I modelli “zero trust” sono attualmente molto popolari e si basano su un semplice principio: per proteggere i sistemi IT dalle minacce informatiche, bisogna dubitare di tutto e non fidarsi di nulla. Ma se invece di azzerare la fiducia la trasferissimo?
A lungo abbiamo beneficiato di una chiara separazione tra ciò che si trovava all’interno di una rete aziendale (affidabile) e ciò che era al di fuori di essa (potenziale minaccia). Questa separazione era favorita anche da una sorta di sicurezza fisica del perimetro: le risorse di rete erano accessibili esclusivamente dall’interno dell’azienda. E senza entrare nei locali aziendali, non c’era accesso alla rete se non di rado tramite VPN.
La trasformazione digitale ha cambiato radicalmente l’architettura dei sistemi: dall’uso ormai esteso degli accessi tramite VPN alle applicazioni e infrastrutture ospitate nel cloud, i confini del perimetro della rete stanno letteralmente svanendo, così rapidamente che non ha quasi più senso limitare la protezione aziendale al perimetro fisico della rete aziendale.
La problematica dell’accesso remoto
Oltre all’avvento del cloud e dell’ormai diffuso smart working, anche l’uso di dispositivi personali per scopi lavorativi (“Bring Your Own Device”) contribuisce al dissolversi dei confini delle reti aziendali e a richiedere ulteriori misure di sicurezza, con due priorità per gli IT Manager in termini di tutela dell’accesso remoto: autenticazione e autorizzazione degli utenti.
La prima sfida può essere affrontata (in parte) con la VPN. Creando tunnel sicuri e criptati, l’azienda permette al dipendente di accedere alle risorse aziendali e trasferire dati al sicuro da intercettazioni, indipendentemente da dove il dipendente si trovi. Così facendo, l’azienda trasferisce la sua fiducia sulla VPN, che effettivamente presenta numerosi vantaggi: protocolli altamente standardizzati, algoritmi di crittografia e dimensioni delle chiavi note, capacità e limiti ben definiti. Il compito di identificare e autenticare i dipendenti invece è gestito tramite strumenti di connettività remota e soluzioni 2FA. Ma c’è ancora il problema del controllo degli accessi per applicazioni eterogenee e non collocate nel perimetro aziendale. Da qui l’accresciuto interesse nell’approccio zero trust negli ultimi anni.
Zero Trust e la questione centrale della fiducia
A differenza della VPN, che ripone fiducia nella connessione sicura tra due entità, nel modello zero trust si verifica fondamentalmente tutto: accessi, identità e permessi in ogni punto di accesso alla rete – anche qualora l’utente si trovi all’interno della rete aziendale. Ma questo non implica un azzeramento del livello di fiducia accordato bensì il suo trasferimento sull’utente in base a un semplice principio: se l’utente si autentica come previsto dalle policy, è “affidabile”. Stormshield, produttore di soluzioni per la cybersecurity delle infrastrutture critiche è tuttavia dell’opinione che questo non sia sufficiente: l’approccio zero-trust non può limitarsi solo all’accesso alla rete aziendale, ma l’intera strategia di protezione che deve necessariamente includere l’identificazione di utenti e dispositivi, l’autenticazione a più fattori e la gestione degli accessi. I permessi di accesso andrebbero assegnati in base al tipo di dispositivo in uso (dotazione professionale o personale), al software utilizzato, al livello di attualità della soluzione di sicurezza sul dispositivo, o anche in base alla posizione dell’utente (casa, ufficio, in viaggio, ecc.). A tale scopo, le soluzioni di protezione delle workstation devono supportare politiche di sicurezza contestuali ed essere in grado di adattare dinamicamente all’ambiente il livello di sicurezza fornito. Stormshield Endpoint Security ne è un esempio.
Questa granularità richiede una certa maturità da parte delle aziende, soprattutto quando si tratta di definire chiaramente i diritti di accesso dei singoli dipendenti, cosa che può rivelarsi problematica, dato che la gestione delle identità e degli accessi (IAM) non è solo responsabilità del reparto IT, ma anche di altri dipartimenti aziendali come le risorse umane. Ogni manager deve essere in grado di determinare chi nella sua squadra ha accesso ed è autorizzato a fare cosa, quando e con quale strumento. Il crescente numero di strumenti di lavoro distribuiti in tutta l’azienda può trasformare rapidamente in un’impresa la gestione fluida di tutte le autorizzazioni e il loro aggiornamento, un compito tuttavia essenziale per la sicurezza di un’organizzazione, soprattutto quando in presenza di applicazioni e infrastrutture mission-critical ospitate nel cloud.
L’identità come nuovo perimetro di sicurezza
Trasferendo la fiducia su identificazione e autenticazione dell’utente, sul suo accesso e il suo dispositivo, l’approccio zero trust fa effettivamente dell’ ”identità” il nuovo perimetro di sicurezza. Ciò non ostacola in alcun modo l’impiego delle migliori pratiche relative alle reti zero trust come la segmentazione della rete, che però va implementata in base al livello di fiducia accordato ad ogni “identità”. In questo caso è necessario rivalutare continuamente il livello di fiducia da concedere all’utente. Il che conferma ancora una volta che la cybersicurezza non può mai essere statica, ma sottostà ad una continua evoluzione.
