Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo offre una panoramica dei framework di Zero Trust noti e illustra come Microsoft modello di adozione Zero Trust consente di passare dalla comprensione del framework all'adozione su larga scala.
Zero Trust non è un singolo framework. Si tratta di un modello di sicurezza allineato a più standard del settore e del governo. Questi standard non sono soluzioni concorrenti. Ognuno di essi affronta un aspetto diverso di Zero Trust, ad esempio la definizione di concetti di base, la valutazione dello stato di avanzamento o il coordinamento dell'adozione in un'organizzazione.
Sebbene i framework di settore consentano di definire le Zero Trust da raggiungere, le organizzazioni necessitano ancora di un modo per tradurre tali linee guida in una strategia e un'architettura specifiche per la pianificazione, la progettazione e la distribuzione delle soluzioni.
Il modello di adozione Zero Trust di Microsoft fa proprio questo. Fornisce una strategia di riferimento e un'architettura allineate a e si basa su framework di settore per accelerare l'adozione e l'implementazione di Zero Trust.
Tip
Microsoft offre un'ampia gamma di workshop sull'adozione della sicurezza: workshop Security Adoption Framework (SAF). Le linee guida per il modello di adozione strutturato si allineano alle linee guida guidate dagli esperti di Microsoft unificate fornite in tali workshop. Altre informazioni sui workshop DI SAF.
NIST Zero Trust
National Institute of Standards and Technology (NIST) Special Publication (SP) 800-207 Zero Trust Architecture stabilisce una definizione riconosciuta dal settore dell'architettura Zero Trust. Spiega cosa Zero Trust è e come vengono prese decisioni di attendibilità, indipendenti da qualsiasi fornitore, prodotto o roadmap di distribuzione specifico.
NIST SP 800-207 è più utile quando le organizzazioni necessitano di una definizione comune e autorevole dei concetti di Zero Trust che possono essere condivisi tra team di sicurezza, IT e architettura.
Funzionalità NIST
NIST posiziona in modo esplicito Zero Trust come architettura in cui l'accesso alle risorse non è mai considerato attendibile in modo implicito.
I principi dello Zero Trust del NIST includono:
- Supponendo una compromissione (violazione) per favorire un approccio olistico e pratico alla sicurezza.
- Verifica dell'attendibilità in modo esplicito prima di concedere l'accesso agli asset.
- Limitare il raggio di esplosione concedendo il privilegio minimo necessario.
Concetti principali dell'architettura sono incentrati su:
- Valutazione dinamica continua delle richieste di accesso tramite segnali contestuali.
- Logica decisionale centralizzata che valuta i segnali in base ai criteri dell'organizzazione.
- La funzionalità di applicazione dei criteri, posta in prossimità delle risorse protette, applica la decisione.
L'architettura concettuale Zero Trust definita da NIST è incentrata sul modo in cui le decisioni di accesso vengono valutate e applicate usando motori di criteri, punti di imposizione e segnali contestuali.
Tenere presente quanto segue:
- NIST SP 800-270 non definisce pilastri tecnologici o domini di sicurezza, ad esempio identità, endpoint o protezione dei dati.
- Identità, comportamento del dispositivo, applicazioni e dati vengono modellati come soggetti, risorse e origini di contesto che informano decisioni di attendibilità, anziché come domini architetturali separati.
Il modello di adozione della sicurezza di Microsoft si basa su questa architettura, applicandone i principi e i componenti all'interno di un framework operativo.
Mentre NIST definisce il modo in cui vengono prese e applicate le decisioni di trust, il modello di adozione organizza queste funzionalità tra discipline di sicurezza e pilastri tecnologici per guidare la pianificazione aziendale, la proprietà, la progettazione della soluzione, l'implementazione e il rilevamento dello stato di avanzamento.
Implementation
Le linee guida per l'implementazione sono disponibili in NIST SP 1800-35 Implementazione di un'architettura Zero Trust.
