Home » Zero Trust: la nuova sfida post pandemia

Zero Trust: la nuova sfida post pandemia

Nella nuova era post pandemia le sfide aziendali per garantire la sicurezza delle infrastrutture sono sempre più complesse. Zero Trust è il modello innovativo di rete che riduce al minimo i privilegi di accesso di ogni dispositivo, ripensando l’idea stessa di rete aziendale.

Categorie I'm the creeper

La pandemia ha inflitto un deciso balzo in avanti nello sviluppo del lavoro da remoto e il framework Zero Trust rappresenta una nuova sfida per gli architetti di rete. Questo modello va a braccetto con l’idea di de-perimiterisation, un termine coniato nel 2003 che esprime l’assenza di perimetri aziendali. Infatti, già in quegli anni si iniziavano a identificare nuovi problemi di sicurezza dettati dal fatto che i dispositivi aziendali potevano essere portati fuori dai confini della compagnia. In questo modo assicurare la sicurezza soprattutto di cellulari e portatili sarebbe diventato decisamente più complesso.

Background: dagli anni 90 ad oggi

Gli ultimi 30 anni hanno stravolto i concetti di reti informatiche e sicurezza. Negli anni 90 assicurare la protezione di una azienda era complesso ma al tempo stesso facilmente definibile. Il confine fra ciò che era fuori e ciò che era dentro l’azienda era chiaro e all’interno, tipicamente, si aveva una struttura client-server. I terminali, pertanto, erano considerati sicuri anche perché non c’era possibilità di accesso se non dall’interno.

Qualcosa è iniziato a cambiare con l’ampia diffusione dei portatili che hanno rivoluzionato l’idea del controllo degli accessi. Ad esempio, l’accesso su base IP o su base indirizzo MAC (valido se la postazione era fissa e collegata sempre allo stesso cavo di rete) non poteva essere più applicato. Infatti, con i portatili era possibile spostarsi da un piano all’altro di un edificio o anche fra edifici diversi. L’accesso, tuttavia, doveva essere garantito in ogni caso cambiando la strategia da utilizzare.

Ma la più grande rivoluzione è avvenuta con gli smartphone che hanno sdoganato l’uso di strumenti aziendali su dispositivi non propriamente pensati per questo. Per di più lo smartphone può accedere da ogni parte e in qualsiasi momento, vanificando l’idea stessa di perimetro aziendale. Per questo è importante ripensare a come garantire l’accesso ai sistemi e trasferire il concetto di sicurezza sul dispositivo finale. Infatti, nel passato si proteggeva l’infrastruttura ma con meno attenzione verso i terminali, lasciando la sicurezza sui grandi sistemi.

Gli smartphone e gli altri dispositivi mobili hanno creato nuovi problemi di sicurezza e hanno costretto le aziende a ripensare i modelli di reti aziendali.

Zero trust: la sfida della nuova rete senza perimetri

Fatte queste premesse, riusciamo ad introdurre il concetto del modello architetturale Zero Trust. L’architettura è stata proposta dal NIST intorno al 2018 anche se in realtà è l’insieme di molte altre tecnologie e idee già presenti in passato. Per poterla implementare è necessario partire da tre assunti principali:

  • La rete è diventata ormai l’ufficio domestico
  • Le tecnologie di sicurezza tradizionali non possono essere applicate
  • Non si possono considerare affidabili i dispositivi mobili.

Con questi principi possiamo allargare la rete aziendale (ormai senza perimetri) con nuovi dispositivi e la tecnica del Bring Your Own Device (BYOD). Questo approccio permette agli utenti di utilizzare il proprio dispositivo personale per usare i servizi e le risorse aziendali. Tuttavia, c’è un nuovo problema, come accennavamo prima, cioè la necessità di rinforzare e assicurare la sicurezza direttamente nel dispositivo finale.

Il modello Zero Trust dove i dispositivi esterni (BYOD) possono accedere ai servizi aziendali con il mimino dei permessi possibili (Fonte: NCSC).

Un approccio in linea con quanto descritto è anche quello proposto da NCSC che identifica ulteriori elementi per garantire i principi alla base del modello Zero Trust:

  • Un unico repository centrale da cui recuperare le informazioni sull’identità degli utenti;
  • Autenticazione basata sull’utente (e non su base IP ad esempio);
  • Autenticazione della macchina, per essere certi che l’accesso stia avvenendo da un dispositivo autorizzato;
  • Autorizzazione sulla base di dati aggiuntivi come posizione, sicurezza dei dispositivi, servizio o carico di lavoro;
  • Politiche di autorizzazione per l’uso di applicazioni (così da restringere l’uso a quelle davvero necessarie);
  • Politiche di controllo degli accessi anche all’interno di una stessa applicazione.

Sicuramente l’approccio Zero Trust rivoluziona il concetto di rete aziendale e di come connettersi a questa. Tuttavia, per quanto complesso da realizzare molto probabilmente rappresenterà una svolta da mettere in piedi nel prossimo futuro.

FONTI VERIFICATE