Esaminare la strategia di Microsoft per la rete Zero Trust
- 5 minuti
Il modello di sicurezza Zero Trust sottolinea la necessità di proteggere non solo una rete definita, ma tutti i dati che passano attraverso i sistemi di un'organizzazione. Tali dati vengono spesso definiti "Big Data", data la vasta e complessa scalabilità. I Big Data si riferiscono a set di dati estremamente grandi che vengono analizzati a livello di calcolo per rivelare modelli, tendenze e associazioni, in particolare relativi al comportamento umano e alle interazioni. È caratterizzato da tre attributi principali: volume (la quantità di dati), velocità (velocità dei dati in e in uscita) e varietà (intervallo di tipi di dati e origini).
Questo concetto è importante nel contesto del modello di sicurezza Zero Trust. Perché? Poiché i Big Data offrono alle organizzazioni l'opportunità di ottenere nuove informazioni dettagliate e ottenere un vantaggio competitivo. I settori si stanno allontanando da un'epoca in cui le organizzazioni hanno definito chiaramente le reti in una posizione specifica. Il cloud, i dispositivi mobili e altri endpoint espandono i limiti e modificano il paradigma. Nel mondo IT di oggi, non esiste necessariamente una rete contenuta o definita da proteggere. Esiste invece un ampio portfolio di dispositivi e reti, tutti collegati dal cloud.
Invece di considerare sicuro tutto ciò che si trova dietro il firewall aziendale, una strategia di Zero Trust end-to-end presuppone che le violazioni siano inevitabili. Ciò significa che è necessario verificare ogni richiesta come se provenisse da una rete incontrollata. Di conseguenza, la gestione delle identità svolge un ruolo fondamentale in questo nuovo paradigma.
Secondo il modello Zero Trust, quando si tratta di proteggere la rete, gli obiettivi principali sono tre:
- Preparati a gestire gli attacchi prima che si verifichino.
- Ridurre al minimo l'entità del danno e la velocità di propagazione.
- Aumenta la difficoltà di compromettere il footprint del cloud.
Per raggiungere questi obiettivi, le organizzazioni devono seguire questi principi Zero Trust:
Verificare esplicitamente. Autenticare e autorizzare sempre in base a tutti i punti dati disponibili, tra cui:
- identità utente
- posizione
- integrità del dispositivo
- servizio o carico di lavoro
- classificazione dei dati
- Anomalie
Usare il principio dell’accesso con privilegi minimi. Limitare l'accesso degli utenti con accesso Just-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sul rischio e protezione dei dati per proteggere sia i dati che la produttività.
Presupporre le violazioni. Ridurre al minimo il raggio d'azione delle violazioni e prevenire i movimenti laterali segmentando l'accesso in base alla rete, all'utente, ai dispositivi e alla consapevolezza delle applicazioni. Bisogna verificare che tutte le sessioni siano crittografate secondo il principio end-to-end. I dati analitici sono usati per aumentare la visibilità, favorire il rilevamento delle minacce e migliorare le difese.
Creazione di reti Zero Trust con Microsoft 365
La tradizionale difesa di rete basata sul perimetro è obsoleta. Le reti basate sul perimetro operano presupponendo che le organizzazioni possano considerare attendibili tutti i sistemi all'interno di una rete. Tuttavia, oggi la forza lavoro sempre più mobile, la migrazione verso i servizi cloud pubblici e l'adozione del modello BYOD (Bring Your Own Device) rendono irrilevanti i controlli di sicurezza perimetrali. Le reti che non si evolvono dalle difese tradizionali sono vulnerabili alle violazioni: un utente malintenzionato può compromettere un singolo endpoint entro i limiti attendibili e quindi espandere rapidamente il punto di controllo nell'intera rete.
Le reti Zero Trust eliminano il concetto di fiducia basato sulla posizione della rete all'interno di un perimetro. Al contrario, le architetture Zero Trust usano attestazioni di attendibilità di dispositivi e utenti per controllare l'accesso ai dati e alle risorse dell'organizzazione. Un modello di rete Zero Trust generale include in genere i segnali seguenti:
- Provider di identità. Tiene traccia di utenti e informazioni correlate agli utenti.
- Active Directory. Mantiene un elenco di dispositivi che hanno accesso alle risorse aziendali, insieme alle relative informazioni sul dispositivo (ad esempio, tipo di dispositivo, integrità e così via).
- Servizio di valutazione dei criteri. Determina se un utente o un dispositivo è conforme ai criteri creati dagli amministratori della sicurezza.
- Accesso proxy. Utilizza i segnali precedenti per concedere o negare l'accesso a una risorsa dell'organizzazione.
L'accesso alle risorse tramite decisioni dinamiche sulla fiducia consente all'azienda di consentire l'accesso a determinate risorse da qualsiasi dispositivo, limitando al contempo l'accesso alle risorse di alto valore sui dispositivi gestiti e conformi all'azienda. Negli attacchi mirati e alle violazioni dei dati, gli utenti malintenzionati possono compromettere un singolo dispositivo all'interno di un'organizzazione. Usano quindi il metodo "hopping" per spostarsi lateralmente attraverso la rete usando credenziali rubate. Una soluzione basata su una rete Zero Trust, configurata con i criteri corretti per l'attendibilità di utenti e dispositivi, può impedire agli attori non validi di usare credenziali di rete rubate per ottenere l'accesso a una rete.
