Cos'è l'approccio Zero Trust?

Zero Trust è un approccio alla progettazione di architetture per la sicurezza basato sul presupposto che ogni interazione inizia in condizioni di non attendibilità. Si pone in netto contrasto rispetto ai modelli di sicurezza tradizionali basati invece su principi quali attendibilità implicita e singola autenticazione. Con la diffusione del cloud, dell'utilizzo di applicazioni mobili, del lavoro da remoto e dell'IA, le organizzazioni tendono oggi ad abbandonare i modelli di sicurezza basati sul perimetro in favore dell'approccio Zero Trust. 

Il concetto di Zero Trust è stato introdotto da John Kindervag in unreport di Forrester Research (PDF) del 2010, dove l'analista sottolineava la necessità di sostituire l'approccio perimetrale alla sicurezza della rete con una nuova strategia basata sul principio "non fidarti mai, verifica sempre". Le architetture tradizionali si concentravano sulla creazione di un perimetro di sicurezza solido, ma risultavano estremamente vulnerabili una volta che un hacker fosse riuscito a oltrepassare questo confine esterno. Infatti, in un modello cosiddetto "a fortezza" solo gli utenti che si trovano all'esterno di un dato perimetro sono considerati inattendibili, mentre tutti coloro che si trovano all'interno della rete sono ritenuti affidabili per impostazione predefinita. In questo modo però se le credenziali di un utente vengono compromesse, allora anche tutto l'ambiente è a rischio.

Con l'approccio Zero Trust proposto da Kindervag invece tutto il traffico di rete è considerato inattendibile di default, viene esaminato e verificato in tutto il sistema e gli accessi sono limitati e controllati. In passato se un hacker riusciva a ottenere l'accesso a uno o più endpoint o risorse interne poteva poi spostarsi lateralmente attraverso la rete, sfruttare i punti deboli, sottrarre informazioni controllate e lanciare ulteriori attacchi. Il modello Zero Trust riduce notevolmente la possibilità che ciò si verifichi perché le connessioni fra dati, utenti, applicazioni e dispositivi sono soggette a verifica e autenticazione continue.

Dieci modi per semplificare l'approccio Zero Trust con Red Hat OpenShift

La sicurezza Zero Trust adotta diversi meccanismi per tutelare i dati e i servizi sensibili dalle vulnerabilità insite nelle architetture basate sul perimetro di rete e sull'attendibilità implicita. Ad esempio:

Microsegmentazione

La microsegmentazione è un approccio granulare alla struttura di rete che suddivide l'accesso e limita le autorizzazioni degli utenti a specifiche applicazioni e servizi. In questo modo si riducono la possibilità di movimenti laterali, le superfici di attacco e le violazioni dei dati.

Accesso con privilegi minimi

Ogni interazione che non possa ereditare l'attendibilità dal nome o dalla posizione deve essere considerata sospetta. Autorizzare o meno le interazioni diventa una decisione aziendale e occorre valutare attentamente i pro e i contro caso per caso. Con privilegio minimo si indica una tecnica di sicurezza che prevede di limitare l'accesso degli utenti alle sole risorse necessarie per lo svolgimento della loro attività. In questo modo si riducono le minacce interne. Ogni richiesta di accesso a una specifica risorsa viene convalidata in modo dinamico utilizzando gestione delle identità e controllo degli accessi basato sul rischio e sul contesto.

De-perimetrizzazione

Le aziende moderne non si possono più definire in base a precisi confini geografici. Oggi gli utenti lavorano e accedono alle risorse da molte ubicazioni ed endpoint diversi, come ambienti cloud, mobili ed edge, che non sempre sono sotto il controllo dell'organizzazione. La de-perimetrizzazione integra le misure di sicurezza tradizionali, come firewall e perimetri, con un approccio su più livelli che include crittografia, sicurezza a livello dei dati e strategie affidabili di autenticazione a più fattori. 

Presupporre una violazione

Si tratta di un approccio alla sicurezza in cui si lavora ipotizzando che il perimetro difensivo sia già stato violato e i controlli di sicurezza esterni siano ormai inefficaci. Operare con questa mentalità aiuta le organizzazioni a strutturare un ambiente dove la sicurezza viene controllata in modo ridondante all'interno del sistema e le attività di ricognizione e blocco delle azioni dannose non avvengono esclusivamente sul perimetro esterno. 

