L’approccio Zero Trust si è affermato, negli ultimi anni, come il nuovo standard della sicurezza informatica. Con questo modello di sicurezza, le aziende possono proteggere dati e risorse.
Come funziona l’approccio Zero Trust
L’approccio Zero Trust si basa sulla premessa che non esista alcuna zona sicura all’interno dell’infrastruttura IT di un’organizzazione. Ne consegue la necessità che ogni singolo accesso, sia da parte di un utente interno che da parte di un utente esterno, debba essere verificato e autorizzato in modo esplicito e continuo. In altre parole, ogni richiesta di accesso a dati e risorse deve essere valutata in base al contesto, ad esempio alla luce dell’identità dell’utente, del dispositivo utilizzato e della tipologia di dati a cui si sta cercando di accedere.
Per implementare l’approccio Zero Trust, le organizzazioni devono adottare una serie di misure di sicurezza avanzate, come l’autenticazione multi fattore (MFA), la criptazione dei dati e il monitoraggio costante dell’infrastruttura IT. A questi provvedimenti di natura tecnica devono essere affiancate chiare policy di sicurezza e la formazione dei dipendenti.
Per approfondire > ZeroTrust: per l’agenzia di Sicurezza Nazionale U.S.A e Microsoft questo è l’unico approccio valido alla cybersecurity
Google capofila, implementa lo zero trust già nel 2017
Una delle aziende che, per prima, ha scelto questo modello è stata Google. Google ha optato per lo zero trust già nel 2017, anno in cui ha implementato tale modello a protezione della propria infrastruttura e dei propri servizi. Hanno chiamato questa implementazione “BeyondCorp” e l’hanno basata su un principio semplice e molto chiaro:
“mai fidarsi, verificare sempre”.
BeyondCorp è progettato per fornire un accesso sicuro a applicativi e servizi Google da reti e dispositivi non attendibili senza fare affidamento sulla VPN tradizionale.
In questo caso i principi cardine sono:
- certificato di affidabilità di dispositivi e utenti
utilizzati per autenticare prima di concedere l’accesso alle risorse. - politiche di controllo degli accessi
che sono state definite secondo le mansioni e le necessità collegate al ruolo dell’utente entro l’organizzazione. - uso di proxy
utilizzati per garantire la sicurezza della connessione.
Per approfondire > BeyondCorp Enterprise: l’approccio zero trust di Google Cloud
Perchè le aziende dovrebbero implementare questo modello?
Le aziende dovrebbero implementare il modello di sicurezza zero trust perché fornisce un approccio più completo e sicuro rispetto ai tradizionali modelli di sicurezza basati sulla “fiducia implicita“. È progettato infatti per proteggere le risorse aziendali da minacce interne ed esterne, senza fare affidamento sulla posizione o sulla fonte di una richiesta di accesso.
Ci sono diverse ragioni per cui le aziende dovrebbero adottare l’approccio zero trust:
- Maggiore sicurezza: il modello di sicurezza zero trust adotta un approccio granulare, in cui ogni richiesta di accesso viene verificata e autorizzata in base a criteri di sicurezza. Ciò riduce il rischio di violazioni della sicurezza causate da attacchi interni o esterni.
- Flessibilità: il modello di sicurezza zero trust consente alle aziende di abilitare l’accesso remoto ai propri dipendenti e partner in modo sicuro. Ciò significa che i dipendenti possono accedere alle risorse aziendali da qualsiasi luogo e dispositivo, rendendo più facile e conveniente il lavoro in remoto.
- Conformità: l’approccio zero trust consente alle aziende di conformarsi alle normative di sicurezza, come ad esempio il GDPR. Ciò è particolarmente importante per le aziende che gestiscono dati sensibili dei clienti o dei dipendenti.
Un esempio concreto di applicazione del modello zero trust è quello di un’azienda che implementa l’autenticazione multi fattore (MFA) per tutti i suoi dipendenti. Ciò significa che ogni volta che un dipendente accede alle risorse aziendali, deve prima fornire due o più fattori di autenticazione, come ad esempio una password e un codice generato da un’applicazione di autenticazione. In questo modo, anche se un malintenzionato riesce ad ottenere le credenziali di accesso del dipendente, non sarà in grado di accedere alle risorse aziendali senza fornire anche il secondo fattore di autenticazione.