La pandemia ha inflitto un deciso balzo in avanti nello sviluppo del lavoro da remoto e il framework Zero Trust rappresenta una nuova sfida per gli architetti di rete. Questo modello va a braccetto con l’idea di de-perimiterisation, un termine coniato nel 2003 che esprime l’assenza di perimetri aziendali. Infatti, già in quegli anni si iniziavano a identificare nuovi problemi di sicurezza dettati dal fatto che i dispositivi aziendali potevano essere portati fuori dai confini della compagnia. In questo modo assicurare la sicurezza soprattutto di cellulari e portatili sarebbe diventato decisamente più complesso.
Gli ultimi 30 anni hanno stravolto i concetti di reti informatiche e sicurezza. Negli anni 90 assicurare la protezione di una azienda era complesso ma al tempo stesso facilmente definibile. Il confine fra ciò che era fuori e ciò che era dentro l’azienda era chiaro e all’interno, tipicamente, si aveva una struttura client-server. I terminali, pertanto, erano considerati sicuri anche perché non c’era possibilità di accesso se non dall’interno.
Qualcosa è iniziato a cambiare con l’ampia diffusione dei portatili che hanno rivoluzionato l’idea del controllo degli accessi. Ad esempio, l’accesso su base IP o su base indirizzo MAC (valido se la postazione era fissa e collegata sempre allo stesso cavo di rete) non poteva essere più applicato. Infatti, con i portatili era possibile spostarsi da un piano all’altro di un edificio o anche fra edifici diversi. L’accesso, tuttavia, doveva essere garantito in ogni caso cambiando la strategia da utilizzare.
Ma la più grande rivoluzione è avvenuta con gli smartphone che hanno sdoganato l’uso di strumenti aziendali su dispositivi non propriamente pensati per questo. Per di più lo smartphone può accedere da ogni parte e in qualsiasi momento, vanificando l’idea stessa di perimetro aziendale. Per questo è importante ripensare a come garantire l’accesso ai sistemi e trasferire il concetto di sicurezza sul dispositivo finale. Infatti, nel passato si proteggeva l’infrastruttura ma con meno attenzione verso i terminali, lasciando la sicurezza sui grandi sistemi.
Fatte queste premesse, riusciamo ad introdurre il concetto del modello architetturale Zero Trust. L’architettura è stata proposta dal NIST intorno al 2018 anche se in realtà è l’insieme di molte altre tecnologie e idee già presenti in passato. Per poterla implementare è necessario partire da tre assunti principali:
Con questi principi possiamo allargare la rete aziendale (ormai senza perimetri) con nuovi dispositivi e la tecnica del Bring Your Own Device (BYOD). Questo approccio permette agli utenti di utilizzare il proprio dispositivo personale per usare i servizi e le risorse aziendali. Tuttavia, c’è un nuovo problema, come accennavamo prima, cioè la necessità di rinforzare e assicurare la sicurezza direttamente nel dispositivo finale.
Un approccio in linea con quanto descritto è anche quello proposto da NCSC che identifica ulteriori elementi per garantire i principi alla base del modello Zero Trust:
Sicuramente l’approccio Zero Trust rivoluziona il concetto di rete aziendale e di come connettersi a questa. Tuttavia, per quanto complesso da realizzare molto probabilmente rappresenterà una svolta da mettere in piedi nel prossimo futuro.