Per questa guida all'implementazione:
- NIST ha collaborato con 24 fornitori, tra cui Microsoft, sullo sviluppo di una guida con passaggi pratici per le organizzazioni desiderose di implementare progetti di riferimento per la cybersecurity per Zero Trust.
- Microsoft ha partecipato come uno dei fornitori che hanno fornito la tecnologia per implementare le funzionalità Zero Trust in:
- Gestione delle identità e degli accessi.
- Gestione e configurazione degli endpoint.
- Protezione e monitoraggio delle minacce.
- Proteggere l'accesso alle risorse distribuite.
Questo diagramma è il risultato della collaborazione NIST SP 1800-35. Può essere scaricato da Microsoft Cybersecurity Reference Architecture (MCRA). Altre informazioni su MCRA
Modello di maturità CISA Zero Trust
Il Cybersecurity and Infrastructure Security Agency (CISA) Zero Trust Maturity Model è organizzato in base all'adozione e alla valutazione. Questo modello di maturità consente alle organizzazioni di organizzare e valutare la postura corrente, classificare in ordine di priorità i miglioramenti e tenere traccia dello stato di avanzamento.
Funzionalità CISA
A differenza di NIST, CISA non definisce un'architettura di riferimento e valuta invece le funzionalità indipendentemente da modelli di progettazione specifici.
- Il modello usa domini basati su pilastri, tra cui Identità, Dispositivi, Reti/Ambiente, Applicazioni/Carichi di lavoro e Dati.
- Definisce anche tre funzionalità trasversali: visibilità e analisi, automazione e orchestrazione e governance.
- E acquisisce quattro fasi di maturità: tradizionale, iniziale, avanzata e ottimale.
- La governance non viene considerata anche come un pilastro autonomo, ma come funzionalità trasversale che garantisce l'allineamento aziendale, la chiara proprietà e i risultati misurabili in tutti i domini.
Implementation
Il modello è allineato al modello di adozione della sicurezza di Microsoft e contribuisce a definirlo, mentre Microsoft lo estende ulteriormente introducendo discipline come l’architettura per collegare framework concettuali come NIST SP 800‑207 con l’implementazione pratica.
| CISA | Disciplina/pilastro dell'adozione | Dettagli |
|---|---|---|
|
Identità L'identità copre l'autenticazione, l'autorizzazione, il rischio di identità, il ciclo di vita. Le app e i carichi di lavoro riguardano i controlli di accesso alle app, l'identità del carico di lavoro e l'interazione sicura delle app. |
Disciplina: Identità e accesso Tecnologia: Identità |
Il controllo di accesso in Microsoft si estende sia a livelli di identità che di applicazione, mentre CISA li separa. |
|
Governance Criteri, controlli e imposizione a livello aziendale. |
Disciplina: strategia, integrazione, governance Architettura di sicurezza Tecnologia: Tutto. |
Le funzionalità di policy e controllo di CISA si traducono direttamente in risultati SecOps. Microsoft aggiunge particolare attenzione ad altri aspetti della governance (allineamento aziendale, gestione dei rischi, ruoli e altro ancora) e dedicato alla disciplina architetturale e alle architetture di riferimento. |
|
Devices Inventario dei dispositivi, postura, conformità; segmentazione di rete, connettività sicura, controlli ambientali. Inclusi dispositivi nontraditionali, vincolati e specializzati. |
Disciplina: identità e accesso, sicurezza dell'infrastruttura, sicurezza OT/IoT Tecnologia: endpoint |
L'attendibilità dell'infrastruttura viene stabilita tramite l'integrità dei dispositivi e la connettività controllata, allineata all'obiettivo Zero Trust di ridurre al minimo il raggio dell'esplosione e lo spostamento laterale. Microsoft considera i dispositivi OT/IoT come una disciplina distinta a causa di proprietà univoche e motivi di gestione dei rischi. |
