Zero Trust Architecture: ripensare la sicurezza delle reti aziendali

Il modello di sicurezza a Zero Trust è un approccio innovativo alla sicurezza informatica che nega l’accesso alle risorse aziendali di default e concede agli utenti e ai dispositivi autenticati un accesso mirato e isolato solo alle applicazioni, dati, servizi e sistemi necessari per svolgere i propri compiti.
Secondo Gartner, entro il 2025, il 60% delle organizzazioni adotterà una strategia di sicurezza basata su questo modello.

L’origine della Zero Trust Architecture
I principi della Zero Trust Architecture
I componenti del modello Zero Trust

Storicamente, le aziende hanno fatto affidamento su un modello di sicurezza basato sul concetto di “castello e fossato” (castle-and-moat), dove solo gli utenti esterni alla rete aziendale venivano considerati una minaccia, mentre chi era all’interno riceveva fiducia implicita. Questo approccio ha reso possibile numerosi attacchi informatici, permettendo agli aggressori di spostarsi liberamente all’interno della rete una volta superato il perimetro.

Nel modello Zero Trust, l’autenticazione e l’autorizzazione avvengono in modo continuo all’interno dell’intera rete, limitando i movimenti laterali tra applicazioni e servizi. Questo riduce il rischio di compromissioni, sia da minacce interne che da account violati, migliorando significativamente la protezione dei dati sensibili.

L’origine della Zero Trust Architecture

Il concetto di Zero Trust esisteva già prima che il termine fosse formalmente coniato.
Il Defense Information Systems Agency (DISA) e il Dipartimento della Difesa degli Stati Uniti svilupparono un modello noto come black core (BCORE), spostando l’attenzione dalla sicurezza perimetrale a quella basata sulle singole transazioni.

Nel 2004, il Jericho Forum introdusse l’idea di andare “oltre il perimetro”, suggerendo che la fiducia non dovrebbe basarsi sulla posizione nella rete, ma su difese più dinamiche e mirate. Questo concetto si è evoluto nel termine Zero Trust, coniato da John Kindervag mentre lavorava per Forrester. Da allora, Zero Trust è diventato il paradigma dominante per descrivere soluzioni di sicurezza che valutano la fiducia a livello granulare e transazionale.

Anche nel settore privato e nell’istruzione, molte organizzazioni hanno abbandonato la tradizionale sicurezza basata sul perimetro a favore dei principi Zero Trust. Normative come il Federal Information Security Modernization Act (FISMA) e il Risk Management Framework (RMF) promuovono questi approcci, limitando l’accesso ai dati solo alle parti autorizzate e riducendo il rischio di esposizione a minacce interne ed esterne.

I principi della Zero Trust Architecture

Un’architettura Zero Trust si basa su alcuni principi fondamentali:

Tutte le risorse aziendali sono considerate risorse critiche.
Questo include non solo i dispositivi aziendali, ma anche quelli personali che possono accedere alle risorse aziendali.
Tutte le comunicazioni sono protette indipendentemente dalla posizione della rete.
La posizione non implica fiducia. Ogni richiesta deve soddisfare gli stessi requisiti di sicurezza, che provenga dall’interno o dall’esterno della rete aziendale.
L’accesso alle risorse è concesso su base “per sessione”.
La fiducia viene valutata per ogni sessione, garantendo che ogni accesso sia concesso con i privilegi minimi necessari per svolgere il compito.
L’accesso è determinato da policy dinamiche.
Queste policy includono attributi comportamentali e ambientali, come l’identità dell’utente, lo stato del dispositivo e il comportamento osservato in passato.
L’azienda monitora continuamente lo stato di sicurezza degli asset.
Nessun asset riceve fiducia automatica e la sicurezza viene valutata in modo dinamico, con l’utilizzo di sistemi di diagnostica e mitigazione continua (CDM).
Autenticazione e autorizzazione sono dinamiche e costantemente applicate.
L’azienda deve utilizzare strumenti come la gestione delle identità e delle credenziali (ICAM) e l’autenticazione multifattore (MFA).
L’azienda raccoglie informazioni sullo stato degli asset e delle comunicazioni.
I dati raccolti sono utilizzati per migliorare continuamente le policy di sicurezza e l’efficienza della rete.

I componenti del modello Zero Trust

L’implementazione di un modello Zero Trust richiede diversi componenti chiave, alcuni dei quali possono essere servizi interni o basati su cloud. È importante comprendere che la transizione a una Zero Trust Architecture è un processo graduale, che richiede tempo e la collaborazione di tutti gli stakeholder aziendali.

Tra i principali componenti logici del modello Zero Trust troviamo:

Policy Engine (PE)
Responsabile di prendere decisioni sull’accesso basandosi sulle policy aziendali.
Policy Administrator (PA)
Esegue le decisioni del PE, consentendo o bloccando l’accesso.
Policy Enforcement Point (PEP)
Monitora e controlla le connessioni.

Ulteriori fonti di dati forniscono input al Policy Engine, tra cui:

Sistema di diagnostica e mitigazione continua (CDM)
Fornisce informazioni sull’integrità degli asset.
Feed di intelligence sulle minacce
Fonti interne ed esterne che segnalano nuove vulnerabilità e minacce.
Registri delle attività di rete e di sistema
Monitorano in tempo reale le attività aziendali.

L’adozione di un’architettura Zero Trust rappresenta un importante passo avanti per la sicurezza delle aziende, poiché consente di proteggere meglio le risorse critiche da attacchi interni ed esterni. Tuttavia, l’implementazione di questo modello richiede tempo e risorse, oltre a un costante aggiornamento e monitoraggio delle policy di sicurezza. Mentre il panorama delle cyber minacce continua a evolversi, l’approccio Zero Trust fornisce una strategia solida per migliorare la sicurezza aziendale e ridurre i rischi associati all’accesso non autorizzato.

Zero Trust Architecture non è solo un cambio di tecnologia, ma una vera e propria evoluzione del concetto di sicurezza informatica, fondamentale per garantire la protezione in un mondo sempre più connesso e dinamico.

Autore articolo
Gli ultimi articoli

Anna Orrù

Classe 1990, dopo la laurea in Scienze Politiche mi sono trasferita in Inghilterra. Ho sempre amato la scrittura e ad oggi mi occupo, oltre che di digital marketing, di copywriting e Seo. La curiosità guida ogni ambito in cui opero, infatti non smetto mai di aggiornarmi e studiare.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.