Zero Trust (ZT) è probabilmente uno degli argomenti, termini o parole d'ordine più discussi sul mercato della sicurezza informatica oggi. Se avete partecipato a qualsiasi conferenza in tutto il mondo negli ultimi 2 anni nel circuito informatico, è molto probabile che vi siate imbattuti in questa "cosa" Zero Trust. Ma cos'è Zero Trust? Dove ha avuto origine il concetto e l'idea e perché continuiamo a essere inondati da questi messaggi su Zero Trust?
Cos'è Zero Trust?
Qual è la definizione di Zero Trust?
Zero Trust è una strategia di cybersecurity che prevede, da un lato, che le organizzazioni eliminino la fiducia implicita e, dall'altro, che invece di fidarsi solo degli utenti, sia fondamentale una verifica continua dell'identità dell'utente. Uno dei principi fondamentali del concetto è "Mai fidarsi, sempre verificare". Non ci si deve fidare di tutto ciò che si trova all'interno della rete aziendale e la verifica è sempre richiesta a ogni persona che vuole accedere alle risorse della rete.
Una strategia Zero Trust aiuta le organizzazioni a proteggere i loro ambienti ed è un aiuto importante durante la trasformazione digitale. Alcuni principi fondamentali di ciò che si può fare sono:
Segmentazione della rete
Controllo granulare delle richieste di accesso
Implementazione di metodi di verifica rigorosi
Evitare i movimenti laterali
Qual è stato il ruolo del Forum di Gerico nella storia dell'Zero Trust?
Per capire cos'è l'Zero Trust, dobbiamo riavvolgere l'orologio di circa 16 anni, fino al Jericho Forum. Si trattava di un gruppo di accademici seduti a riflettere sulle questioni più tangenziali della sicurezza di rete e su come applicare le loro capacità cerebrali per affrontare questo problema cruciale.
All'epoca, quasi due decenni fa, l'asset più potente di un'azienda introdotto sul mercato era l'NGFW, il firewall di nuova generazione. Questo dispositivo "onnipotente" avrebbe dovuto cambiare le carte in tavola per eliminare le minacce e contribuire a segmentare l'infrastruttura dei sistemi e delle infrastrutture on-perimeter. Sebbene all'epoca fosse innovativo, non era molto di più di uno strumento di segmentazione dinamica ad alta potenza.
In questo caso, i membri del Jericho Forum hanno adottato il concetto di ricerca della "sicurezza de-perimetrata". In sostanza, si tratta di utilizzare le capacità degli strumenti NGFW per estendere il controllo e la segmentazione in tutta l'infrastruttura in modo più dinamico, ma con l'obiettivo di non limitarsi a un grande e alto "muro" ai margini della rete. Si tratterebbe invece di una serie di segmenti più granulari con controlli più mirati e un monitoraggio migliore.
Questo sarebbe stato un momento cruciale per le previsioni sulle infrastrutture sicure e, a dire il vero, nessuno ha prestato molta attenzione, a parte i membri del Jericho Forum e l'analista di Forrester John Kindervag.
Qual è stato il ruolo di John Kindervag?
John è stato abbastanza lungimirante da capire che l'applicazione di questo approccio era valida e avrebbe potuto cambiare il gioco per un'infrastruttura più sicura e controllabile su scala. John ha visto la potenza in arrivo dell'cloud e il potenziale dei problemi che un'infrastruttura diversificata e in continua crescita avrebbe potuto creare. Ha anche avuto la lungimiranza di rendersi conto che il mondo si stava muovendo verso uno spazio BYOD (Bring Your Own Device) come metodo principale di futurizzazione dello spazio di lavoro.
Con questa consapevolezza, John, con il suo background nella sicurezza delle reti, ha cercato il punto più singolare di fallimento in quello stato futuro. Dopo circa un anno di ricerche, concluse che la "fiducia" installata e implicita in questo stato futuro dell'architettura sarebbe stata foriera del suo fallimento.
La condivisione di troppe impostazioni predefinite, l'eccesso di connettività e l'accesso illimitato sarebbero stati problematici per qualsiasi azienda compromessa, e John sapeva che la compromissione era un dato di fatto, non una possibilità.
