Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>
Come acquistareRichiedi una demo

Sicurezza Zero-Trust: Assumi Nulla, Verifica Tutto

Hubert BrychczynskiHB

Zero Trust è un modello di sicurezza di grado militare ufficialmente sostenuto dal Dipartimento della Difesa degli Stati Uniti. È un paradigma di sicurezza a prova di errore che non concede alcuna autorizzazione finale e monitora costantemente le potenziali minacce a ogni livello organizzativo.

Le aziende trovano la sicurezza Zero Trust essenziale per le loro operazioni poiché la connettività illimitata, il lavoro remoto e la collaborazione transfrontaliera hanno offuscato i confini tra ambienti di lavoro sicuri e non sicuri.

In questo articolo, scoprirai cos'è Zero Trust, come e perché dovresti applicarlo e cosa puoi ottenere da esso. Prendi spunto dal Pentagono e utilizza Zero Trust per fortificare la tua azienda contro gli hacker.

Cos'è Zero Trust?

Zero Trust è un modello di sicurezza che si allontana dalle difese tradizionali basate sul perimetro. Invece, impone autenticazione a intervalli brevi e autorizzazione con il minimo privilegio a ogni attore all'interno e all'esterno di un'organizzazione.

Zero Trust significa che ogni persona all'interno dell'organizzazione potrebbe essere un potenziale vettore di attacco—sia intenzionale che non. Software dannoso, ingegneria sociale e altre tecniche di hacking non lasciano nessuno al sicuro dal diventare uno strumento nelle mani di un criminale.

Tutti i benefici di Zero Trust possono essere riassunti in un'unica affermazione: massima immunità dalle minacce e minime conseguenze se si verificano. Tutti i principi e la tecnologia di Zero Trust lavorano verso questo obiettivo singolare.

 

Come funziona Zero Trust?

In sostanza, l'architettura Zero Trust si basa su una politica di sicurezza dinamica e su una raccolta di intelligence di sicurezza a livello di sistema.

Una politica di sicurezza dinamica richiede alle organizzazioni di definire regole chiare che governano l'accesso e il controllo delle loro risorse e beni. Dovrebbero essere il più granulari possibile, il che riduce le zone di fiducia e contiene le potenziali minacce in aree gestibili.

Una volta che la politica dinamica è in atto, l'intelligence di sicurezza deve funzionare. Questo comporta la raccolta e l'analisi dei log di rete, degli ID utente, dei modelli comportamentali, dei dati di geolocalizzazione, dei database delle minacce e di altre informazioni che aiutano a realizzare la politica.

Principali principi di sicurezza Zero Trust

La sicurezza Zero Trust si basa sui seguenti principi principali:

  • Monitoraggio e validazione continui. Tutte le risorse sono bloccate per impostazione predefinita. I token di accesso scadono rapidamente, costringendo gli utenti a reinserire le credenziali a intervalli brevi.
  • Accesso con il minimo privilegio. Gli utenti sono autorizzati solo nella misura in cui possono svolgere i loro compiti su una risorsa.
  • Controllo dell'accesso ai dispositivi. Il monitoraggio della sicurezza si applica non solo agli utenti ma anche alle macchine che tentano di connettersi alla rete.
  • Microsegmentazione. Tutte le risorse sono suddivise in segmenti in modo che qualsiasi violazione della sicurezza colpisca solo una piccola e gestibile porzione degli asset dell'organizzazione.
  • Limitazione del movimento laterale. Gli hacker non possono più muoversi liberamente nella rete una volta all'interno, poiché tutto l'accesso è a breve termine, con il minimo privilegio e segmentato.
  • Autenticazione multi-fattore. Gli utenti devono fornire più di un elemento di prova per la loro identità–ad esempio password e codici SMS.

Casi d'uso di Zero Trust

Zero Trust migliorerà la sicurezza in ogni azienda, ma la sua implementazione richiede uno sforzo a livello organizzativo. Comprensibilmente, non ogni azienda è pronta a fare quel passo. Tuttavia, investire in Zero Trust vale la pena considerarlo in diverse circostanze specifiche. Considera Zero Trust se sei:

  • Preoccupato per il ransomware. Un attacco ransomware di successo dipende dalla capacità dell'attaccante di penetrare nel sistema target e ottenere un controllo sufficientemente ampio per eseguire la crittografia.
  • Impegnato con lavoratori remoti o comunicando con fonti di dati non aziendali. Qualsiasi traffico esterno verso la tua organizzazione—sia da persone che da servizi esterni come SaaS o API—aumenta il pericolo di attacchi dannosi.
  • Alla ricerca di un'alternativa più sicura al VPN. I VPN non sono conformi ai principi di Zero Trust perché consentono un accesso indiscriminato alla tua rete.
  • Gestendo un ambiente cloud o multi-cloud. Le infrastrutture cloud, multi-cloud o ibride sono più esposte agli attacchi rispetto alle infrastrutture on-premises.
  • Richiesto dalla legge o dall'assicurazione di implementare Zero Trust. Alcune organizzazioni, come le istituzioni governative negli Stati Uniti, sono obbligate per legge a seguire i protocolli di Zero Trust.
    Allo stesso modo, un'ondata crescente di attacchi ransomware costringe le compagnie assicurative a includere requisiti simili nei loro termini e condizioni.

Come implementare Zero Trust?

