Roadmap verso Zero Trust

Apprendi 5 semplici progetti per un futuro Zero Trust

L'adozione di Zero Trust è complessa, ma avviare questo percorso non deve necessariamente esserlo

L'adozione del protocollo di sicurezza Zero Trust è noto per essere un percorso arduo. Per molti versi, questa fama è ben meritata. Zero Trust richiede un lavoro al quale la sicurezza e l'IT si approcciano con giustificata cautela: ripensare le politiche di default-allow e l'architettura di rete perimetrale, collaborare tra team funzionalmente diversi e affidarsi a nuovi servizi di sicurezza. Le organizzazioni possono rimandare questa trasformazione per una serie di motivi, tra cui:

  • Limiti di capacità dovuti alla presenza di progetti concorrenti

  • Variazione delle offerte dei provider di Zero Trust

  • Incertezza sull'ubicazione delle varie applicazioni e risorse nella rete

  • Possibili interruzione nella produttività dei dipendenti

Sebbene il framework Zero Trust sia piuttosto complesso (la roadmap completa per l'architettura Zero Trust consta di 28 passaggi), il completamento di alcuni passaggi richiede uno sforzo relativamente ridotto, anche per piccoli team con tempo limitato.


Adozione frammentaria di Zero Trust

In un contesto di rete, la sicurezza Zero Trust richiede che ogni richiesta in entrata, in uscita o all'interno di una rete aziendale sia ispezionata, autenticata, crittografata e registrata. Il principio Zero Trust basa sull'idea che non ci si debba fidare implicitamente di nessuna richiesta, indipendentemente dalla sua provenienza o dalla sua destinazione.

Fare un passo avanti verso il protocollo Zero Trust significa creare queste capacità laddove non siano ancora presenti. Per le organizzazioni che partono da zero, ciò significa spesso estendere queste capacità oltre un singolo "perimetro di rete".

Ecco cinque dei più semplici progetti di adozione di Zero Trust, incentrati sulla protezione di utenti, applicazioni, reti e traffico Internet. Da soli non possono raggiungere la piena implementazione del protocollo ma offrono benefici immediati e creano uno slancio iniziale per una trasformazione più ampia.


PROGETTO 1

Implementazione dell'autenticazione a più fattori per le applicazioni fondamentali

In un approccio Zero Trust, la rete deve essere estremamente sicura che le richieste provengano da enti affidabili.Ciò significa stabilire misure di salvaguardia contro il furto delle credenziali degli utenti tramite phishing o fughe di dati.L'autenticazione a più fattori (MFA) è la migliore protezione contro il furto di credenziali.Se un'implementazione completa dell'MFA può richiedere molto tempo, concentrarsi sulle applicazioni più critiche è una soluzione più semplice, ma comunque d'impatto.

Le aziende che dispongono già di un provider di identità possono impostare l'MFA direttamente all'interno di esso, ad esempio tramite codici una tantum o applicazioni di notifica push inviate ai dispositivi mobili dei dipendenti. Per le applicazioni non direttamente integrate con il vostro IdP, considerate l'utilizzo di un Application Reverse Proxy davanti all'applicazione per applicare l'MFA.

Le organizzazioni che non dispongono di un provider di identità possono adottare un approccio diverso verso l'autenticazione multifattoriale. Le piattaforme social come Google, LinkedIn e Facebook, o le password monouso (OTP), sono un altro modo per verificare con maggiore attenzione l'identità degli utenti. Si tratta di una modalità diffusa per allestire configurare l'accesso di appaltatori terzi senza doverli aggiungerli a un provider di identità aziendale, e può essere applicato anche all'interno dell'azienda stessa.


PROGETTO 2

Applicazione dei criteri Zero Trust per le applicazioni critiche

Applicare il protocollo Zero Trust è molto di più che verificare semplicemente le identità degli utenti. Le applicazioni devono inoltre essere protette con criteri che verifichino sempre le richieste, soppesando una serie di fattori comportamentali e contestuali prima dell'autenticazione, e che monitorino costantemente l'attività. Come nel Progetto 1, l'implementazione di queste politiche diventa più semplice se declinata su un elenco iniziale di applicazioni fondamentali.