Partendo da questo presupposto, John coniò il termine Zero Trust e iniziò la missione di diffondere il suo vangelo secondo cui la "fiducia" era l'elemento più importante da controllare in qualsiasi infrastruttura (di rete) e all'epoca l'utilizzo della Next Generation Firewall (NGFW) era il modo per farlo. Ha promosso un modo più rigoroso di gestire il controllo degli accessi nelle aziende.
È su questo che l'Zero Trust si è concentrato per il decennio successivo, fino a quando, intorno al 2017, la tecnologia ha finalmente recuperato terreno e approcci più pratici alle moderne infrastrutture sicure sono entrati a far parte dello stato dell'Zero Trust nel 2020.
Perché "fidarsi ma verificare" non è più un approccio valido?
Come già detto, uno dei principi chiave del modello Zero Trust è "Mai fidarsi, sempre verificare". Ma prima di ciò, il mantra o l'approccio di molte organizzazioni era "fidarsi ma verificare".
Tuttavia, in un'architettura Zero Trust l'obiettivo è evitare il movimento laterale delle minacce all'interno della rete. Perché se si verifica una volta l'accesso di qualcuno e poi ci si fida sempre di questa persona e del suo dispositivo (magari compromesso), non si può evitare un possibile attacco informatico. La chiave dell'accesso alla rete Zero Trust è continuare a verificare prima di concedere l'accesso, sotto forma di microsegmentazione e controllo granulare dell'utilizzo.
Lo scopo di un'architettura di rete a fiducia zero è quello di affrontare il movimento laterale delle minacce all'interno di una rete sfruttando la micro-segmentazione e l'applicazione di perimetri granulari, in base ai dati, agli utenti e alla posizione. Questo principio è noto anche come "mai fidarsi, sempre verificare", che determina la fiducia zero.

Controlla il nostro "Podcast "AwinguruTalks,
con il dottor Chase "Zero Trust" Cunningham!
Una VPN è utile per attivare la sicurezza Zero Trust?
Quando l'infrastruttura è cresciuta e l'esigenza di una connettività sicura della forza lavoro BYOD è diventata lo standard per il luogo di lavoro, la VPN è diventata l'applicazione "sicura" standard da adottare per consentire una forza lavoro remota "sicura".
Se all'inizio questo sembrava un ottimo concetto e approccio al problema, in realtà, grazie alle massicce violazioni (di dati) che contenevano nomi utente e password e agli attacchi di Stati nazionali che hanno compromesso i fornitori di VPN, la VPN è diventata poco più di un ostacolo per gli utenti, nel migliore dei casi, e una via d'accesso diretta per gli hacker a un'intera rete, nel peggiore.
La VPN non faceva molto di più che bucare i primi sistemi Zero Trust e permetteva ai malintenzionati di accedere direttamente ai sistemi. L'NGFW e la segmentazione non potevano risolvere il problema di una VPN quando la connessione per un utente BYOD era autenticata con password violate e privilegi di amministratore. Questa tecnologia ha afflitto le aziende per quasi un decennio.
Quali sono i principi chiave di una strategia di sicurezza Zero trust?
Ora arriviamo all'attuale stato dell'arte del settore: Software-Defined Networking, isolamento del browser e virtualizzazione dell'infrastruttura di rete sono le chiavi di ogni futuro approccio Zero Trust. Uno spazio dinamico in cui tutto può essere remoto e sicuro, eliminando la necessità di un'autenticazione utente basata su password.
La vera infrastruttura Zero Trust può finalmente essere implementata perché questi strumenti o capacità si sono allineati con la realtà di ciò che è necessario per abilitare questa iniziativa strategica vitale. L'utilizzo di una combinazione di queste importanti tecniche consente ora alle aziende di adottare i principi di base di un modello di sicurezza Zero Trust. Inoltre, l'uso di questi elementi chiave eliminerà i problemi di configurazione predefinita che affliggono le infrastrutture sicure e potrà consentire una forza lavoro più dinamica.

Pensate a come vorreste lavorare voi, o meglio ancora a come vorreste che lavorassero i vostri dipendenti. Soprattutto perché ora vediamo che il lavoro da remoto e il BYOD sono il nuovo standard, non un'opzione, per le aziende.
Per avere un'azienda più "Zero Trusty" e più facile da lavorare, si vorrebbe eliminare la VPN, spostare il controllo della sicurezza dall'interno dell'infrastruttura verso l'esterno e consentire anche l'accesso continuo. E tutto questo senza mai compromettere l'esperienza dell'utente.