|
App e carichi di lavoro App e carichi di lavoro riguardano i controlli di accesso alle applicazioni, l'identità del carico di lavoro e l'interazione sicura delle applicazioni. |
Disciplina: Sicurezza dello sviluppo Tecnologia: App |
L’attenzione di CISA ai carichi di lavoro è in linea con gli obiettivi DevSecOps, poiché integra la sicurezza nel ciclo di vita delle applicazioni e dei servizi, anziché considerarla un’attività successiva alla distribuzione. |
|
Networks Segmentazione di rete, connettività sicura, controlli ambientali. |
Disciplina: Identità e accesso Tecnologia: reti |
Microsoft combina tutti gli accessi (identità, app e reti) in una singola disciplina per semplificare la strategia, l'architettura e la coerenza dei criteri tra le tecnologie. |
|
Data Classificazione dei dati, inventario, controllo di accesso, crittografia e protezione indipendentemente dal percorso di rete. |
Disciplina: Sicurezza dei dati Tecnologia: Dati |
Entrambi i modelli inseriscono i dati come destinazione di protezione primaria e rafforzano l'Zero Trust passaggio dalla sicurezza perimetrale ai controlli incentrati sui dati. |
|
Visibilità e analisi, automazione e orchestrazione Raccolta di dati di telemetria, monitoraggio continuo, rilevamento, automazione delle risposte e applicazione dei criteri su larga scala. |
Disciplina: SecOps Tecnologia: Tutti |
Le funzionalità cross-cutting di CISA vengono mappate direttamente ai risultati secops che includono il rilevamento di minacce, l'automazione della risposta e la rivalutazione continua dell'attendibilità in tutti i domini. |
| Fasi di maturità in tutti i pilastri | Postura di sicurezza | La gestione del comportamento è lo scopo principale del modello CISA: valutare lo stato corrente, identificare le lacune, classificare in ordine di priorità i miglioramenti e tenere traccia dello stato di avanzamento Zero Trust nel tempo. |
Per ulteriori informazioni, vedere Implementazione del modello di maturità Zero Trust CISA con i servizi cloud Microsoft.
Modello di riferimento Zero Trust di The Open Group
Il modello di riferimento di The Open Group Zero Trust Reference Model affronta Zero Trust dal punto di vista delle capacità aziendali e dell'integrazione. Anziché definire passaggi di implementazione specifici, descrive le funzionalità e le strutture di governance necessarie alle organizzazioni per definire, integrare e gestire Zero Trust su larga scala.
Aprire le funzionalità del gruppo
Funzionalità incluse:
- Le funzionalità e i blocchi predefiniti dell'architettura definiscono le funzionalità di sicurezza che determinano risultati di sicurezza durevoli e le persone, i processi e la tecnologia per abilitarli.
- I modelli di collaborazione e integrazione illustrano come integrare la sicurezza con strategia, gestione dei rischi, operazioni e altri aspetti dell'organizzazione.
Le funzionalità sono costituite da persone, processi e elementi tecnologici che interagiscono tra loro:
- Persone: definite come ruoli nello standard The Open Group Roles and Glossary
- Process: definiti come blocchi costitutivi dell'architettura (ABBs) nello stesso standard del modello di riferimento Zero Trust
- Technology: definito come ABB nello stesso standard del modello di riferimento Zero Trust
Questo diagramma mostra queste funzionalità:
Questo diagramma mostra come queste funzionalità si allineano alle funzioni di NIST Cybersecurity Framework (NIST CSF):
Implementation
Il modello corrisponde al nostro modello di adozione consigliato.
