L’approccio Zero Trust: cos’è e come funziona

22.01.24 -

Zero Trust è un approccio di protezione della rete secondo il quale nessun utente o dispositivo è considerato affidabile fino a quando non ne vengano verificate l’identità e l’autorizzazione. In questo articolo vediamo cos’è e su quali principi si basa Zero Trust.

Articolo estratto dal volume Protezione dei dati e sicurezza informatica, di Jean Louis a Beccara, Alessandra Cirolini Lunelli, Silvio Ranise

Zero Trust: che cos’è

Zero Trust (ZT) è il nome di un approccio adatto a mettere in sicurezza le infrastrutture, i servizi e le applicazioni digitali. Ben si adatta ad essere applicato alla molteplicità delle tecnologie IT maggiormente utilizzate attualmente, come ad esempio:

  • le piattaforme cloud,
  • il mobile,
  • le infrastrutture IoT (Internet of Things)

Come funziona l’approccio Zero Trust

Quando si parla di approccio Zero Trust (ZT) si fa riferimento ad un approccio alla progettazione ed allo sviluppo di sistemi in cui la fiducia (trust) implicita nei componenti, come la rete di comunicazione o i dispositivi usati dagli utenti, viene ad essere rimossa.

Invece, i componenti vengono assunti come ostili, in particolare rete e dispositivi degli utenti, ed ogni richiesta di accesso a servizi, funzionalità o dati che il sistema gestisce viene ad essere verificata, ovvero concessa o negata, a seconda di politiche di sicurezza opportunamente definite.

Intuitivamente, le politiche di sicurezza hanno l’obiettivo di definire esplicitamente le relazioni di fiducia tra il richiedente accesso e la risorsa cui si accede. La fiducia nell’affidabilità di una richiesta è ottenuta attraverso la costruzione di un contesto che, a sua volta, si basa sulla robustezza delle procedure di autenticazione, autorizzazione e verifica dello stato di salute dei dispositivi nonché la sensibilità dei dati cui si accede.

Tutto questo viene fatto grazie all’applicazione coordinata di una collezione di principi di sicurezza che sono condensati in 8 linee guida descritte più avanti

Su quali principi si basa Zero Trust

Ecco i presupposti sui quali si basa l’approccio Zero Trust

La rete deve essere considerata ostile

Questo significa che bisogna rimuovere la fiducia dalla rete o da sue parti come ad esempio una rete locale, separata dagli accessi provenienti da Internet tramite la tecnica DMZ (Demilitarized Zone) atta a creare un perimetro di sicurezza intorno ai componenti che gestiscono i dati più sensibili.

In altre parole, il mero fatto di essere connesso ad una rete non implica che si debba avere accesso a tutto quello che viene messo a disposizione sulla rete. Ogni richiesta di accesso a dati, servizi e funzionalità deve essere autenticata ed autorizzata secondo le regole definite nella politica di controllo degli accessi al sistema. Se una connessione non soddisfa tale politica di controllo degli accessi, la connessione deve essere interrotta.

Acquisire fiducia dinamicamente

Se si rimuove la fiducia nella rete o in sue parti, si deve acquisire fiducia negli utenti, nei dispositivi e nei servizi che la usano per accedere al sistema. In altre parole bisogna collezionare evidenze che gli utenti, i dispositivi ed i servizi richiedenti accesso siano veramente chi dicano di essere e di soddisfare requisiti di sicurezza prestabiliti per minimizzare i rischi derivanti da un loro accesso al sistema.

Linee Guida dell’approccio Zero Trust

Elenchiamo di seguito 8 linee guida per lo sviluppo di sistemi che adottano un approccio ZT alla sicurezza di sistemi aziendali.

Conosci l’architettura del sistema inclusi utenti, dispositivi, servizi e dati

Nell’approccio ZT, data l’assunzione che la rete è compromessa e quindi nessuna sua parte risulta degna di fiducia, è più importante che mai conoscere utenti, dispositivi, servizi e dati in modo tale da poter valutare correttamente le richieste di accesso a dati e servizi.

Conosci le identità degli utenti, dei servizi e dei dispositivi

L’identità degli utenti, dei servizi e dei dispositivi sono un fattore molto importante quando si prendono decisioni di accesso nell’approccio ZT.
Ogni utente (ovvero un essere umano), servizio (cioè un programma in esecuzione) o dispositivo deve essere univocamente identificato in un sistema che segue l’approccio ZT poiché questo è uno dei fattori più importanti per decidere se qualcuno o qualcosa possa accedere ai dati o ai servizi messi a disposizione da un sistema.

Valutare il comportamento dell’utente nonché lo stato di salute del servizio e del dispositivo

È necessario monitorare continuamente i segnali associati agli utenti ed ai dispositivi al fine di valutare se i primi stiano compiendo (in maniera deliberata od inconsapevole) operazioni rischiose per la sicurezza e, per quanto riguarda i dispositivi, la loro integrità fornisce una misura per valutarne l’affidabilità.

Utilizzare politiche di controllo degli accessi per autorizzare richieste di accesso

Ogni richiesta di accesso ad una risorsa deve essere autorizzata rispetto ad un insieme di regole che specificano le condizioni di accesso e che sono raccolte in una politica.

Autenticare e autorizzare ovunque

Dall’assunzione che la rete è compromessa e quindi ostile deriva la necessità di autenticare e autorizzare ogni singola richiesta di accesso.

Concentrarsi sul monitorare utenti, dispositivi e servizi

Monitorare dispositivi, servizi ed il comportamento degli utenti aiuta a stabilire il loro grado di affidabilità ovvero il loro stato di salute digitale.

Non ci si può fidare di nessuna rete, inclusa la propria

Abbiamo visto che l’approccio ZT considera la rete come ostile e pertanto sia necessario costruire la relazione di fiducia su utenti, dispositivi e servizi.

Scegliere servizi progettati per supportare l’approccio ZT

Nell’approccio ZT, la rete non è affidabile e quindi i servizi devono essere progettati per proteggersi da tutte le potenziali fonti di attacco. Ciò include la rete Internet, sulla quale i componenti potrebbero essere direttamente esposti.

Consulta i seguenti articoli

Puoi consultare anche i seguenti articoli pubblicati su InSic:
Cos’è un firewall, a cosa serve e quali le tipologie
Tutto quello che devi sapere sulla cybersecurity

Aggiornati con i volumi di EPC Editore

Protezione dei dati personali e sicurezza informatica
Un libro che mette in relazione il tema della protezione dei dati con la sicurezza informatica.
Cybersecurity e cyberwarfare
Specialisti del settore affrontano gli aspetti delle nuove tecniche di destabilizzazione di aziende pubbliche e private e addirittura di asset nazionali.

Accresci le tue competenze con i corsi INFORMA

Sicurezza informatica e privacy in pratica
Valutare i rischi di un attacco alla sicurezza delle informazioni, attivare le procedure di sicurezza, e acquisire strumenti per protezione attiva o passiva
Corso e-learning GDPR General Data Protection Regulation – Il nuovo Regolamento europeo sul trattamento dei dati
Il nuovo Regolamento europeo 679/2016 in materia di Privacy
NormativaIn risaltoIn primo pianoNewsapprofondimentiProdotti & tecnologieSentenzeQuesitoDispositivi di Protezione individuale - DPIINAILmembershipCovid-19norme tecnicheSafety ExpoTesto Unico di Sicurezza - D.Lgs. 81/2008
Articoli correlati