Inoltre, è consigliabile utilizzare protocolli più "difficili" da sfruttare. Ciò significa HTTP invece di RDP. Infine, dovreste eliminare i problemi legati alle macchine vecchie o non aggiornate su cui gli utenti potrebbero voler lavorare all'interno della vostra azienda. Questo sarebbe incredibilmente difficile se doveste provare a costruirlo da soli, e questo approccio richiederebbe grandi investimenti in termini di tempo e impegno per raggiungere lo stato finale.
Come può Awingu aiutarvi ad attivare una strategia Zero trust?
Con Awingu gli utenti possono ottenere un accesso sicuro, in quanto non sono mai effettivamente "in rete", e non c'è bisogno di una VPN. Questo è di gran lunga uno dei vantaggi principali dello spazio di lavoro unificato, in quanto riduce il rischio che qualcuno "cattivo" entri nella rete aziendale da una rete privata.
Utilizzando la potenza dinamica dell'infrastruttura virtualizzata combinata con l'isolamento del browser, l'intero spazio di lavoro per l'utente viene 'spinto' verso di lui all'interno di una connessione virtuale. In questo modo, tutti gli utenti, siano essi dipendenti o collaboratori esterni, hanno a disposizione un gateway web sicuro.

Gli utenti finali possono accedere tramite il browser dei loro dispositivi, che possono essere gestiti o non gestiti. Possono quindi accedere da remoto alle applicazioni pubblicate (applicazioni web, applicazioni SaaS e persino sistemi legacy), ai desktop e ai file, in HTML5.
Nessun dato rimane in locale, quindi potete essere certi che anche i dati sensibili non escano dall'ambiente aziendale. Se un utente non è consapevole e lavora tramite un dispositivo compromesso, non ha comunque accesso diretto alle risorse aziendali e alla rete dell'organizzazione. Quindi, anche se non si conosce l'identità del dispositivo, non ci si deve preoccupare della sicurezza della rete perché gli amministratori IT possono definire il controllo degli accessi.
Non ci sono pipe che possano essere utilizzate da hacker malintenzionati, tutte le sessioni sono crittografate e l'autenticazione a più fattori (MFA) è un'offerta predefinita integrata per tutti i clienti. L'utilizzo di questa funzionalità ridurrà sicuramente i rischi. Con l'autenticazione a più fattori è già possibile costruire con estrema facilità un ulteriore livello di sicurezza per l'accesso degli utenti. L'utente viene inoltre continuamente autenticato mentre opera in una sessione remota sicura e il sistema è integrato con una funzionalità di Single Sign-On (SSO) per rendere il login e la facilità d'uso immediatamente disponibili. In questo modo, l'accesso dell'utente può rimanere agevole come prima.
In qualità di amministratore IT è possibile definire ulteriormente le autorizzazioni degli utenti con funzionalità quali la consapevolezza del contesto e il controllo granulare dell'utilizzo. Nella dashboard per gli amministratori, si ha accesso a un monitoraggio continuo di ciò che accade nell'area di lavoro. È anche possibile attivare la registrazione delle sessioni e, come ogni altra funzionalità, è possibile definirla per determinati utenti o gruppi di utenti, ma anche per applicazioni specifiche o persino per funzionalità integrate. Supponiamo che, seguendo le vostre politiche di accesso, vogliate concedere l'accesso ai vostri appaltatori esterni all'applicazione legacy AS400 solo quando si trovano negli Stati Uniti e utilizzando l'MFA? È perfettamente possibile, in qualsiasi modo lo vogliate.
Inutile dire che Awingu può aiutarvi a creare un ambiente a fiducia zero per proteggere le vostre risorse ed evitare, ad esempio, una violazione dei dati, in modo molto semplice. Lavorare con Awingu ha ridotto la complessità della sicurezza per gli amministratori IT di altre organizzazioni. Più complicata è la soluzione o la configurazione, più cose possono andare storte.
Se la vostra azienda sta implementando un approccio Zero trust e volete semplificare l'accesso remoto senza compromettere gli asset più critici della rete? Date un'occhiata a questo spazio di lavoro unificato che può sicuramente aiutarvi in questa trasformazione digitale nel vostro viaggio Zero Trust!