Perché VPN e firewall non riescono a supportare un'architettura zero trust

Nel panorama di oggi, in cui le minacce si evolvono costantemente, è chiaro che le misure di sicurezza tradizionali, basate sul perimetro, non bastano più per proteggere le organizzazioni da attacchi informatici sempre più sofisticati. La diffusione del lavoro da remoto e del cloud computing, insieme all'intensificarsi di minacce informatiche sofisticate basate sull'AI, hanno portato alla luce nuovi e pericolosi crimini informatici. Di conseguenza, le organizzazioni si trovano ad affrontare l'urgente necessità di adottare una strategia di sicurezza più proattiva. In un'epoca segnata da minacce informatiche altamente sofisticate, è fondamentale adattarsi rapidamente e garantire una protezione avanzata dei dati sensibili e dei sistemi critici. 

L'implementazione di un'architettura zero trust è fortemente consigliata per contrastare queste minacce avanzate, ma cosa intendiamo quando parliamo di un'architettura di questo tipo? Alcuni fornitori utilizzano il termine "zero trust" in modo improprio e presentano soluzioni che semplicemente ripropongono in una nuova veste gli strumenti di sicurezza perimetrali esistenti. 

Sia che vengano implementati come soluzioni hardware o come apparecchiature virtuali in un'istanza cloud, gli strumenti come i firewall non sono in grado di contrastare gli attacchi informatici continui e avanzati a cui le organizzazioni sono esposte oggi. Questi approcci partono dal presupposto che tutto quello che si trova all'esterno alla rete non sia attendibile, al contrario di tutto ciò che si trova all'interno. Quando si impiega un modello di sicurezza basato sul perimetro, la rete rimane comunque esposta, e l'installazione di più firewall sul cloud non è efficace quanto una vera architettura zero trust scalabile, multitenant e cloud-first, per la protezione di utenti, workload e dispositivi.

La sicurezza basata sul perimetro presenta debolezze

La sicurezza perimetrale presenta un punto debole evidente, ossia la mancanza di controllo sulle risorse dopo un tentativo di accesso malevolo alla rete andato a buon fine. I tradizionali controlli di sicurezza perimetrali interagiscono con l'intera rete, e gli indirizzi IP restano esposti e possono essere sfruttati molto facilmente dagli aggressori. Questi ultimi, infatti, una volta ottenuto l'accesso alla rete, sfruttano questi indirizzi IP pubblici per muoversi lateralmente, individuare i dati di valore ed esfiltrarli.

Un'altra debolezza della sicurezza perimetrale deriva dal fatto che gli aggressori sfruttano tattiche di ingegneria sociale o vulnerabilità presenti nell'infrastruttura di rete. Gli utenti malintenzionati sono sempre alla ricerca di nuovi modi per riuscire a penetrare nelle reti aziendali, e spesso usano tattiche di ingegneria sociale, attaccano indirizzi IP o sfruttano le vulnerabilità infrastrutturali. Una volta all'interno, gli aggressori possono aggirare facilmente i controlli di sicurezza perimetrali e accedere a qualsiasi risorsa desiderino.

Un'architettura zero trust nativa del cloud ha quattro principi cardine

Per affrontare queste debolezze e fornire un approccio più solido alla sicurezza, le organizzazioni devono adottare un'architettura zero trust. Lo zero trust si fonda sul presupposto che tutti gli utenti, i dispositivi e il traffico, sia all'interno che all'esterno del perimetro della rete, non debbano essere considerati automaticamente attendibili. Questo approccio elimina il concetto di rete attendibile e verifica invece ogni richiesta di accesso, indipendentemente dalla sua origine. Lo zero trust impone una verifica rigorosa delle identità, l'accesso a privilegi minimi e l'analisi e il monitoraggio continui del traffico di rete, per garantire che gli utenti autorizzati abbiano accesso solo alle risorse di cui hanno bisogno.

