Negli aggiornamenti della security in aziende che hanno adottato su larga scala servizi in cloud e paradigmi di lavoro a distanza, sta diventando oggi molto popolare l’approccio noto come zero trust network. Un modello che ribalta l’idea tradizionale di sicurezza basata sul perimetro, e quindi con protezioni diverse a seconda che ci si trovi all’interno oppure all’esterno, a favore di un sistema unico e più coerente di difesa.
La strategia zero trust network fa perno sulla capacità d’identificare gli asset, sulla verifica delle identità di ogni dispositivo e di ogni persona che accedono ad applicazioni e dati. Lo fa attraverso principi, procedure e tecnologie specifiche per garantire sicurezza nelle realtà dove non esiste più un perimetro di rete aziendale ben definito. Strategia che ha successo quando è implementa compiutamente.
Zero trust network: la strategia che non si fida di nessuno
Mentre firewall, VPN e altre tradizionali protezioni si fondano sul presupposto che le minacce di security arrivino dall’esterno dell’azienda (a fronte della sostanziale fiducia accordata ai dispositivi e alle azioni degli utenti interni) in un’architettura di zero trust network non ci si fida di niente e di nessuno. Un’evoluzione che accompagna la diffusione dei servizi digitali erogati tramite cloud o all’esterno dell’azienda, pratiche che rendono difficile definire perimetri di difesa da cui controllare cosa entra e cosa esce.
Un cambiamento dello scenario della security di cui occorre prendere atto. “Non è più come nel passato, quando si sapeva dov’erano fisicamente server e client e in quali punti della rete si connettevano” spiega Giorgio Milanesio, BU & IT Service Manager di Criticalcase. “Il cloud, l’uso di client distribuiti, gli accessi esterni a tele-lavoratori esplosi durante la pandemia da Covid-19 hanno mutato i contesti da difendere. La strategia zero trust network risponde alle nuove esigenze spostando la gestione della sicurezza dal perimetro del data center a ogni singolo device”.
Un cambiamento funzionale all’operatività. Zero trust network ha accompagnato la risoluzione dei problemi di performance di rete a cui le aziende sono andate incontro con la pandemia, “quando gli amministratori hanno scoperto l’impossibilità di gestire navigazione Web e traffico Internet con un gran numero di client esterni” precisa Milanesio. “Laddove, nel passato, i flussi di dati erano gestiti in sede con proxy server, antivirus e altri sistemi di detection, con l’uso della videoconferenza e di altre applicazioni in cloud si è reso necessario dirottare all’esterno parte del traffico e puntare sull’auto-protezione dei client e su una gestione distribuita della security”.
Cosa cambia con una strategia di zero trust network
L’adozione della strategia di zero trust network segue percorsi diversi, a partire da un assesment iniziale per capire cosa serve per implementarla e minimizzare gli impatti sull’operatività. “La filosofia zero trust network ha bisogno di strumenti più sofisticati d’ID management e di managed detection & response (MDR) per estendere la gestione delle protezioni a livello dei dispositivi”, spiega Milanesio. “Si aggiungono gli strumenti per gestire i criteri d’isolamento delle macchine e ottenere le automazioni che rendono più veloci le difese”.
Serve, inoltre, integrare capacità SD-WAN con le funzionalità di NAC (network access control) che nelle LAN autorizzano l’accesso a specifici asset informativi e ai client utente. “L’utilizzo di logiche SASE (secure access service edge) permette d’implementare le politiche di sicurezza su un perimetro molto più vasto di quello tradizionale del data center, rendendo difficili le violazioni e aumentando la capacità d’isolare i sistemi compromessi”, aggiunge il manager.
Una sfida all’implementazione della strategia zero trust network è rappresentata dall’uso dei protocolli legacy nelle applicazioni. “Parliamo, per esempio, dei protocolli per l’interrogazione database, nati per un utilizzo in LAN e poco adatti, sul piano della sicurezza e delle performance, a viaggiare su reti geografiche”, precisa Milanesio. “In queste situazioni occorre fare come i service provider: incapsulare le funzioni vulnerabili all’interno di servizi a cui si accede solo mediante interfacce sicure e ottimizzate per un utilizzo in WAN. Un cambiamento che non è a costo zero, anche se, in alcuni casi è possibile evitare le onerose ristrutturazioni software utilizzando degli accessi tramite remote desktop o altri sistemi di prossimità”.
L’importanza dell’esperienza nelle implementazioni
Nell’adozione dell’approccio zero trust network è importante la ricerca del giusto equilibrio tra le esigenze di operatività e le necessità di controllo e verifica delle richieste d’accesso, prima di consentirne l’utilizzo delle risorse. L’applicazione delle politiche zero trust network si basa sulla visibilità in tempo reale di centinaia di attributi d’identità di utenti e apparati. “Cosa che si ottiene mettendo a frutto le capacità dei sistemi di monitoraggio esistenti, avviando analisi delle tipologie di dati in transito, quindi verificandone l’uso effettivo e gli eventuali sprechi”, spiega Milanesio.
Lo scoglio delle implementazioni non è rappresentato dalla tecnologia, ma dalla capacità di convincere le persone a cambiare abitudini. “Può servire, per esempio, spiegare a un team di sviluppo che non si può più avere l’accesso illimitato e diretto a moli importanti di dati, ma solo alla porzione che ha senso, volta a volta, testare. Non esiste una soluzione facile e trasparente alle pratiche abitudinarie d’uso dei dati”.
Un partner che ha affrontato implementazioni di strategie zero trust network ha competenze tecniche ed esperienza per risolvere i problemi che sorgono con gli utenti. “Le situazioni che abbiamo incontrato negli anni sono tante, – continua Milanesio – come affrontare e risolvere le obiezioni di chi, per esempio, fino al giorno prima gestiva, senza alcuna sicurezza, archivi di dati locali presso i propri uffici. Non tutte le aziende sono uguali, per avere successo nei progetti occorre mediare tra requisiti e operatività usando la ragionevolezza, bilanciando costi e benefici”.