Nel precedente post del blog abbiamo analizzato perché è importante che gli MSP imparino a conoscere Zero Trust e Zero Trust Network Access, e come spiegarne i vantaggi ai clienti. In questo post faremo un’immersione più profonda in alcuni dei principi e della filosofia che stanno alla base di Zero Trust.
La filosofia ZERO TRUST
Forse ne siete già a conoscenza, ma è importante sottolineare come punto di partenza che Zero Trust è una mentalità e non un prodotto, ed è incentrato sulla filosofia di: “Mai fidarsi, sempre verificare”. Detto questo, un impatto chiave di questa filosofia sarà la sostituzione di alcune vecchie soluzioni, in particolare di soluzioni come le VPN, e l’integrazione di nuovi prodotti per supportare l’implementazione di una strategia Zero Trust in tutta l’infrastruttura IT di un’azienda, dagli utenti ai dispositivi, alle reti, alle applicazioni e ai dati.
Nell’ambito di Zero Trust, il server VPN viene sottoposto a un forte esame perché incarna il modello di sicurezza “castello e fossato”, in cui viene tracciato un perimetro protettivo intorno alle risorse di rete, ma gli utenti sono sovra-ammessi una volta entrati. Ciò significa che utenti, dati e aggressori possono muoversi liberamente all’interno del nucleo protetto.
Al contrario, il modello di sicurezza Zero Trust elimina qualsiasi fiducia implicita, aderendo al principio “mai fidarsi, sempre verificare”. Così, ad esempio, un dipendente che accede a un file server potrebbe essere soggetto a un controllo di autenticazione a più fattori (MFA) e il suo accesso potrebbe essere continuamente rivalutato in modo che le autorizzazioni possano essere modificate dinamicamente, negando l’accesso in base a cambiamenti nella sua postura di sicurezza, come ad esempio un tentativo di accesso al file server fuori orario.
“Zero Trust è un concetto relativamente nuovo nel mercato della sicurezza”, afferma Marc Barry, cofondatore e Chief Product Officer di Enclave, “ma sono sempre più numerosi gli strumenti e i prodotti che arrivano sul mercato per supportare questo modello. A volte può essere difficile per gli MSP passare al setaccio questo set di strumenti in continua espansione per capire quali siano rilevanti per loro. Per questo motivo abbiamo creato un elenco di fornitori per aiutarli ad avere una prospettiva più chiara. È possibile accedervi all’indirizzo https://zerotrustnetworkaccess.info/“.
Comprendere i principi di Zero Trust
“Scendendo oltre la filosofia generale, possiamo comprendere la Zero Trust come una composizione di principi di sicurezza. Molti di questi sono precedenti alla diffusione del principio Zero Trust, ma un principio è solo questo”, spiega Marc. “Per implementare i principi abbiamo bisogno di tecnologia, ma può essere sorprendentemente difficile sapere quali tecnologie implementano correttamente quali principi, e in questa intersezione i framework e i termini di marketing mirano a offrire una guida, una chiarezza e una direzione”.
La postura di sicurezza dei dispositivi e degli utenti non è statica, né lo è l’ambiente di minacce in cui opera l’azienda; entrambi devono essere costantemente rivalutati su tutti i dispositivi e gli utenti, e l’accesso deve essere revocato se necessario, per garantire che tutte le risorse siano affidabili, sicure e conformi.
Gli utenti devono essere sempre autenticati e autorizzati in base a tutti i dati disponibili, come identità, posizione, salute del dispositivo e altri fattori contestuali. L’obiettivo è eliminare qualsiasi fiducia implicita, anche se l’utente si trova all’interno della rete aziendale.
L’accesso dell’utente deve essere limitato all’accesso “just-in-time” e “just-enough”, in modo da limitare gli utenti a ciò che è necessario per il tempo necessario. Questo per limitare il potenziale di accesso non autorizzato o di danno in caso di compromissione delle credenziali.
In questo caso il perimetro di sicurezza viene suddiviso in zone discrete e più piccole, isolate l’una dall’altra. In questo modo si limita il movimento laterale contenendo gli accessi non autorizzati e riducendo la superficie di attacco.
Sebbene sia simile al precedente, uno alimenta l’altro. Si tratta di garantire strategie e controlli per impedire agli aggressori di muoversi all’interno della rete una volta ottenuto l’accesso.
Simile alla filosofia del “quando non se”, si deve sempre presumere che si siano verificate, o si verificheranno, delle violazioni e valutare continuamente i sistemi e i processi in atto per contenere una violazione nel modo più rapido ed efficace possibile.
Le risposte automatiche sono molto più rapide degli interventi manuali, quindi automatizzando il più possibile si migliorano i tempi di reazione e la coerenza nel rispondere alle minacce e alle violazioni delle policy.
Per proteggere l’integrità e la riservatezza dei dati in tutte le fasi, è necessario crittografarli non solo in transito, ma anche a riposo.
Realizzare i principi di Zero Trust
“Esistono diversi framework che possono aiutarci a capire come applicare la tecnologia in modo coerente all’interno di un’azienda per realizzare e applicare i principi di Zero Trust”, aggiunge Marc. “Tuttavia, alcuni di essi sono fortemente prescrittivi e progettati per fornire indicazioni alle agenzie federali o governative, oppure sono molto teorici e non parlano di implementazione”.
Alcuni dei framework più riconosciuti oggi sono:
- National Institute of Standards and Technology (NIST) – SP 800-207, Architettura a fiducia zero.