Un'architettura di sicurezza insufficiente è vulnerabile ad attacchi informatici sofisticati e gli approcci alla sicurezza basati sul principio "fidati, ma verifica" si dimostrano inadeguati oggi che le reti includono sempre più endpoint, risorse, ubicazioni e applicazioni di IA. 

Per gestire le vulnerabilità, molte aziende stanno passando dalle reti private virtuali (VPN), che consentono l'accesso sicuro all'intera rete, a un modello granulare ZTNA (Zero Trust Network Access), che segmenta l'accesso e limita le autorizzazioni degli utenti ad applicazioni e servizi specifici. La microsegmentazione aiuta a ridurre i movimenti laterali, le superfici di attacco e l'impatto delle violazioni dei dati. 

L'implementazione di un'architettura Zero Trust non richiede la sostituzione completa delle reti esistenti o l'acquisizione di nuove tecnologie. Il framework mira piuttosto a consolidare le procedure e gli strumenti di sicurezza esistenti. Tra l'altro, molte organizzazioni dispongono già delle basi su cui sviluppare un'architettura Zero Trust e già applicano nel quotidiano procedure che la supportano.

Infatti, alcuni dei componenti essenziali della strategia Zero Trust sono spesso presenti anche nelle architetture di sicurezza convenzionali. Ad esempio:

• Gestione delle identità e degli accessi
• Autorizzazione
• Automazione delle decisioni correlate alle policy
• Applicazione delle patch alle risorse
• Monitoraggio continuo tramite registrazione e analisi delle transazioni
• Automazione delle attività ripetitive soggette a errori
• Analisi comportamentale e intelligence sulle minacce per migliorare la sicurezza delle risorse

L'approccio Zero Trust è particolarmente utile negli ambienti Kubernetes dove si parte dal presupposto che tutte le applicazioni e i container in esecuzione nel cluster Kubernetes sono attendibili e non richiedono ulteriori autenticazioni e autorizzazioni. Se due servizi sono in esecuzione nello stesso cluster Kubernetes, per impostazione predefinita possono accedere l'uno all'altro a livello della rete. Qui il modello Zero Trust è in grado di offrire un approccio alla sicurezza granulare e completo che aiuta a proteggere gli ambienti containerizzati nelle diverse infrastrutture e garantisce l'applicazione di un modello coerente in tutti gli ambienti. 

Una strategia Zero Trust efficace per Kubernetes non può prescindere dalla presenza di una catena di distribuzione del software sicura. La sicurezza della catena di distribuzione del software garantisce che le immagini dei container e le applicazioni distribuite all'interno del cluster siano verificate, prive di vulnerabilità note e manomissioni lungo tutto il ciclo di vita. Integrando le procedure per la sicurezza della catena di distribuzione, le organizzazioni possono estendere i principi Zero Trust agli elementi costitutivi dei deployment Kubernetes, riducendo ulteriormente la superficie di attacco e i rischi associati alla violazione dei componenti software.

Oggi che sempre più organizzazioni puntano su Kubernetes e sul cloud, insieme al modello Zero Trust sta prendendo piede anche il confidential computing. Questa tecnica di elaborazione confidenziale aggiunge un livello di sicurezza fondamentale perché protegge i dati nello stato di massima vulnerabilità, ovvero quando vengono utilizzati attivamente, e risponde a problematiche quali le minacce interne, i rischi legati al cloud multitenant e la conformità ai rigidi requisiti normativi. Il confidential computing, che migliora la crittografia del runtime, l'isolamento dei carichi di lavoro e garantisce un'attestazione remota dettagliata, permette di estendere l'approccio Zero Trust in tutta l'infrastruttura. 

Dato che il modello Zero Trust prevede di convalidare e verificare l'identità di tutti gli utenti, sia all'interno che all'esterno del perimetro di sicurezza dell'organizzazione, è necessario assicurarsi che le identità siano associate ai carichi di lavoro e ai deployment e che l'accesso sia autorizzato e concesso solo quando strettamente necessario. Per le organizzazioni che desiderano un framework di gestione delle identità unico per tutto il cloud ibrido, il framework composto daSecure Production Identity Framework For Everyone (SPIFFE) e SPIFFE Runtime Environment (SPIRE) offre una singola radice di attendibilità che si può associare ai carichi di lavoro in ambienti on premise e su piattaforme cloud. 

