Cosa significa sicurezza Zero Trust (ZT) e perché ora si parla di approccio ZTNA

Se abbracciare i principi della sicurezza Zero Trust (ZT) oggi è un obbligo, spingersi fino a servizi e soluzioni di protezione secondo un modello ZTNA (Zero Trust Network Access) rappresenta il modo più efficace e completo per proteggere i dati e la rete aziendale.

La filosofia Zero Trust è considerata da tutti i vendor di sicurezza la più indicata per proteggere la rete aziendale oggi. Una vera e propria filosofia che ribalta totalmente i principi su cui si è basata la protezione fino a qualche anno fa. Il cambio di paradigma si è reso necessario nel momento in cui ci si è resi conto quanto non ci si possa più basare su convinzioni obsolete fondamentalmente basate sul fatto che “dentro il perimetro aziendale significa sicuro” e “fuori significa insicuro”. Ciò anche perché i confini delle reti aziendali risultano sempre più evanescenti.

Il lavoro da remoto è solo l’ultima tendenza che etichetta l’approccio tradizionale come “superato”. Le architetture IT distribuite su diversi ambienti cloud, l’accesso via Internet alla rete aziendale da parte di dispositivi controllati e non (come nell’IoT) avevano già contribuito ad annullare definitivamente le mura del castello. Di fronte alle nuove modalità operative e alla distribuzione degli ambienti IT, le metodologie tradizionali come le VPN o le DMZ hanno presentato tutti i loro limiti.

Oggi la protezione della rete deve essere indipendente dal luogo fisico da cui si connette il dispositivo e, soprattutto, deve risultare svincolata dal profilo pre-memorizzato di chi accede annullando ogni tipo di fiducia.

Cosa significa? Zero Trust vuol dire iniziale “fiducia zero”: i sistemi di protezione aziendale di ultima generazione chiedono all’utilizzatore di guadagnarsi la loro fiducia prima di consentirne l’accesso a piattaforme e applicativi. Questo perché la grande maggioranza degli attacchi alle reti aziendali oggi avviene attraverso profili noti, spesso dopo un furto di identità.

Secondo la filosofia Zero Trust nessun utente è “sicuro” e la libertà di accedere a servizi e applicativi deve essere conquistata, applicativo per applicativo, sessione per sessione. L’accesso by default è definitivamente bandito, l’utente che accede alla rete e il suo dispositivo passano sotto diversi controlli gestiti da NAC (Network Access Control) e “broker” (CASB) per il monitoraggio degli ambienti cloud, spesso supportate da algoritmi di machine learning. Infine, sempre più spesso si introduce un’autenticazione multifattore (MFA).

Il livello applicativo demandato all’autenticazione verifica le autorizzazioni del profilo definite in precedenza per l’accesso alle applicazioni, ed effettua controlli istantanei del device e del contesto: a che ora l’utente si collega alla rete, come e da dove.

In definitiva, nell’approccio Zero Trust entrano in gioco diversi tool: i CASB, i gateway, i broker, le piattaforme di NAC o strumenti per la MFA (multifactor authentication). Con queste soluzioni integrate, il team IT può ottenere una visione d’insieme completa di chi si collega, da dove e perché.

La filosofia si chiama ZT, un primo, valido, pacchetto di soluzioni rientra all’interno dell’acronimo ZTA (Zero Trust Access), mentre il massimo livello di sicurezza è garantito da una piattaforma ZTNA (Zero Trust Network Access), identificata anche come soluzione SASE (Secure Access Service Edge).
Perché le aziende più evolute optano per una piattaforma ZTNA? I limiti principali delle soluzioni per l’autenticazione e il monitoraggio sono essenzialmente due:.

1. Il primo riguarda la frequenza di aggiornamento dei controlli e delle autorizzazioni all’accesso. Una soluzione ZTNA rivaluta lo stato di trust di un accesso (utente e dispositivo) a ogni sessione.
2. In seconda battuta, è previsto un processo di verifica per ogni singola applicazione. Una piattaforma ZTNA prevede uno sforzo più intenso nell’implementazione del piano di protezione in termini di configurazioni e personalizzazioni. Per esempio, può anche essere richiesta l’installazione di un agent sull’end point, con ricadute importanti per il team It.

Scegliere la soluzione di protezione più indicata per un’azienda è un’attività complessa da effettuare insieme al partner It. Il Gruppo Lutech mette in testa ai progetti di sicurezza per i propri clienti il fondamentale contributo da parte del proprio team di advisory. In prima battuta si esegue un assessment completo dell’infrastruttura aziendale esclusivamente orientato ai requisiti di business. Come circolano i dati, chi e come deve accedere alle singole applicazioni, quali sono le diverse priorità di protezione, queste sono le domande da porsi in fase di assessment.

Nella fase successiva il Gruppo Lutech disegna la soluzione integrata più opportuna, attingendo dall’offerta di un vendor qualificato come Fortinet. Il leader mondiale della sicurezza mette a disposizione tutto ciò che serve per un approccio Zero Trust.

Da FortiCASB a FortiNAC a FortiAnalyzer e FortiManager, il ventaglio delle proposte Fortinet comprende tutto ciò che serve per un approccio Zero Trust e l’adozione di una strategia SASE. Fortinet garantisce il massimo livello di protezione anche nella gestione degli end point non controllati, come i dispositivi IoT, delicati punti di accesso per un attacco alla rete aziendale proprio perché autonomi.