- Centro nazionale per la sicurezza informatica (NCSC) – Principi di progettazione dell’architettura a fiducia zero
- Dipartimento della Difesa (DoD) – Architettura di riferimento a fiducia zero
- Cybersecurity and Infrastructure Security Agency (CISA) – Modello di maturità a fiducia zero
Quando si tratta di applicare la Zero Trust, uno degli ostacoli principali che gli MSP devono superare è quello di “dimensionare correttamente” la loro offerta: se non lo fanno, corrono il rischio di avere rendimenti decrescenti e di spendere troppo in prodotti di sicurezza che non aggiungono valore. “Abbiamo riscontrato che i nostri partner e clienti spesso trovano che il modello CISA raggiunga il giusto equilibrio, perché riconosce la necessità di affrontare la Zero Trust come un viaggio”, afferma Marc. “Questo è importante per gli MSP perché possono usarlo come metro di giudizio per dimensionare e adattare ogni soluzione Zero Trust che forniscono a ciascun cliente in base a linee guida riconosciute e sponsorizzate dal governo degli Stati Uniti. Questa guida consente loro di misurare il livello di maturità esistente dei loro clienti e di tracciare un percorso ragionevole che non li metta a rischio di sovraccaricare l’implementazione per il cliente. In sostanza, fornisce loro una strada di mattoni gialli da seguire”.
Il vero valore del modello CISA è l’enfasi che i suoi autori pongono sull’approccio strategico che consiste nel compiere progressi incrementali, ma tangibili, mappati e allineati alle best practice di sicurezza riconosciute a livello di settore.
Il modello CISA traccia il percorso di maturità attraverso cinque pilastri chiave: identità, dispositivi, reti, applicazioni e dati.
Ogni pilastro può avanzare in modo indipendente al proprio ritmo, consentendo un’ottimizzazione continua. Ad esempio, si potrebbe iniziare assicurando che tutte le identità degli utenti siano verificate in base a solidi standard di autenticazione, per poi passare a dispositivi sicuri con difese aggiornate.
Questo approccio garantisce che i miglioramenti della sicurezza siano al tempo stesso gestibili per il cliente e d’impatto per l’azienda, fornendo una roadmap di maturità basata su prove da utilizzare per costruire un rapporto partner-cliente sano e collaborativo.
“Come MSP, una delle prime cose da capire è che ogni percorso verso la maturità Zero Trust sarà diverso e che non tutti i clienti e le aziende saranno in grado di muoversi alla stessa velocità”, afferma Marc. “Sebbene il modello CISA definisca un percorso di maturità e i pilastri aiutino un’organizzazione a pensare a dove dovrebbe guardare, è davvero difficile dire ‘questa è la strada da seguire per tutti’. È una scala mobile. Credo che una delle maggiori sfide che abbiamo riscontrato con l’emergere e l’adozione di Zero Trust sia che non esiste una formula unica per tutti”.
Zero Trust è una composizione di molte idee di sicurezza diverse. Alcune di esse ci accompagnano da molto tempo, ma ora sono tutte cucite insieme sotto la filosofia “mai fidarsi, sempre verificare”.
Marc ritiene che questo renda estremamente difficile definire una ricetta definitiva per la Zero Trust.
“Dovrebbe includere il rilevamento e la risposta degli endpoint? Assolutamente sì. Dovrebbe includere ilmanaged and detection response? Potenzialmente sì, ma non è detto che sia così per voi e per i vostri clienti”, spiega. “Naturalmente principi come il minimo privilegio e la microsegmentazione sono componenti essenziali della filosofia Zero Trust, ma non credo sia giusto dire che non si sta facendo un lavoro efficace se non si sono automatizzate tutte le azioni di sicurezza, se non si dispone di analisi del rischio o di visibilità del comportamento e dei modelli di utilizzo per il rilevamento delle anomalie. Deve essere una scala progressiva”.
Per i vostri clienti, Zero Trust è un’opportunità per costruire la resilienza informatica nelle loro aziende, ma per voi è un’opportunità. Un’opportunità per approfondire le relazioni con i clienti esistenti e crearne di nuove, per costruire fiducia e credibilità e per espandere i flussi di entrate fornendo un valore reale alla sicurezza.
“Sono finiti i tempi in cui si abilitava il server VPN incorporato nel firewall e lo si lasciava a languire, ma allo stesso tempo è molto difficile elaborare una strategia Zero Trust che si adatti a tutti i clienti di un MSP senza qualche adattamento”.
“Gli MSP devono tenere conto del contesto del cliente, delle tecnologie esistenti, delle pratiche di lavoro correnti, dei modelli di minaccia, dei budget, della consapevolezza del rischio a livello di consiglio di amministrazione e così via; ma questa è anche l’opportunità di un’offerta di servizi Zero Trust”, conclude Marc. “Gli MSP più lungimiranti stanno già esaminando il modello CISA e si rendono conto che contiene tutto ciò di cui hanno bisogno per iniziare. Invitano i clienti a misurare le loro capacità e, utilizzando la guida CISA, mostrano loro perché, quando e come matureranno”.
Se stai cercando uno strumento che ti aiuti a gestire in modo sicuro l’accesso privilegiato sia per te che per i tuoi clienti, N‑able Passportal consente una gestione sicura e privilegiata degli accessi su tutti i tuoi dispositivi, reti e applicazioni, aiutandoti a creare, gestire e automatizzare credenziali forti.
Cerca contenuti interessanti per Linkedin sul nostro programma di canale dedicato a N-able
COMPILA IL FORM PER RICEVERE INFORMAZIONI SU N-ABLE
Articolo originale: Demystifying Zero Trust: Why MSPs Need to Take it Seriously
Autore: Peter Roythorne