SPIFFE è uno standard open source supportato della Cloud Native Computing Foundation (CNCF) che stabilisce come identificare i carichi di lavoro e come rilasciare e convalidare le identità senza ricorrere a stringhe segrete di lunga durata, cioè informazioni sensibili come password o chiavi API valide per periodi prolungati. SPIRE è un'implementazione conforme alle specifiche SPIFFE che offre uno schema pronto per l'ambiente di produzione con cui gestire le identità in tutti i deployment aziendali. 

Scopri come implementare un framework di gestione delle identità per il cloud ibrido con SPIFFE/SPIRE

Il modello Zero Trust è definito da framework di conformità e standard di settore che aiutano le organizzazioni a migliorare i livelli di sicurezza:

• La Special Publication 800-207 del National Institute of Standards and Technology (NIST) in merito all'architettura Zero Trust, pubblicata nel 2020, dà una definizione dell'architettura e dei modelli di deployment Zero Trust e illustra gli scenari di utilizzo che potrebbero beneficiare di un approccio Zero Trust.
• Lo Zero Trust Maturity Model della U.S. Cybersecurity and Infrastructure Security Agency (CISA) è una roadmap per le agenzie volta a semplificare la transizione all'architettura Zero Trust. Definisce i cinque elementi chiave da tenere a mente per lo sviluppo efficace di un'architettura Zero Trust: identità, dispositivi, reti, applicazioni e carichi di lavoro e dati. Per ognuno di questi elementi, le organizzazioni devono valutare come applicare visibilità, analisi, automazione, orchestrazione e governance per fare in modo di garantire agli utenti solo l'accesso alle risorse necessarie e al momento opportuno, senza concedere autorizzazioni eccessive.
• L'Executive Order 14028, emesso a maggio 2021, impone dei miglioramenti in materia di sicurezza volti a promuovere l'adozione dell'architettura Zero Trust. Gli obiettivi chiave dell'EO 14028 sono: incremento della sicurezza della catena di distribuzione del software, implementazione di standard di sicurezza informatica nel governo federale degli Stati Uniti, rimozione degli ostacoli alla condivisione delle informazioni sulle minacce, istituzione di un comitato per la valutazione della sicurezza informatica, creazione di un playbook standardizzato per rispondere alle vulnerabilità e agli incidenti legati alla sicurezza informatica e miglioramento di analisi e correzioni inerenti alla sicurezza informatica. 

Molte organizzazioni già utilizzano nel quotidiano alcuni degli elementi chiave del modello Zero Trust. Gli scenari di utilizzo che possono beneficiare di questo approccio sono numerosi. Ad esempio:

Riduzione delle superfici di attacco

Con superficie di attacco si intende l'insieme di tutti i punti che un utente malintenzionato può sfruttare per sottrarre dati o accedere ai sistemi critici. Il passaggio a modelli di lavoro remoti e ibridi e l'aumento dei deployment di edge computing e IA hanno aumentato significativamente la superficie di attacco degli IT aziendali. Quando le superfici di attacco si ampliano ed evolvono, aumentano anche le possibili vulnerabilità. Un modello Zero Trust si concentra sui dati, le applicazioni, le risorse e i servizi ("la superficie") da proteggere e implementa controlli e monitoraggio rigorosi per garantirne la sicurezza. 

Gestione delle identità e degli accessi

L'igiene degli accessi e degli endpoint include le misure che un'organizzazione adotta per garantire la sicurezza e proteggere tutte le risorse all'interno della rete. Con l'adozione di ecosistemi cloud native e flussi di lavoro di IA avanzati, le identità di macchine o carichi di lavoro sono sempre più diffuse. I carichi di lavoro che si estendono su più piattaforme cloud coprono diversi domini di identità, rendendo fondamentali i principi Zero Trust. Nel modello Zero Trust la convalida e verifica dell'identità sono due aspetti cruciali per la sicurezza. Con un approccio alla gestione degli accessi basato sul privilegio minimo, gli amministratori possono definire ruoli personalizzati e concedere autorizzazioni specifiche e precise per far sì che gli utenti dispongano solo dell'accesso minimo necessario per svolgere le loro attività, riducendo così le minacce. 

