Tutti i benefici di un’unica piattaforma con funzionalità integrate di difesa attiva e preventiva
Il modello di lavoro ibrido, l’alternanza di attività presso gli uffici delle società e da remoto, sarà una parte integrante delle future dinamiche aziendali. Anche se la marea provocata dall’emergenza sanitaria è rientrata e il numero di persone che lavora con questa modalità si sta assestando, il fenomeno non sarà affatto temporaneo.
«L’hybrid work, introdotto e forzato da Covid, è una delle realtà con cui molte aziende stanno combattendo» afferma Andrea Polesel, Solutions Architect: Zero Trust, Cloud Security, SASE Zscaler. «Un framework destinato a rimanere. Ma se vogliamo che consenta all’utente di lavorare in modo efficiente e sicuro ci sono dei requisiti che devono essere soddisfatti. Requisiti che frequentemente diventano delle sfide».
Ridurre la complessità
Per esempio ci sono casi di aziende che hanno in produzione tre, quattro tecnologie di VPN ed è l’utente a scegliere quale utilizzare. «Ciò non è esattamente user friendly» osserva Polesel. «A fronte di attacchi sempre più sofisticati serve una protezione che si adatti al livello di rischio a cui l’utente è esposto in ogni momento. I dati aziendali sono ovunque: nell’endpoint, nel data center, nel cloud. Serve quindi un framework che riesca a proteggere questi dati dalle esfiltrazioni. Due le modalità per farlo. La prima è continuare ad aggiungere pezze, una dopo l’altra: il firewall, il gateway, ecc. La seconda è cominciare a fare architettura in modo diverso. Questo non significa prendere un firewall e metterlo nel datacenter di qualcun altro; significa guardare ai problemi in modo diverso» afferma Polesel. «Se seguiamo la prima opzione di solito finiamo in una situazione simile a quella in cui mi trovavo qualche anno fa quando lavoravo per un’altra azienda. Con appliances sparse un po’ dappertutto e richieste agli utenti di fare giri convoluti per arrivare alle risorse di cui avevano bisogno. Circumnavigando i nostri controlli qualcuno si infettava e infettava l’azienda e le terze parti. Dilatando la superficie d’attacco». Ogni servizio, apparato, indirizzo IP visibile su internet è soggetto a scansioni mirate in cerca di vulnerabilità. Scansioni che possono essere usate per entrare all’interno delle infrastrutture delle aziende. «La superficie d’attacco delle terze parti diventa quella dell’azienda capofila. Perché se le prime s’infettano è probabile che accada anche alle seconde. La complessità, sinonimo di rischio e costi, è anche la migliore alleata degli attaccanti. Noi difensori dobbiamo coprire tutti i buchi. Gli attaccanti ne devono trovare uno solo. Basta quello per infiltrarsi, muoversi lateralmente, trovare il target finale. E di solito l’attacco si traduce in una esfiltrazione di dati».
Protezione Zero Trust
L’altro modo di fare le cose è iniziare a spostare il focus dalla network security verso i tre asset più importanti per ogni azienda: utenti, applicazioni e i dati, il vero patrimonio aziendale. «Noi usiamo il framework Zero Trust per proteggere questi asset» afferma Polesel. «Ed è quello che facciamo con ZT Exchange. Colleghiamo gli utenti alla piattaforma, terminiamo le sessioni, verifichiamo l’identità, il contesto e il livello di rischio di un utente; verifichiamo a quali risorse l’utente vuole accedere. Se non c’è una policy non c’è una transazione. Se l’utente vuole andare su internet lo colleghiamo direttamente oppure tramite una sessione riservata; se vuole accedere a una applicazione interna costruiamo una sessione dall’interno verso l’esterno, nessun tunnel inbound, solo un tunnel su porta 443. E all’interno del cloud facciamo del brokering fra le due sessioni». Zero Trust parte dall’assunto che ogni azienda, ogni organizzazione siano già infiltrate e quindi ogni richiesta di accesso ad una applicazione o a una risorsa deve essere prima autenticata, poi autorizzata e infine permessa. «Esattamente quel che facciamo» afferma Polesel. «Terminiamo le sessioni e niente passa se non c’è una policy che meccia».
I moduli della piattaforma
Tre i moduli principali che Zscaler mette a disposizione all’interno della piattaforma ZT Exchange. «Corrispondenti ad altrettante linee di prodotti: Zscaler for user, per definire come gli utenti si possono collegare in modo sicuro agli applicativi; Zscaler for workload, per proteggere la comunicazione server to server e Zscaler per IoT e OT» spiega Marco Pacchiardo, Service Architect EMEA Zscaler. Ognuno con specifici casi d’uso, illustrati durante la Tavola rotonda finale di One True Zero Live, il roadshow di Zscaler che ha visto la partecipazione di alcuni clienti importanti, chiamati a raccontare sia le esigenze che li hanno portati a scegliere uno o più moduli disponibili della piattaforma, sia le esperienze maturate, dall’installazione alla gestione day by day della sicurezza.