Per implementare il modello zero trust, le organizzazioni devono adottare i seguenti principi:

1. Non fidarsi mai, verificare sempre: tutti gli utenti, i dispositivi e il traffico devono essere verificati, prima di poter accedere a una qualsiasi risorsa. L'attendibilità non deve mai essere data per scontata, ma deve essere ottenuta attraverso rigorosi processi di verifica, che includono l'utilizzo di segnali contestuali, un passaggio cruciale per la verifica.
2. Accesso con privilegi minimi: agli utenti dovrebbe essere concesso solo il livello minimo di accesso necessario per svolgere le proprie mansioni lavorative. Questo principio garantisce che, anche qualora le credenziali di un utente venissero compromesse, gli eventuali danni possano essere evitati.
3. Monitoraggio e analisi continui: tutto il traffico di rete deve essere costantemente monitorato e analizzato per individuare eventuali segnali di attività sospette. Questo approccio proattivo consente alle organizzazioni di rilevare e rispondere alle potenziali minacce in tempo reale.
4. Presupposizione di una violazione e valutazione del rischio: questo principio si basa sul presupposto che una violazione si sia già verificata o si verificherà. Adottando questa mentalità, le organizzazioni sono preparate a rilevare e a rispondere alle potenziali violazioni, riducendo al minimo l'impatto su reti e risorse.

Perché firewall e VPN non sono all'altezza di una vera architettura zero trust

Sebbene firewall e VPN siano utilizzati da tempo per proteggere le reti, non sono sufficienti per garantire una solida sicurezza zero trust. Queste soluzioni operano secondo il principio della sicurezza perimetrale, e partono dal presupposto che tutto ciò che si trova all'esterno della rete non sia attendibile, diversamente da ciò che si trova all'interno. Questo approccio però si rivela inadeguato di fronte agli attacchi informatici altamente sofisticati di oggi.

Pur essendo inclusi da molti fornitori tra le proprie soluzioni "zero trust", firewall e VPN non vanno confusi con i componenti di un'architettura zero trust.

I firewall possono aiutare a bloccare l'accesso non autorizzato alla rete, ma non consentono di impedire il movimento laterale degli aggressori che hanno ottenuto l'accesso, a meno che non si spendano cifre esorbitanti per acquistare continuamente nuovi firewall. Le VPN sono in grado di proteggere l'accesso remoto alla rete, ma non di impedire agli aggressori di sfruttare le vulnerabilità presenti nell'infrastruttura di rete. Per implementare un'architettura zero trust, le organizzazioni devono adottare un approccio olistico che non metta a rischio l'intera rete.

Zscaler è tra i leader dell'architettura zero trust

Quando si tratta di implementare un'architettura zero trust, le organizzazioni possono rivolgersi a Zscaler e affidarsi alla sua leadership nel campo dello zero trust. Zscaler Zero Trust Exchange fornisce un approccio completo per proteggere l'accesso alle applicazioni di utenti, workload, IoT/OT e terze parti, in qualsiasi luogo.

Zero Trust Exchange di Zscaler è una piattaforma nativa del cloud con elevati livelli di disponibilità e scalabilità. Agisce come un centralino intelligente che collega direttamente utenti, workload, partner B2B e dispositivi alle rispettive risorse. Zscaler offre inoltre funzionalità di sicurezza avanzate, come l'accesso con privilegi minimi, il monitoraggio continuo e la valutazione dei rischi. Questo approccio protegge le organizzazioni e i dati da varie minacce, assicurando che nessuna entità acceda direttamente alla rete. Il cloud Zscaler protegge più di 500 miliardi di transazioni al giorno per oltre il 40% delle aziende Forbes Global 2000.

Zero Trust Exchange di Zscaler offre un servizio di assistenza clienti 24 ore su 2 e 7 giorni su 7, con un team esperto nell'implementazione e gestione delle architetture zero trust.

Se sei alla ricerca di soluzioni zero trust leader di settore, scegli Zscaler. Scopri di più su come funziona una soluzione zero trust affidabile partecipando a uno dei nostri webinar introduttivi mensili sullo zero trust.