Zero Trust: la nuova sfida post pandemia

22 Maggio 2021 Nicola Fioranelli
zero trust nuova sfida reti

La pandemia ha inflitto un deciso balzo in avanti nello sviluppo del lavoro da remoto e il framework Zero Trust rappresenta una nuova sfida per gli architetti di rete. Questo modello va a braccetto con l’idea di de-perimiterisation, un termine coniato nel 2003 che esprime l’assenza di perimetri aziendali. Infatti, già in quegli anni si iniziavano a identificare nuovi problemi di sicurezza dettati dal fatto che i dispositivi aziendali potevano essere portati fuori dai confini della compagnia. In questo modo assicurare la sicurezza soprattutto di cellulari e portatili sarebbe diventato decisamente più complesso.

Background: dagli anni 90 ad oggi

Gli ultimi 30 anni hanno stravolto i concetti di reti informatiche e sicurezza. Negli anni 90 assicurare la protezione di una azienda era complesso ma al tempo stesso facilmente definibile. Il confine fra ciò che era fuori e ciò che era dentro l’azienda era chiaro e all’interno, tipicamente, si aveva una struttura client-server. I terminali, pertanto, erano considerati sicuri anche perché non c’era possibilità di accesso se non dall’interno.

Qualcosa è iniziato a cambiare con l’ampia diffusione dei portatili che hanno rivoluzionato l’idea del controllo degli accessi. Ad esempio, l’accesso su base IP o su base indirizzo MAC (valido se la postazione era fissa e collegata sempre allo stesso cavo di rete) non poteva essere più applicato. Infatti, con i portatili era possibile spostarsi da un piano all’altro di un edificio o anche fra edifici diversi. L’accesso, tuttavia, doveva essere garantito in ogni caso cambiando la strategia da utilizzare.

Ma la più grande rivoluzione è avvenuta con gli smartphone che hanno sdoganato l’uso di strumenti aziendali su dispositivi non propriamente pensati per questo. Per di più lo smartphone può accedere da ogni parte e in qualsiasi momento, vanificando l’idea stessa di perimetro aziendale. Per questo è importante ripensare a come garantire l’accesso ai sistemi e trasferire il concetto di sicurezza sul dispositivo finale. Infatti, nel passato si proteggeva l’infrastruttura ma con meno attenzione verso i terminali, lasciando la sicurezza sui grandi sistemi.

Gli smartphone e gli altri dispositivi mobili hanno creato nuovi problemi di sicurezza e hanno costretto le aziende a ripensare i modelli di reti aziendali.

Zero trust: la sfida della nuova rete senza perimetri

Fatte queste premesse, riusciamo ad introdurre il concetto del modello architetturale Zero Trust. L’architettura è stata proposta dal NIST intorno al 2018 anche se in realtà è l’insieme di molte altre tecnologie e idee già presenti in passato. Per poterla implementare è necessario partire da tre assunti principali:

  • La rete è diventata ormai l’ufficio domestico
  • Le tecnologie di sicurezza tradizionali non possono essere applicate
  • Non si possono considerare affidabili i dispositivi mobili.

Con questi principi possiamo allargare la rete aziendale (ormai senza perimetri) con nuovi dispositivi e la tecnica del Bring Your Own Device (BYOD). Questo approccio permette agli utenti di utilizzare il proprio dispositivo personale per usare i servizi e le risorse aziendali. Tuttavia, c’è un nuovo problema, come accennavamo prima, cioè la necessità di rinforzare e assicurare la sicurezza direttamente nel dispositivo finale.

Il modello Zero Trust dove i dispositivi esterni (BYOD) possono accedere ai servizi aziendali con il mimino dei permessi possibili (Fonte: NCSC).

Un approccio in linea con quanto descritto è anche quello proposto da NCSC che identifica ulteriori elementi per garantire i principi alla base del modello Zero Trust:

  • Un unico repository centrale da cui recuperare le informazioni sull’identità degli utenti;
  • Autenticazione basata sull’utente (e non su base IP ad esempio);
  • Autenticazione della macchina, per essere certi che l’accesso stia avvenendo da un dispositivo autorizzato;
  • Autorizzazione sulla base di dati aggiuntivi come posizione, sicurezza dei dispositivi, servizio o carico di lavoro;
  • Politiche di autorizzazione per l’uso di applicazioni (così da restringere l’uso a quelle davvero necessarie);
  • Politiche di controllo degli accessi anche all’interno di una stessa applicazione.

Sicuramente l’approccio Zero Trust rivoluziona il concetto di rete aziendale e di come connettersi a questa. Tuttavia, per quanto complesso da realizzare molto probabilmente rappresenterà una svolta da mettere in piedi nel prossimo futuro.