Sicurezza della catena di distribuzione del software

Eventuali malintenzionati che volessero infiltrarsi nella catena di distribuzione del software potrebbero compromettere la sicurezza dei componenti open source e delle dipendenze fin dalle prime fasi del ciclo di vita dello sviluppo, aprendo così le porte a successivi attacchi informatici e a ritardi nel rilascio delle applicazioni. Un approccio Zero Trust è fondamentale per la protezione della catena di distribuzione del software e garantisce l'identificazione tempestiva dei problemi, quando i costi per la loro correzione sono ancora contenuti.

Creare una catena di distribuzione del software sicura significa garantire l'integrità e la sicurezza del software in tutte le fasi del suo ciclo di vita: progettazione, sviluppo, test, deployment e manutenzione. Alcune misure chiave per la sicurezza della catena di distribuzione sono: verifica dell'origine e dell'autenticità del codice, utilizzo di processi di sviluppo sicuri, rilevamento delle vulnerabilità e implementazione di controlli per prevenire le manomissioni. Assicurando elevati livelli di attendibilità e trasparenza in tutta la catena di distribuzione del software, le organizzazioni riducono il rischio che venga inserito codice dannoso e che si verifichino altri attacchi a danno di sistemi e dati.

Per ridurre al minimo il rischio di attacchi alla catena di distribuzione, le organizzazioni possono: 

• Utilizzare codice open source con sicurezza avanzata.
• Integrare la sicurezza nelle immagini dei container.
• Rafforzare la pipeline di integrazione continua e distribuzione/deployment continui (CI/CD).
• Monitorare le applicazioni durante il runtime.
• Integrazione della sicurezza a monte, fin dalle prime fasi del ciclo di vita dello sviluppo del software. 

Sovranità digitale

La sovranità digitale è la capacità di una nazione o di un'organizzazione di controllare e proteggere in maniera indipendente la propria infrastruttura digitale critica secondo le proprie policy, i propri valori e gli obiettivi strategici. Garantisce che i servizi critici siano protetti e gestiti internamente, nel rispetto dei requisiti di residenza dei dati, privacy e normative vigenti. Le organizzazioni che vogliono affermare la propria sovranità digitale possono utilizzare i principi Zero Trust per rafforzare la sicurezza, mantenere il controllo sui propri dati, risparmiare tempo da dedicare all'innovazione interna e ridurre la dipendenza da provider esterni. 

Deployment aziendali nel cloud ibrido e multicloud

Nel caso di deployment multicloud e architetture cloud to cloud, dove i provider cloud si occupano della sicurezza della propria infrastruttura, ma la protezione del livello applicativo e dei dati sensibili è responsabilità delle aziende, la sicurezza Zero Trust si dimostra un approccio vincente. Il rilevamento delle minacce e la risposta agli incidenti negli ambienti cloud e on premise sono aspetti fondamentali per le organizzazioni che operano in ambienti cloud ibridi e multicloud. 

Prevenzione degli attacchi basati sull'IA

Gli attacchi informatici basati sull'IA sono sempre più diffusi e molto più complessi da rilevare e prevenire. Le stesse organizzazioni però possono servirsi dell'IA per automatizzare la risposta alle minacce e ridurre i rischi e rafforzare così il loro approccio Zero Trust. Data la rapida evoluzione dell'IA, occorre adottare un approccio Zero Trust lungimirante che sia dinamico, capace di adattarsi, di rilevare le nuove minacce e di garantire l'operatività e la resilienza dell'azienda oggi e in futuro. 

Adotta un approccio Zero Trust e assicura la sovranità digitale con Red Hat OpenShift

Molte organizzazioni hanno ancora difficoltà a implementare l'approccio Zero Trust. Questo perché per adottare in maniera efficace un modello di questo tipo occorre un cambio di mentalità sia da parte della leadership che dei professionisti della sicurezza. I responsabili devono considerare i rischi associati alla gestione di architetture di sicurezza obsolete. I professionisti dell'IT e della tecnologia operativa (OT) devono poter riconoscere dove cogliere i vantaggi degli investimenti esistenti per ridurre i costi di adozione di una strategia Zero Trust e quando dare priorità ai nuovi investimenti. Alcuni protocolli e dispositivi semplicemente non sono compatibili con il modello Zero Trust, in questo caso spetta alla leadership decidere se sostituirli o mantenerli. Nel caso fossero presenti sistemi incompatibili con l'approccio Zero Trust, i professionisti dell'OT dovrebbero valutare quali controlli di sicurezza alternativi applicare per ridurre l'esposizione.