Questo processo varia in base al tipo di applicazione in questione:

  1. Applicazioni private self-hosted (indirizzabili solo sulla rete aziendale)

  2. Applicazioni pubbliche self-hosted (indirizzabili su Internet)

  3. Applicazioni SaaS


PROGETTO 3

Monitoraggio delle applicazioni di posta elettronica ed esclusione dei tentativi di phishing

Quando si parla di Zero Trust, le e-mail non sempre vengono incluse nel discorso. Eppure, la posta elettronica è il mezzo di comunicazione numero uno della maggior parte delle organizzazioni, l'applicazione SaaS più utilizzata e il punto di ingresso più comune per gli aggressori. Senz'altro è meritevole dell'applicazione dei principi Zero Trust, a complemento dei normali filtri e delle normali verifiche.

L'implementazione della sicurezza delle e-mail nel cloud è un passo fondamentale per raggiungere questo obiettivo. Inoltre, i team di sicurezza dovrebbero prendere in considerazione un'opzione per mettere in quarantena i collegamenti in un browser isolato che non sono abbastanza sospetti per essere bloccati completamente.


PROGETTO 4

Chiudere tutte le porte in entrata aperte su Internet per la consegna delle applicazioni

Le porte di rete aperte in entrata sono un vettore di attacco comune e devono essere protette da Zero Trust.

Possono essere individuate utilizzando una tecnologia di scansione; da qui, un proxy inverso Zero Trust può esporre in modo sicuro un'applicazione web all'Internet pubblico senza aprire alcuna porta in entrata. L'unico record visibile pubblicamente dell'app è il suo record DNS, che può essere protetto con l'autenticazione Zero Trust e le funzionalità di registrazione.

Come ulteriore livello di sicurezza, è possibile sfruttare il DNS interno/privato utilizzando una soluzione di accesso alla rete Zero Trust.


PROGETTO 5

Blocco delle richieste DNS a minacce note o destinazioni rischiose

Il filtering DNS è l'insieme di attività volte a impedire agli utenti di accedere a siti web e altre risorse Internet notoriamente dannosi, o che si sospetta con buona ragione che lo siano. Non sempre viene inserito nel discorso sul Zero Trust, perché non prevede l'ispezione o la registrazione del traffico. Tuttavia, può controllare in ultima analisi dove gli utenti (o gruppi di utenti) possono trasferire e caricare i dati, il che si allinea bene con la più ampia filosofia del protocollo Zero Trust.

Il filtraggio DNS può essere applicato tramite la configurazione del router o direttamente su una macchina utente.


Capire l'ambito di applicazione più ampio del protocollo Zero Trust

L'implementazione di questi progetti può rappresentare un'introduzione piuttosto morbida a mondo Zero Trust. Qualsiasi organizzazione che sia in grado di adottarli avrà fatto passi significativi verso una postura di sicurezza migliore e più moderna.

L'adozione di Zero Trust su larga scala rimane complicata. Per aiutarvi, abbiamo costruito una roadmap imparziale per l'intero percorso Zero Trust. La roadmap copre questi cinque progetti, e altre iniziative simili. Alcuni richiederanno molto più tempo di qualche giorno, ma la tabella di marcia può fornire maggiore chiarezza sul significato dell'adozione di Zero Trust.

Cloudflare offre tutti questi servizi attraverso Cloudflare Zero Trust. La nostra soluzione è in grado di verificare, filtrare, isolare e ispezionare tutto il traffico di rete, il tutto su un'unica piattaforma uniforme e componibile per garantire configurabilità e operatività semplici e agevoli. Inoltre, la sua dorsale virtuale sicura - che utilizza una rete globale di 285+ città con oltre 11,500 interconnessioni - offre notevoli vantaggi in termini di sicurezza, prestazioni e affidabilità rispetto alla rete Internet pubblica.

Questo articolo fa parte di una serie sulle ultime tendenze e argomenti che hanno un impatto sui decisori tecnologici di oggi.



Punti chiave
  • La roadmap di adozione del protocollo Zero Trust consta di 28 passaggi completi

  • I 5 progetti per l'adozione di Zero Trust richiedono uno sforzo relativamente ridotto

  • I tipi di servizi che consente di implementare

  • Come avviare un piano di adozione per la tua organizzazione


RISORSE CORRELATE


Approfondisci questo argomento.

Per saperne di più su Zero Trust e iniziare a pianificare una roadmap per la tua organizzazione, consulta la guida completa "Una roadmap verso l'architettura Zero Trust."

Get the guide!

Ricevi un riepilogo mensile degli approfondimenti Internet più popolari!