L'implementazione di Zero Trust comprende tre fasi principali.

Fase 1: Visualizzazione

Creare una mappa dettagliata di tutte le risorse dell'azienda, così come delle identità fidate, degli endpoint, dei carichi di lavoro e delle possibili vie di attacco dall'interno e dall'esterno dell'organizzazione.

Fase 2: Mitigazione

Progettare e implementare misure di sicurezza automatizzate: monitoraggio e verifica in tempo reale, analisi continue, accesso con il minimo privilegio, segmentazione della rete e altri mezzi che riducono la probabilità e l'impatto delle minacce.

Fase 3: Ottimizzazione

Migliorare l'esperienza dell'utente senza compromettere la sicurezza. Una buona soluzione è l'accesso condizionale basato sul rischio–un meccanismo che richiede agli utenti di fornire credenziali se rileva attività sospette associate a loro.

Se desideri saperne di più su l'implementazione di Zero Trust, ti preghiamo di controllare la nostra guida.

Migliori pratiche di sicurezza Zero Trust da Object First

In Object First, vogliamo che tu non debba mai più pagare un riscatto. Zero Trust ti aiuterà a raggiungere questo obiettivo–tanto più se ricordi alcune migliori pratiche.

Incontra i nostri Sei Tutto:

  • Scansiona tutto. Non possiamo sottolinearlo abbastanza: ciò che non vedi, non puoi controllare. Cerca di monitorare il 100% di tutto il traffico nella tua organizzazione.
  • Aggiorna tutto. Mantieni il tuo firmware, software e database delle minacce aggiornati. Ci vuole meno tempo per sfruttare una vulnerabilità o iniettare malware che per leggere questo articolo.
  • Limita tutto. Concedi solo autorizzazione con il minimo privilegio. Non dare a nessuno gli strumenti di cui non ha bisogno, o potresti essere sorpreso da come li utilizza.
  • Segmenta tutto. Frammenta il tuo ambiente per contenere le violazioni se si verificano. Più fine è la divisione, minore è il danno.
  • Autenticazione hardware per tutto. Un messaggio di testo può essere falsificato o intercettato. È più difficile contraffare un token basato su hardware.
  • Bilancia tutto. Non lanciare troppi requisiti di sicurezza all'utente. Un umano irritato non pensa chiaramente e cede più facilmente all'errore.

Estendere Zero Trust alla resilienza dei dati con Ootbi di Object First 

Gli attacchi informatici e il ransomware mirano ai dati di backup nel 93% degli attacchi. I dati di backup sono spesso il principale obiettivo degli attacchi ransomware e di esfiltrazione dei dati, ma i framework Zero Trust esistenti non includono la sicurezza dei sistemi di backup e recupero dei dati.  

Ootbi di Object First è stato costruito per supportare i principi di Zero Trust, inclusa l'architettura di Zero Trust Data Resilience (ZTDR) raccomandata da Veeam, che presume che individui, dispositivi e servizi che tentano di accedere alle risorse aziendali siano compromessi e non debbano essere considerati affidabili.  

Grazie all'architettura ZTDR e al fattore di forma dell'appliance sicura, Ootbi è intrinsecamente separato dal server Veeam Backup & Replication, creando la corretta segmentazione tra i livelli di Backup Software e Backup Storage per garantire Protezione da ransomware.  

Scarica un white paper e impara a implementare la Zero Trust Data Resilience per un backup sicuro. 

FAQ

Cos'è Zero Trust in termini semplici? 

In parole semplici, Zero Trust presume che tutto il traffico possa portare una minaccia, quindi lo monitora costantemente e concede solo accesso limitato alle risorse.

Quali sono i cinque pilastri di Zero Trust? 

I cinque pilastri di Zero Trust si riferiscono ai domini che forniscono informazioni e approfondimenti sul sistema protetto da Zero Trust. Questi domini includono: Identità, Dispositivi, Applicazione e Carichi di lavoro, e Dati.

Qual è un esempio di Zero Trust?

La sicurezza Zero Trust è utile ogni volta che una risorsa di proprietà dell'impresa incontra una risorsa non aziendale. Considera questi quattro esempi:
1. Un appaltatore di terze parti ha bisogno di accesso alla tua rete.
2. Un lavoratore remoto su hardware aziendale deve connettersi a un servizio esterno.
3. La tua azienda utilizza dispositivi IoT che esternalizzano il loro carico di lavoro al cloud computing.
4. La tua azienda utilizza il calcolo distribuito.

Cos'è ZTNA?

ZTNA sta per Zero Trust Network Access. È un gateway che protegge e gestisce l'accesso alle risorse secondo il paradigma Zero Trust.
Le caratteristiche chiave di ZTNA includono la concessione di accesso per risorsa e per utente, la differenziazione tra accesso alla rete e accesso all'applicazione, e la mascheratura degli indirizzi IP da entità autenticate.

Cos'è NIST SP 800-207?

NIST SP 800-207 è un framework Zero Trust sviluppato dal National Institute of Standards and Technology. Consiste in Control Plane, che filtra le richieste di accesso attraverso un Policy Decision Point (PDP); e Data Plane, che esegue le decisioni attraverso un Policy Enforcement Point (PEP).

Novità sul prodotto

Inviando questo modulo, confermo di aver letto e accettato la Informativa sulla privacy.