Trust utilizzano il concetto di microsegmentazione per suddividere la rete aziendale più grande in più reti più piccole, con una sovrapposizione minima tra di esse. Ciò significa che anche se una certa parte della rete viene violata, gli aggressori non possono spostarsi lateralmente verso altri sistemi. Il monitoraggio deve essere effettuato per ottenere visibilità sul traffico che scorre nella rete e tra i segmenti di rete, per consentire l’auditing e identificare le attività anomale.
Le sfide del vecchio modello di sicurezza della rete
Il vecchio modello di sicurezza della rete, che si affidava alle entità all’interno del perimetro della rete, ha sempre avuto problemi, ma i recenti cambiamenti nell’ambiente IT lo hanno messo in ginocchio. Stiamo assistendo a un’enorme crescita del lavoro a distanza, al crescente utilizzo di risorse cloud, di dispositivi Internet of Things (IoT) e di altri elementi che si collegano al sistema aziendale da remoto.
L’accesso remoto alla rete aziendale è diventato la regola, non l’eccezione. L’accesso remoto espone gli indirizzi IP interni e crea nuovi vettori di attacco. Gli aggressori possono facilmente compromettere i dispositivi degli utenti finali attraverso l’ingegneria sociale, ottenendo così l’accesso all’intera rete. Le risorse cloud e i dispositivi IoT sono soggetti a configurazioni errate, che gli aggressori possono sfruttare per compromettere queste entità e penetrare nella rete.
In particolare, la rete privata virtuale (VPN) è una tecnologia obsoleta e difficile da proteggere e gestire. Molte organizzazioni si rendono conto che la VPN non è più una soluzione valida per garantire l’accesso remoto ai sistemi aziendali.
Questi sviluppi significano la scomparsa del vecchio perimetro di rete e danno origine al concetto di “Zero Trust”: non fidarsi mai di un account utente o di una connessione, sia che provenga dall’interno che dall’esterno della rete aziendale.
Principi della sicurezza di rete Zero Trust
Ecco alcune tecniche e best practice che possono aiutarvi a portare la vostra rete verso un modello Zero Trust:
- Accesso con il privilegio minimo:garantisce che tutti gli utenti della rete abbiano accesso solo alle applicazioni e alle funzionalità di cui hanno effettivamente bisogno. Questo limita la capacità di un aggressore di spostarsi lateralmente da un sistema all’altro, riducendo i danni causati da una violazione.
- Microsegmentazione:suddivide la rete in diversi segmenti di rete con diverse credenziali di accesso. Ciò fornisce una protezione aggiuntiva, impedendo agli aggressori di spostarsi su altri segmenti di rete quando uno di questi è compromesso.
- Controlli sull’utilizzo dei dati:limitano l’utilizzo dei dati da parte degli utenti autorizzati. Questo dovrebbe avvenire in modo dinamico, ad esempio revocando il diritto di accesso ai set di dati finanziari quando un dipendente lascia il dipartimento finanziario.
- Monitoraggio continuodetermina come gli utenti e le entità interagiscono con i dati e gli altri sistemi. Questo può allertare i team di sicurezza in caso di violazioni. Ma oltre agli avvisi e alla risposta manuale, il monitoraggio può anche essere collegato ai controlli di sicurezza adattivi, che possono reagire automaticamente ai comportamenti sospetti.
Tipi di soluzioni di rete Zero Trust
La principale soluzione tecnologica utilizzata per implementare una rete Zero Trust è Zero Trust Network Access (ZTNA). Gartner ha identificato due approcci utilizzati dai fornitori per sviluppare soluzioni ZTNA: ZTNA avviato da endpoint e ZTNA avviato da servizio.
ZTNA avviato da endpoint
Questo tipo di soluzione segue le specifiche SDP (perimetro definito dal software) della Cloud Security Alliance (CSA), un primo standard per le reti Zero Trust. In genere segue questo processo:
- Sul dispositivo dell’utente finale autenticato viene installato un agente che invia informazioni sul contesto di sicurezza a un controller.
- Il controller richiede l’autenticazione dell’utente del dispositivo e restituisce un elenco di applicazioni consentite.
- Il controller fornisce una connessione dal dispositivo attraverso un gateway, proteggendo il servizio dall’accesso diretto a Internet, dagli attacchi denial of service (DoS) e da altre minacce provenienti da reti pubbliche.
- Quando il controllore stabilisce una connessione, alcuni prodotti rimangono nel percorso dei dati. Altri invece si tolgono e permettono al dispositivo e al servizio di interagire direttamente.
Pro e contro
Questo tipo di ZTNA ha il vantaggio di fornire informazioni dettagliate sul contesto del dispositivo di connessione. È inoltre possibile effettuare controlli sullo stato di salute del dispositivo e verificare che sia aggiornato e che sia stato sottoposto a scansione per individuare eventuali malware.
Lo svantaggio è che è rilevante solo per i dispositivi gestiti. Sono molto difficili da implementare sui dispositivi personali. Questi possono essere utilizzati esclusivamente quando l’azienda adotta una politica BYOD (Bring Your Own Device) oppure occasionalmente quando i dipendenti accedono ai servizi da casa o da dispositivi mobili.