Il motto su cui si regge la filosofia Zero Trust è uno: "rifiuta di default e verifica sempre". Per rimanere fedeli a questo principio, i team devono riuscire a implementare e mantenere un sistema che duri nel tempo e a garantire che nessun reparto aggiri l'architettura di sicurezza creando uno shadow IT.

Red Hat si impegna per aiutare le aziende ad adottare un approccio alla sicurezza Zero Trust. 

Red Hat® Enterprise Linux® è un elemento essenziale per lo sviluppo di un'architettura Zero Trust (ZTA) efficace. Integra infatti diverse funzionalità a supporto dell'approccio Zero Trust. Ad esempio:

• Gestione centralizzata delle identità con autenticazione a più fattori e integrazione con provider di identità esterni.
• Avvio sicuro e attestazione remota per assicurare l'integrità del dispositivo e della rete.
• Security-Enhanced Linux (SELinux), elenco di applicazioni consentite e confidential computing.
• Ruoli di sistema e modalità immagine per l'automazione delle policy Zero Trust.

Red Hat Enterprise Linux 10 rafforza la sicurezza della catena di distribuzione offrendo processi di sviluppo orientati alla sicurezza, pacchetti con firma digitale e gestione delle distinte base del software (SBOM) e delle CVE (Common Vulnerabilities and Exposures). Grazie a queste funzionalità, Red Hat Enterprise Linux aiuta le organizzazioni a creare, distribuire e gestire sistemi capaci di adattarsi alle minacce e ai requisiti normativi in continua evoluzione, e promuove l'approccio Zero Trust.

Red Hat OpenShift® supporta l'approccio Zero Trust offrendo controlli di sicurezza integrati, isolamento del runtime basato su SELinux, firma delle immagini e applicazione delle policy grazie a Red Hat OpenShift Pipelines, e controllo nativo degli accessi basato sui ruoli (RBAC) per migliorare la governance della piattaforma e dei carichi di lavoro. Red Hat OpenShift offre la base per un deployment dichiarativo e coerente, l'integrazione di principi di autenticazione strutturati, la microsegmentazione, le policy di rete e per funzionalità di verifica e conformità. Red Hat OpenShift assicura conformità, affidabilità e controllo delle applicazioni, dei dati e dei modelli di IA in qualunque ambiente.

Red Hat Advanced Cluster Security for Kubernetes è una soluzione di sicurezza Kubernetes native affidabile che si integra nel cloud ibrido aziendale per offrire un approccio alla sicurezza coerente e completo. Red Hat Advanced Cluster Security include funzionalità per: 

• Privilegio minimo e gestione delle identità e degli accessi.
• Verifica e monitoraggio continui.
• Controlli di sicurezza del runtime e rilevamento delle minacce.
• Policy-as-Code e automazione.
• Gestione delle vulnerabilità.
• Sicurezza, conformità e verificabilità della catena di distribuzione. 

Lo Zero Trust Workload Identity Manager offre alle organizzazioni funzionalità di sicurezza con cui gestire le identità dei carichi di lavoro nelle diverse infrastrutture cloud. Basata su SPIFFE/SPIRE, questa soluzione si integra in maniera lineare con Red Hat OpenShift con cui è possibile implementare una gestione delle identità centralizzata e scalabile per tutte le piattaforme cloud.

Red Hat Trusted Software Supply Chain permette di implementare una catena di distribuzione del software sicura per le applicazioni cloud native. In questo modo si possono ridurre i rischi associati alla distribuzione del software e adottare rapidamente pratiche di sicurezza Zero Trust con costi e sforzi ridotti.

Red Hat Ansible® Automation Platform funge da punto di integrazione fra team, strumenti e processi di sicurezza e supporta l'approccio Zero Trust in tutto l'ambiente aziendale. Ansible Automation Platform permette di:

• Collegare sistemi, strumenti e team di sicurezza.
• Ottenere informazioni dai sistemi e inoltrarle in modo efficiente a sedi e sistemi predefiniti, senza richiedere alcun intervento manuale.
• Modificare e propagare le configurazioni tramite interfacce centralizzate.
• Creare, gestire e accedere a contenuti personalizzati per l'automazione della sicurezza.
• Avviare interventi automatizzati che coinvolgono più strumenti di sicurezza quando viene rilevata una minaccia. 

Red Hat propone diverse soluzioni per aiutare i clienti ad adottare un approccio Zero Trust e a estendere tali pratiche di sicurezza in tutto l'ambiente aziendale.