L’attuazione del framework inizia dalla protezione della forza lavoro e del traffico aziendale
Zero Trust è un concetto chiaro, ben definito, imperniato su un set di principi fondamentali declinati in tecnologie diverse» afferma Marco Catino, principal sales engineer di Zscaler. L’interesse presso aziende e organizzazioni tuttavia non procede di pari passo con l’effettiva comprensione del framework. «Spesso i vendor cavalcano concetti come Zero Trust, SASE – Secure Access Service Edge – artificial intelligence per posizionarsi meglio e ovunque. Generando di fatto parecchia confusione. Detto questo Zero Trust e in particolare Zero Trust Network Access, uno degli elementi del framework Security Services Edge, definito da Gartner, è un concetto che il 90% delle aziende con cui noi lavoriamo sta esplorando».
Primo tassello: controllo accessi
La marcia di avvicinamento allo Zero Trust parte dalla gestione delle identità e degli accessi. «La parte di governance è fondamentale nel concetto di Zero Trust allargato» conferma Catino. «Secondo le definizioni di NIST e CISA – Identity è uno dei cinque pilastri del framework. Basato, come molti sanno, sull’assunzione che perimetro aziendale, rete sicura e trusted sono concetti del tutto superati. Il device e l’utente sono di fatto il nuovo perimetro. Perché se non sappiamo identificare l’utente e le sue necessità di acesso – continua Catino – non siamo in grado di validarne i privilegi». In questo quadro multi factor authentication, user based, risk based authentication, passwordless, pilastri del concetto di Zero Trust allargato, hanno del tutto scalzato username e password. La centralità della protezione degli accessi è il punto fermo da cui partire. Un concetto che non può essere implementato basandosi solo sullo strumento Active Directory. Dal quale tutti partono per gestire le identità digitali ma che presenta debolezze funzionali e scarsa capacità di resilienza agli attacchi. «Active Directory è un repository di informazioni sull’identità» osserva Catino «Molto lontano però dall’essere sufficiente a gestire le identità secondo un concetto Zero Trust. Perché manca di tutta la parte di governance, cioè di verifica e monitoraggio di utenze e gruppi».
I pilastri dello Zero Trust
Nell’approccio Zero Trust, oltre all’identity, le altre colonne sono la protezione del dato e l’accesso alle applicazioni. «Ovvero tutta la parte coperta da Zscaler, vale a dire i concetti alla base del SASE. L’utente è roaming: lavora da casa, dall’ufficio, dalla fabbrica; utilizzando applicazioni che una volta si trovavano nel data center aziendale ma che oggi sempre più tendono a essere IaaS o SaaS; quindi di fatto diventano un’applicazione web fuori dal controllo degli amministratori di sistema dal punto di vista infrastrutturale». In questo scenario – prosegue Catino – servono strumenti che consentano agli utenti di raggiungere sia le applicazioni SaaS che quelle private; di andare su Internet in modo sicuro mantenendo alta la qualità della user experience. «Se sono a Milano e voglio andare su internet, non ha senso che il mio traffico passi da Amsterdam per essere messo in sicurezza per poi tornare a Milano; così come se accedo a un’applicazione in Azure a Francoforte e contemporaneamente a un’altra nel data center aziendale a Rozzano, il traffico per arrivare a Francoforte non deve passare da Rozzano, ci deve andare diretto. Queste sono le capability del Secure Service Edge (SSE) Zscaler, componente fondamentale per l’implementazione di un’architettura Zero Trust. Zscaler, fondata nel 2007, porta avanti le idee di SSE e ZTNA da molti anni, e da prima che gli stessi fossero formalmente definiti nel 2019».
Le aziende però non sono ancora costituite solo da lavoratori in mobilità e neppure tutte le applicazioni sono migrate in cloud. Una convivenza tra queste due modalità dunque c’è e dovrà esserci ancora. «Durante e dopo il Covid le cose sono cambiate» nota Catino. «Oggi l’eccezione è che l’utente sia solo in ufficio. Qualunque azienda consente uno o due giorni di smart working; detto questo è sacrosanto volere una soluzione che funzioni anche quando l’utente è in ufficio; ma in questo senso l’evoluzione verso il SASE non introduce ostacoli perché a questo punto l’ufficio è solo un’altra location in cui l’utente si può trovare; l’importante è che ovunque si trovi possa avere un punto di accesso vicino; ovvero un data center Zscaler che potrà gestire il suo traffico, metterlo in sicurezza e smistarlo verso le applicazioni in internet o private».
Semplificazione non significa banalizzazione
Questo naturalmente non significa sgomberare completamente il campo da una serie di sfide connesse all’implementazione dell’architettura. «Tutte le aziende più strutturate hanno un proprio headquarter e uno o più data center» premette Catino. «Potrei ad esempio trovarmi a dover gestire degli utenti che devono accedere ad applicazioni in data center, collegati da un cavo in fibra proprietario, quindi a costo zero e molto performante. In questo caso per la parte di accesso alle applicazioni sarebbe una forzatura dire al cliente che Zero Trust è fattibile solo a patto di mandare l’utente dislocato nell’hq su internet e poi facendolo rientrare» spiega Catino. «L’alternativa potrebbe essere quella di abbassare di molto la user experience dei miei utenti nell’hq facendoli uscire su internet e poi rientrare; ma in questo modo farei il contrario dei principi enunciati da SASE, NIST, ecc». Zscaler risolve la problematica grazie a virtual appliance installate sui sistemi del cliente nel suo data center. «Gli aggiornamenti, le policy, l’enforcement, ecc. tutto viene gestito e controllato dal cloud Zscaler» spiega Catino. «L’enforcement locale è demandato a un set di virtual machine che non richiedono all’utente di uscire su internet per poi rientrare; di fatto ciò ci consente di implementare lo Zero Trust anche quando utente e applicazione sono ancora on premise». Con tempi tecnici e risorse impiegate sempre più contenuti. «Dal punto di vista tecnologico andiamo verso una forte semplificazione» anticipa Catino. «Con SASE possiamo trasformare un’architettura legacy in cui la security si basa sull’identificazione tramite indirizzi IP e caratterizzata da reti estese su numerose sedi nel mondo, tutte interconnesse, ognuna con i suoi firewall e apparati. Il concetto di SASE elimina tutto questo, ricordandoci che la rete fa trasporto ma non è uno strumento di security. L’indirizzamento TCP/IP ci serve solo a garantire che l’utente nella sede in Brasile arriverà al data center a Milano. Noi aggiungiamo on top la security, non più legata alla rete ma al concetto di policy». SASE trasferisce il concetto alle comunicazioni tra utenti e applicazioni semplificandolo. «Andrò a configurare delle policy, ma di fatto, dal punto di vista architetturale, si tratta di prendere un utente che accede a internet e veicolare il suo traffico verso il data center Zscaler più vicino; per i device utente, sarà sufficiente utilizzare un agent in grado di fare tutto questo in autonomia. Per server e OT/IoT dovrò apportare delle modifiche alla rete, in modo da poter garantire il trasporto verso uno dei 150+ datacenter Zscaler. Molto più semplice – conclude Catino – implementare il framework SASE che mantenere e sviluppare quanto si è fatto negli ultimi trent’anni».