| Apri gruppo | Disciplina di adozione | Allineamento |
|---|---|---|
|
Zero Trust strategia e Governance Definisce il modo in cui le organizzazioni stabiliscono Zero Trust come strategia allineata all'azienda, tra cui governance, gestione dei rischi, proprietà dei criteri e allineamento di persone, processi e tecnologie. |
Strategia, integrazione e governance | Sia Open Group che Microsoft posizione esplicita Zero Trust come strategia aziendale, non come set di controllo tecnico. Questo supporta direttamente l'allineamento esecutivo, la proprietà e l'integrazione all'interno dell'organizzazione. |
|
Architettura Zero Trust basata sulle capacità Fornisce blocchi predefiniti architetturali e raggruppamenti di funzionalità per progettare architetture Zero Trust, senza prescrizione di tecnologie o prodotti specifici. |
Architettura di sicurezza | In questo modo si riempie lo spazio tra l'architettura astratta di NIST e le linee guida per l'implementazione, consentendo agli architetti di tradurre Zero Trust principi in progetti su scala aziendale. |
|
Funzionalità di identità, autenticazione, autorizzazione e imposizione dei criteri Definisce le funzionalità necessarie per verificare l'identità, valutare l'attendibilità dinamicamente e applicare le decisioni di accesso in modo coerente tra gli ambienti. |
Identità e accesso | Allinea direttamente alla sicurezza di accesso come disciplina di adozione: chi può accedere a cosa, in quali condizioni e come viene applicata tale decisione. |
|
Funzionalità di protezione incentrate sui dati Enfatizza la protezione delle informazioni indipendentemente dalla posizione, inclusa la classificazione dei dati, la protezione e l'accesso basato sui criteri. |
Sicurezza dei dati | Rispecchia il passaggio di Zero Trust dalla sicurezza perimetrale alla sicurezza basata sui dati, allineandosi naturalmente alla protezione dei dati come dominio di adozione. |
|
Funzionalità di visibilità, monitoraggio, analisi e risposta Include funzionalità per la raccolta di dati di telemetria, il monitoraggio dei segnali di attendibilità e l'adattamento dei criteri in base al rischio osservato. |
SecOps | Consente la valutazione e l’applicazione continue, elementi fondamentali per le operazioni Zero Trust e il monitoraggio della sicurezza su larga scala. |
|
Funzionalità di sicurezza dell'interazione tra applicazioni e servizi Risolve il modo in cui le applicazioni e i servizi partecipano a Zero Trust, incluse interazioni sicure, identità del servizio e applicazione del runtime. |
Sicurezza di sviluppo | Supporta l'integrazione di Zero Trust nei moderni cicli di vita delle applicazioni e nelle comunicazioni da servizio a servizio. |
|
Funzionalità di sicurezza della piattaforma e dell'ambiente Copre il funzionamento sicuro di piattaforme, reti e ambienti che ospitano carichi di lavoro, senza considerare la rete come limite di attendibilità. |
Sicurezza dell'infrastruttura | Allinea la sicurezza dell'infrastruttura ai principi di Zero Trust considerando l'infrastruttura come applicabile ma non intrinsecamente attendibile. |
|
Ambiente esteso e supporto di asset non tradizionali Riconosce esplicitamente la convergenza IT/OT/IoT e la necessità di capacità Zero Trust in ambienti con vincoli ed eterogenei. |
Infrastruttura (sicurezza OT/IoT) | Corrisponde alla realtà di adozione in cui OT/IoT richiede una proprietà distinta, ma deve comunque allinearsi alla strategia di Zero Trust aziendale. |
|
Maturità basata sulle funzionalità e miglioramento continuo Fornisce un modello di funzionalità progettato per valutare lo stato corrente, guidare il miglioramento e adattarsi nel tempo man mano che le minacce e la tecnologia si evolvono. |
Postura di sicurezza | Presenta Zero Trust come un programma continuo, non come un’implementazione una tantum, allineandosi direttamente agli obiettivi di gestione della postura. |
Eseguire il mapping delle tecnologie Microsoft al modello
Il modello di riferimento Zero Trust include anche un riepilogo generale dei componenti Zero Trust. Questo diagramma mostra come le tecnologie Microsoft si associano a tali componenti:
Strategia Zero Trust del Dipartimento della Difesa
Il Dipartimento della Difesa degli Stati Uniti ha pubblicato una strategia e roadmap DoD per il modello Zero Trust.
Per informazioni su come configurare i servizi cloud Microsoft per la strategia di Zero Trust DoD, vedere Configurare servizi Microsoft per la strategia di Zero Trust DoD.
Passaggi successivi
Scegli uno scenario aziendale e scopri come le discipline della sicurezza si applicano allo scenario.