Nel precedente post del blog abbiamo analizzato perché è importante che gli MSP imparino a conoscere Zero Trust e Zero Trust Network Access, e come spiegarne i vantaggi ai clienti. In questo post faremo un’immersione più profonda in alcuni dei principi e della filosofia che stanno alla base di Zero Trust.

La filosofia ZERO TRUST

Forse ne siete già a conoscenza, ma è importante sottolineare come punto di partenza che Zero Trust è una mentalità e non un prodotto, ed è incentrato sulla filosofia di: “Mai fidarsi, sempre verificare”. Detto questo, un impatto chiave di questa filosofia sarà la sostituzione di alcune vecchie soluzioni, in particolare di soluzioni come le VPN, e l’integrazione di nuovi prodotti per supportare l’implementazione di una strategia Zero Trust in tutta l’infrastruttura IT di un’azienda, dagli utenti ai dispositivi, alle reti, alle applicazioni e ai dati.

Nell’ambito di Zero Trust, il server VPN viene sottoposto a un forte esame perché incarna il modello di sicurezza “castello e fossato”, in cui viene tracciato un perimetro protettivo intorno alle risorse di rete, ma gli utenti sono sovra-ammessi una volta entrati. Ciò significa che utenti, dati e aggressori possono muoversi liberamente all’interno del nucleo protetto.

Al contrario, il modello di sicurezza Zero Trust elimina qualsiasi fiducia implicita, aderendo al principio “mai fidarsi, sempre verificare”. Così, ad esempio, un dipendente che accede a un file server potrebbe essere soggetto a un controllo di autenticazione a più fattori (MFA) e il suo accesso potrebbe essere continuamente rivalutato in modo che le autorizzazioni possano essere modificate dinamicamente, negando l’accesso in base a cambiamenti nella sua postura di sicurezza, come ad esempio un tentativo di accesso al file server fuori orario.

“Zero Trust è un concetto relativamente nuovo nel mercato della sicurezza”, afferma Marc Barry, cofondatore e Chief Product Officer di Enclave, “ma sono sempre più numerosi gli strumenti e i prodotti che arrivano sul mercato per supportare questo modello. A volte può essere difficile per gli MSP passare al setaccio questo set di strumenti in continua espansione per capire quali siano rilevanti per loro. Per questo motivo abbiamo creato un elenco di fornitori per aiutarli ad avere una prospettiva più chiara. È possibile accedervi all’indirizzo https://zerotrustnetworkaccess.info/“.

Comprendere i principi di Zero Trust

“Scendendo oltre la filosofia generale, possiamo comprendere la Zero Trust come una composizione di principi di sicurezza. Molti di questi sono precedenti alla diffusione del principio Zero Trust, ma un principio è solo questo”, spiega Marc. “Per implementare i principi abbiamo bisogno di tecnologia, ma può essere sorprendentemente difficile sapere quali tecnologie implementano correttamente quali principi, e in questa intersezione i framework e i termini di marketing mirano a offrire una guida, una chiarezza e una direzione”.

Realizzare i principi di Zero Trust

“Esistono diversi framework che possono aiutarci a capire come applicare la tecnologia in modo coerente all’interno di un’azienda per realizzare e applicare i principi di Zero Trust”, aggiunge Marc. “Tuttavia, alcuni di essi sono fortemente prescrittivi e progettati per fornire indicazioni alle agenzie federali o governative, oppure sono molto teorici e non parlano di implementazione”.

Alcuni dei framework più riconosciuti oggi sono:

  • National Institute of Standards and Technology (NIST) – SP 800-207, Architettura a fiducia zero.
  • Centro nazionale per la sicurezza informatica (NCSC) – Principi di progettazione dell’architettura a fiducia zero
  • Dipartimento della Difesa (DoD) – Architettura di riferimento a fiducia zero
  • Cybersecurity and Infrastructure Security Agency (CISA) – Modello di maturità a fiducia zero

Quando si tratta di applicare la Zero Trust, uno degli ostacoli principali che gli MSP devono superare è quello di “dimensionare correttamente” la loro offerta: se non lo fanno, corrono il rischio di avere rendimenti decrescenti e di spendere troppo in prodotti di sicurezza che non aggiungono valore. “Abbiamo riscontrato che i nostri partner e clienti spesso trovano che il modello CISA raggiunga il giusto equilibrio, perché riconosce la necessità di affrontare la Zero Trust come un viaggio”, afferma Marc. “Questo è importante per gli MSP perché possono usarlo come metro di giudizio per dimensionare e adattare ogni soluzione Zero Trust che forniscono a ciascun cliente in base a linee guida riconosciute e sponsorizzate dal governo degli Stati Uniti. Questa guida consente loro di misurare il livello di maturità esistente dei loro clienti e di tracciare un percorso ragionevole che non li metta a rischio di sovraccaricare l’implementazione per il cliente. In sostanza, fornisce loro una strada di mattoni gialli da seguire”.

