Pianificare un modello di sicurezza Zero Trust nell'organizzazione

  • 4 minuti

In alcuni modi, il modo più semplice per pensare a Zero Trust consiste nel presupporre che tutto sia su Internet aperto, anche le risorse che riteniamo siano sicure nei nostri "bar con muro". Le organizzazioni spesso si basano sul presupposto che "Se sono nella mia rete, va bene. " Ritengono che la rete sia sicura perché hanno implementato misure di sicurezza sufficienti, ad esempio firewall, software antivirus e controlli di accesso. Credono anche di poter fidarsi dei dipendenti e dei dispositivi a cui si sono connessi.

Sfortunatamente, c'è un difetto critico in questa ipotesi. Si presuppone che tutti i dipendenti e i dispositivi nella rete siano affidabili e sicuri, il che non è sempre il caso. Gli attori malintenzionati possono sfruttare le vulnerabilità nella rete o nei dispositivi ad esso connessi per ottenere l'accesso e causare danni. Inoltre, i dipendenti o gli appaltatori potrebbero compromettere accidentalmente o intenzionalmente la rete facendo clic su un messaggio di posta elettronica di phishing, visitando un sito Web dannoso o scaricando un file infetto.

Con il modello di sicurezza Zero Trust, le organizzazioni passano dal mondo dei presupposti impliciti che fanno in base a singoli elementi alla verifica esplicita di tutti gli elementi di accesso. Molte organizzazioni rafforzano i punti di accesso esterni richiedendo l'autenticazione a più fattori (MFA) o le certificazioni per accedere alla VPN. Una strategia di Zero Trust efficace richiede un accesso flessibile ad applicazioni, sistemi e dati. Allo stesso tempo, le organizzazioni devono mantenere la sicurezza sia per gli utenti che per le risorse necessarie per svolgere il proprio lavoro. I cinque passaggi che le organizzazioni devono seguire per proteggere l'infrastruttura delle identità includono:

  1. Applicare le credenziali. Se gli utenti del sistema di identità usano password deboli e non le rafforzano con MFA, non si tratta di se o quando si viene compromessi. Al contrario, la frequenza con cui gli utenti compromettono l'infrastruttura delle identità diventa la domanda più ampia.
  2. Replicare la superficie di attacco. Per rendere più difficile la vita agli hacker, eliminare l'uso di protocolli meno recenti e meno sicuri, limitare i punti di ingresso di accesso ed esercitare un controllo più significativo dell'accesso amministrativo alle risorse.
  3. Risposta automatica alle minacce. Riduci i costi e i rischi riducendo il tempo che i criminali devono incorporare nel tuo ambiente.
  4. Ingrandire la tua consapevolezza. Usare il controllo e la registrazione degli eventi correlati alla sicurezza e degli avvisi correlati per rilevare potenziali modelli compromettenti. Questi modelli possono indicare attacchi interni o tentativi o penetrazioni esterne riuscite della rete.
  5. Abilitare l'auto-help dell'utente. Riduci le complicazioni consentendo agli utenti di rimanere produttivi, anche se continui a essere rigido.

Letture aggiuntive. Per altre informazioni, vedere Cinque passaggi per proteggere l'infrastruttura di gestione delle identità.

Passare da un modello di attendibilità implicita a una verifica esplicita

Per implementare un modello di Zero Trust, presupponendo che tutti gli utenti, le applicazioni e i computer si trovino su Internet, è necessario passare da un modello di attendibilità implicita a uno di verifica esplicita. È necessario in modo esplicito:

  • Verificare le attestazioni di autenticazione. Non si supponga di avere un utente in una sessione di alta garanzia (ad esempio, l'autenticazione a più fattori) a causa della rete.
  • Verificare i dispositivi. Non presupporre che l'utente abbia un computer valido a causa della rete.
  • Classificare e crittografare i dati. Non consentire automaticamente l'accesso alle condivisioni file perché l'utente è in rete.

Per determinare il rischio complessivo di ogni sessione, una solida strategia di Zero Trust deve considerare il contesto completo della sessione, che include:

  • Identità dell'utente.
  • Stato del dispositivo dell'utente.
  • App eseguite dall'utente.
  • Riservatezza dei dati a cui l'utente sta tentando di accedere.

Un modello Zero Trust applica quindi criteri olistici che definiscono quando consentire, bloccare o limitare l'accesso. Questi criteri controllano l'accesso richiedendo ulteriori problemi di autenticazione, ad esempio:

  • Autenticazione a più fattori
  • limitazione di funzionalità come i download
  • applicazione di controlli di conformità, ad esempio le condizioni per l'utilizzo

Questi criteri olistici bloccano le minacce interne ed esterne, ad esempio:

  • Hacker che tenta di ottenere l'accesso con credenziali rubate su un dispositivo sconosciuto.
  • Un utente verificato che esegue un dispositivo integro che sta tentando di accedere ai dati non è autorizzato a visualizzare.

Questa strategia può anche creare protezioni in modo che i dipendenti ben significativi possano usare le risorse organizzative in modo responsabile.

Zero Trust con l'accesso condizionale Microsoft Entra

Microsoft Entra ID fornisce la verifica delle identità avanzata, adattiva e basata su standard necessaria in un framework di Zero Trust.

Importante

Azure Active Directory (Azure AD) è ora Microsoft Entra ID. Altre informazioni.

Anche se Microsoft Entra ID fornisce autenticazione intrinsecamente avanzata (inclusa la protezione adattiva automatica da molti attacchi), consente anche agli amministratori di esprimere i propri requisiti di accesso in termini semplici. Praticamente ogni aspetto di ogni accesso (incluso il rischio di sessione o utente associato) è disponibile per definire le condizioni in cui il sistema applica i criteri di accesso. Un framework di controlli regola l'accesso. Ad esempio, fattori di autenticazione aggiuntivi, condizioni per l'utilizzo, accesso limitato e altra semantica di sessione. Questi controlli garantiscono che le organizzazioni siano "sicure all'accesso" nell'approccio Zero Trust.

Strumento di valutazione Zero Trust

I fattori seguenti influiscono sulla pianificazione e l'esecuzione di un'implementazione del modello di sicurezza Zero Trust:

  • Requisiti dell'organizzazione diversi
  • Implementazioni tecnologiche esistenti
  • Fasi di sicurezza

Lo strumento Zero Trust Assessment aiuta le organizzazioni a determinare dove si trovano nel percorso verso identità, dispositivi, app, infrastruttura, rete e dati. Indica anche la fase di maturità in cui si trovano (tradizionale, avanzata o ottimale). La valutazione fornisce consigli su come passare alla fase successiva.

Per eseguire la valutazione Zero Trust, vedere lo strumento Zero Trust Assessment.

Letture aggiuntive. Per altre informazioni sull'implementazione di un modello di sicurezza Zero Trust da parte di Microsoft, vedere Applicazione di un modello di sicurezza Zero Trust in Microsoft.