Zero Trust è la prossima evoluzione della sicurezza di rete. Lo stato degli attacchi informatici spinge le organizzazioni a prendere la mentalità "presupporre una violazione", ma questo approccio non dovrebbe essere limitato. Zero Trust le reti proteggono i dati e le risorse aziendali, garantendo al contempo che le organizzazioni possano creare un ambiente di lavoro moderno. Possono farlo usando tecnologie che consentono ai dipendenti di essere produttivi in qualsiasi momento, ovunque e in qualsiasi modo.
Obiettivi di implementazione della rete Zero Trust
Prima che la maggior parte delle organizzazioni inizi il percorso di Zero Trust, la sicurezza di rete include:
- Pochi perimetri di sicurezza di rete e reti flat aperte.
- Protezione minima dalle minacce e filtro statico del traffico.
- Traffico interno non crittografato.
Quando si implementa un framework di Zero Trust end-to-end per la protezione delle reti, Microsoft consiglia alle organizzazioni di concentrarsi innanzitutto sugli obiettivi di distribuzione iniziale:
- Segmentazione della rete: molti micro-perimetri cloud di ingresso/uscita con una certa micro-segmentazione.
- Protezione dalle minacce: filtro nativo del cloud e protezione per le minacce note.
- Crittografia: il traffico interno da utente a app è crittografato.
Dopo aver raggiunto questi obiettivi iniziali, un'organizzazione deve concentrarsi sugli obiettivi di distribuzione seguenti:
- Segmentazione della rete: micro-perimetri cloud di ingresso/uscita completamente distribuiti e una micro-segmentazione più profonda.
- Protezione dalle minacce: protezione dalle minacce basata sull’apprendimento automatico e filtro con segnali basati sul contesto.
- Crittografia: tutto il traffico è crittografato.
Zero Trust rete basata sull'accesso condizionale Microsoft Entra
Oggi i dipendenti accedono alle risorse dell'organizzazione da qualsiasi posizione usando vari dispositivi e app. I criteri di controllo di accesso che si concentrano solo su chi può accedere a una risorsa non sono sufficienti. Per ottenere l'equilibrio tra sicurezza e produttività, gli amministratori della sicurezza devono anche considerare come accedere a una risorsa.
Microsoft Entra ID l'accesso condizionale è il blocco fondamentale di come i clienti possono implementare un approccio di rete Zero Trust. L'accesso condizionale e Microsoft Entra ID Protection prendere decisioni di controllo dinamico degli accessi in base a utente, dispositivo, posizione e rischio di sessione per ogni richiesta di risorse. Combinano:
- Segnali di runtime attestati sullo stato di sicurezza di un dispositivo Windows.
- Attendibilità della sessione utente e dell'identità per ottenere il comportamento di sicurezza più sicuro possibile.
L'accesso condizionale fornisce un set di criteri che le organizzazioni possono configurare per controllare le circostanze in cui gli utenti possono accedere alle risorse aziendali. Le considerazioni relative all'accesso includono il ruolo utente, l'appartenenza ai gruppi, l'integrità e la conformità dei dispositivi, le applicazioni per dispositivi mobili, la posizione e il rischio di accesso. Le organizzazioni usano queste considerazioni per decidere se consentire l'accesso, negare l'accesso o controllare l'accesso con altre sfide di autenticazione ,ad esempio l'autenticazione a più fattori, le condizioni per l'utilizzo o le restrizioni di accesso.
L'accesso condizionale in Microsoft Entra ID è un componente fondamentale per la protezione di applicazioni, dati e infrastruttura. Consente alle organizzazioni di creare regole che definiscono come e dove gli utenti possono accedere alle risorse autenticate con Microsoft Entra ID. Queste regole possono essere basate su varie condizioni, ad esempio il rischio di accesso, la posizione di rete, lo stato di gestione dei dispositivi e altro ancora. Ad esempio, le organizzazioni possono richiedere l'autenticazione a più fattori (MFA) quando gli utenti accedono da una posizione non attendibile o da un dispositivo non gestito, bloccano l'accesso dalle nazioni sottoposte a embargo o richiedono controlli aggiuntivi per applicazioni o dati ad alto rischio.
Microsoft Entra ID si integra con l'accesso condizionale per calcolare un punteggio di rischio per un utente o l'accesso, che può includere un controllo di rete conforme. Fornisce anche un set di base di criteri di accesso condizionale ai clienti, che applicano l'autenticazione a più fattori in scenari ad alto rischio e sono attivati per impostazione predefinita in modalità solo report, a meno che il cliente non acconsenta esplicitamente. Questo approccio si basa sull'esperienza di Microsoft con le impostazioni predefinite di sicurezza per i clienti Microsoft Entra gratuiti, che ha mostrato una riduzione dell'80% delle compromissioni.
Una volta applicati i criteri di accesso condizionale di un'organizzazione, Microsoft Entra ID si integra con essi nel modo seguente. Innanzitutto, valuta il contesto di ogni tentativo di accesso. Applica quindi i criteri appropriati in base alle condizioni specificate dall'organizzazione. Questo processo garantisce che solo i tentativi di accesso autorizzati e conformi abbiano esito positivo.
Verifica delle conoscenze
Scegliere la risposta migliore per ognuna di queste domande.
Verificare le conoscenze
Commenti e suggerimenti
Questa pagina è stata utile?
No
Serve aiuto con questo argomento?
Provare a usare Ask Learn per chiarire o guidare l'utente in questo argomento?