Il vero valore del modello CISA è l’enfasi che i suoi autori pongono sull’approccio strategico che consiste nel compiere progressi incrementali, ma tangibili, mappati e allineati alle best practice di sicurezza riconosciute a livello di settore.                                                                         
Il modello CISA traccia il percorso di maturità attraverso cinque pilastri chiave: identità, dispositivi, reti, applicazioni e dati.

Ogni pilastro può avanzare in modo indipendente al proprio ritmo, consentendo un’ottimizzazione continua. Ad esempio, si potrebbe iniziare assicurando che tutte le identità degli utenti siano verificate in base a solidi standard di autenticazione, per poi passare a dispositivi sicuri con difese aggiornate.
Questo approccio garantisce che i miglioramenti della sicurezza siano al tempo stesso gestibili per il cliente e d’impatto per l’azienda, fornendo una roadmap di maturità basata su prove da utilizzare per costruire un rapporto partner-cliente sano e collaborativo.

“Come MSP, una delle prime cose da capire è che ogni percorso verso la maturità Zero Trust sarà diverso e che non tutti i clienti e le aziende saranno in grado di muoversi alla stessa velocità”, afferma Marc. “Sebbene il modello CISA definisca un percorso di maturità e i pilastri aiutino un’organizzazione a pensare a dove dovrebbe guardare, è davvero difficile dire ‘questa è la strada da seguire per tutti’. È una scala mobile. Credo che una delle maggiori sfide che abbiamo riscontrato con l’emergere e l’adozione di Zero Trust sia che non esiste una formula unica per tutti”.

Zero Trust è una composizione di molte idee di sicurezza diverse. Alcune di esse ci accompagnano da molto tempo, ma ora sono tutte cucite insieme sotto la filosofia “mai fidarsi, sempre verificare”.

Marc ritiene che questo renda estremamente difficile definire una ricetta definitiva per la Zero Trust.
“Dovrebbe includere il rilevamento e la risposta degli endpoint? Assolutamente sì. Dovrebbe includere ilmanaged and detection response? Potenzialmente sì, ma non è detto che sia così per voi e per i vostri clienti”, spiega. “Naturalmente principi come il minimo privilegio e la microsegmentazione sono componenti essenziali della filosofia Zero Trust, ma non credo sia giusto dire che non si sta facendo un lavoro efficace se non si sono automatizzate tutte le azioni di sicurezza, se non si dispone di analisi del rischio o di visibilità del comportamento e dei modelli di utilizzo per il rilevamento delle anomalie. Deve essere una scala progressiva”.

Per i vostri clienti, Zero Trust è un’opportunità per costruire la resilienza informatica nelle loro aziende, ma per voi è un’opportunità. Un’opportunità per approfondire le relazioni con i clienti esistenti e crearne di nuove, per costruire fiducia e credibilità e per espandere i flussi di entrate fornendo un valore reale alla sicurezza.

“Sono finiti i tempi in cui si abilitava il server VPN incorporato nel firewall e lo si lasciava a languire, ma allo stesso tempo è molto difficile elaborare una strategia Zero Trust che si adatti a tutti i clienti di un MSP senza qualche adattamento”.

“Gli MSP devono tenere conto del contesto del cliente, delle tecnologie esistenti, delle pratiche di lavoro correnti, dei modelli di minaccia, dei budget, della consapevolezza del rischio a livello di consiglio di amministrazione e così via; ma questa è anche l’opportunità di un’offerta di servizi Zero Trust”, conclude Marc. “Gli MSP più lungimiranti stanno già esaminando il modello CISA e si rendono conto che contiene tutto ciò di cui hanno bisogno per iniziare. Invitano i clienti a misurare le loro capacità e, utilizzando la guida CISA, mostrano loro perché, quando e come matureranno”.

Se stai cercando uno strumento che ti aiuti a gestire in modo sicuro l’accesso privilegiato sia per te che per i tuoi clienti, N‑able Passportal consente una gestione sicura e privilegiata degli accessi su tutti i tuoi dispositivi, reti e applicazioni, aiutandoti a creare, gestire e automatizzare credenziali forti.

Cerca contenuti interessanti per Linkedin sul nostro programma di canale dedicato a N-able

COMPILA IL FORM PER RICEVERE INFORMAZIONI SU N-ABLE

Articolo originale: Demystifying Zero Trust: Why MSPs Need to Take it Seriously

Autore: Peter Roythorne

Credits Articolo

Credits Articolo

Scritto e riadattato da CIPS Informatica per N-able 

© 2024 N‑able Solutions ULC and N‑able Technologies Ltd. All rights reserved.

This document is provided for informational purposes only and should not be relied upon as legal advice. N‑able makes no warranty, express or implied, or assumes any legal liability or responsibility for the accuracy, completeness, or usefulness of any information contained herein.

The N-ABLE, N-CENTRAL, and other N‑able trademarks and logos are the exclusive property of N‑able Solutions ULC and N‑able Technologies Ltd. and may be common law marks, are registered, or are pending registration with the U.S. Patent and Trademark Office and with other countries. All other trademarks mentioned herein are used for identification purposes only and are trademarks (and may be registered trademarks) of their respective companies.

Torna in cima