In alcuni casi questo problema può essere risolto utilizzando Unified Endpoint Security (UES), una soluzione che gli utenti potrebbero essere più disposti a implementare sui dispositivi personali e che può fungere da agente nel processo ZTNA.
ZTNA avviato da un servizio
Questo tipo di soluzione è in linea con il framework Google BeyondCorp, un modello creato da Google per implementare Zero Trust nelle organizzazioni. Funziona come segue:
- Un connettore, installato sulla stessa rete dell’applicazione, stabilisce e mantiene una connessione in uscita verso un provider di servizi cloud.
- Gli utenti si collegano al servizio cloud e il servizio cloud autentica gli utenti tramite una tecnologia di gestione delle identità aziendali.
- Il provider del cloud verifica l’autorizzazione dell’utente ad accedere alle applicazioni protette.
- Solo dopo l’autenticazione e l’autorizzazione, il traffico passa dal servizio cloud all’applicazione, situata dietro il firewall.
Questa architettura isola le applicazioni dall’accesso diretto attraverso un proxy. Non è necessario aprire i firewall aziendali per il traffico in entrata. Tuttavia, l’organizzazione diventa dipendente dalla rete del provider di servizi e deve assicurarsi che quest’ultimo offra un livello di sicurezza sufficiente.
Pro e contro
ZTNA avviato dal servizio ha il vantaggio di essere un metodo interessante per i dispositivi non gestiti, perché non è necessario un agente su ogni dispositivo dell’utente finale.
Lo svantaggio è che in alcune soluzioni ZTNA il protocollo dell’applicazione deve essere basato su HTTP/HTTPS, il che limita la soluzione alle applicazioni Web. Le applicazioni che utilizzano protocolli come Secure Shell (SSH) o Remote Desktop Protocol (RDP) potrebbero non essere supportate.
5 passi per creare una rete Zero Trust
Le reti Zero Trust non si basano su un hardware specifico, ma su nuovi metodi di sicurezza. Per trasformare l’infrastruttura esistente in una rete Zero Trust, potete utilizzare il seguente processo:
- Creare un inventario degli asset:valutare il valore e la vulnerabilità degli asset aziendali, come le applicazioni mission critical, i dati sensibili o la proprietà intellettuale, creando un inventario degli asset.
- Verificare gli account, gli utenti e i dispositivi:in molti casi, le violazioni sono il risultato di dispositivi falsificati o di account compromessi. Per mantenere Zero Trust, i dispositivi e gli utenti devono dimostrare la loro identità e le loro proprietà (ad esempio, un dispositivo sconosciuto deve essere verificato come sicuro). La verifica può essere effettuata tramite l’autenticazione a più fattori (MFA), l’analisi comportamentale, gli agenti endpoint e l’analisi dei criteri del dispositivo.
- Definire i flussi di lavoro consentiti:identificare chi deve avere accesso agli asset, quando, come e perché l’accesso viene concesso come parte dei normali processi aziendali.
- Definire i criteri e automatizzarli:definire un criterio di autenticazione in base ai metadati disponibili, come il dispositivo, la posizione, la fonte, l’ora e il contesto, come le attività recenti e i risultati dell’MFA. ZTNA può aiutarvi ad automatizzare questi processi.
- Test, monitoraggio e manutenzione:utilizzare la modellazione delle minacce per identificare i punti in cui è necessario limitare l’accesso per eliminare le minacce più rilevanti e ridurre al minimo l’impatto sulla produttività. I team di sicurezza devono monitorare continuamente l’attività dei dispositivi per rilevare le anomalie e regolare attivamente i criteri per prevenire nuove minacce.
Rete Zero Trust con Cato SASE Cloud
La soluzione Zero Trust di Cato – Cato SDP – fornisce una rete Zero Trust per accedere in modo sicuro alle applicazioni on-premises e cloud tramite qualsiasi dispositivo. Con un client Cato o un accesso al browser clientless, gli utenti si connettono in modo sicuro al Cato PoP più vicino utilizzando una valida autenticazione a più fattori.
Integrato nella piattaforma SASE di Cato, Cato SDP offre le seguenti funzionalità chiave:
- Scalabilità: Cato SDP scala istantaneamente per supportare l’accesso ottimizzato e sicuro a un numero illimitato di utenti, dispositivi e sedi, senza richiedere infrastrutture aggiuntive.
- Accesso e autenticazione: Cato SDP applica l’autenticazione a più fattori e criteri di accesso granulari alle applicazioni, che limitano l’accesso alle applicazioni approvate, sia on-premises che nel cloud. Gli utenti non hanno accesso al livello di rete, riducendo in modo significativo i rischi.
- Prevenzione delle minacce: Cato SDP fornisce una protezione continua contro le minacce, applicando la deep packet inspection (DPI) per la prevenzione delle minacce a tutto il traffico. La protezione dalle minacce viene estesa senza problemi all’accesso a Internet e alle applicazioni, sia on-premises che nel cloud.
- Prestazioni: Cato SDP consente agli utenti remoti di accedere alle risorse aziendali attraverso una dorsale privata globale e non attraverso l’imprevedibile rete Internet pubblica. In questo modo si ottiene un’esperienza coerente e ottimizzata per tutti, ovunque.