White paper sulla verifica della sicurezza con zero trust

Opzioni per il download

  • PDF     (278.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (115.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (89.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:14 febbraio 2024
ID documento:218443

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento vengono descritte le informazioni relative a Zero Trust e viene spiegato come utilizzarlo per proteggere l'organizzazione.

    Sintesi

    Il criterio di attendibilità zero rappresenta un modello in cui si presume che nessun utente, dispositivo o applicazione, all'esterno o all'interno della rete, possa essere considerato sicuro e che ogni utente debba essere convalidato prima di poter accedere agli asset di rete.

    Questo concetto ha acquisito maggiore importanza nella virtualizzazione e nel rapido spostamento delle risorse locali verso cloud pubblici, privati e ibridi.

    Il termine Zero Trust è stato creato da Forrester nel 2010 con la pubblicazione del loro rapporto Zero Trust Network Architecture.

    È importante capire che la fiducia totale deve iniziare come strategia a livello aziendale per proteggere gli interessi e le iniziative vitali.

    Zero Trust PillarsPilastri di zero trust

    Che cos'è Zero Trust?

    Zero Trust è un approccio strategico che include diverse tecnologie per contribuire a garantire una sicurezza più concreta delle infrastrutture di oggi. Si tratta di un'architettura di sicurezza e di una metodologia aziendale progettata per coordinare in modo efficace l'attuale combinazione di tecnologie, procedure e regole.

    Rappresenta un'evoluzione nel nostro approccio alla sicurezza e offre un approccio completo, interoperabile e olistico alle soluzioni che incorpora prodotti e servizi di più fornitori.

    Il livello di attendibilità pari a zero si basa su molte tecnologie consolidate, quali la segmentazione della rete, l'autenticazione a più fattori e il controllo dell'accesso alla rete.

    Perché è importante la fiducia totale

    L'assenza di fiducia consente di proteggere l'azienda da utenti non autorizzati, violazioni e attacchi informatici. È possibile verificare continuamente l'identità di utenti e dispositivi e concedere loro solo le autorizzazioni necessarie per svolgere il proprio lavoro al fine di ridurre al minimo il rischio di un evento di protezione.

    Ricerche di mercato hanno dimostrato che le dimensioni globali del mercato dei titoli a fiducia zero dovrebbero crescere da un valore stimato di 27 miliardi di dollari nel 2022 a circa 60 miliardi di dollari entro il 2027/2028, con un tasso di crescita annuale composto di circa il 17% in quel momento.

    Motivi:

    • Maggiore frequenza di attacchi informatici basati sulla destinazione.
    • Crescita delle normative per la protezione dei dati e la sicurezza delle informazioni.
    • Maggiore necessità di ridurre i rischi aziendali e organizzativi.
    • Con la migrazione di un numero maggiore di servizi al cloud, l'installazione centralizzata dei dati supera i limiti dei dati e aumenta i rischi per la sicurezza.
    • La necessità di confermare l'identità dell'utente durante l'intero processo di accesso e non solo inizialmente.

    Un singolo attacco ransomware costa 5 milioni di dollari. I criminali informatici non discriminano quando prendono di mira le imprese.

    Recenti sondaggi condotti da CIO e CISO dimostrano che Zero Trust è una delle 5 priorità principali. Le organizzazioni di sicurezza dei sistemi informatici affermano che il passaggio al lavoro remoto, la carenza di manodopera e un forte picco di attacchi alla cibersicurezza richiedono la sicurezza dei sistemi aziendali esistenti.

    Modello di trust tradizionale e zero

    Negli ambienti tradizionali la sicurezza è stata aggiunta dopo la creazione dell'ambiente. Normalmente si tratta di reti piatte dove le difese sono costruite ai margini della rete per prevenire gli attacchi da Internet.

    È generalmente riconosciuto che Zero Trust si concentra sulla necessità di proteggere i sistemi e i dati di un'organizzazione su più livelli con una combinazione di crittografia, protocolli sicuri per il computer, carico di lavoro dinamico, autenticazione e autorizzazione a livello di dati e non si basa esclusivamente su un limite di rete esterno.

    La tradizionale architettura di sicurezza incentrata sul perimetro è meno efficace in quanto i carichi di lavoro vengono sempre più distribuiti dal cloud e gli endpoint mobili diventano la norma per l'accesso alle applicazioni e ai dati.

    Framework di architettura senza trust

    Un framework di architettura a attendibilità zero si occupa della limitazione dell'accesso a sistemi, applicazioni e risorse di dati per gli utenti e i dispositivi che necessitano di accesso e che sono stati convalidati. Devono essere continuamente autenticati in base alla loro identità e alla postura di sicurezza per garantire la corretta autorizzazione di accesso per ogni risorsa.

    Il framework è quello di fornire una roadmap per migrare e distribuire concetti di sicurezza con attendibilità zero in un ambiente aziendale ed è basato sulla pubblicazione speciale NIST 800-207.

    Un'efficace struttura di zero trust per l'architettura coordina e integra questi sette componenti principali.

    • Le reti con attendibilità totale sono una caratteristica importante di una strategia con attendibilità totale che si riferisce alla capacità di segmentare le reti o di isolarne gli asset e di mantenere il controllo delle comunicazioni tra di loro. Protegge inoltre le connessioni trusted per estendere la rete aziendale per l'utilizzo remoto.
    • La forza lavoro Zero Trust include metodi per limitare e imporre l'accesso degli utenti, incluse tecnologie per l'autenticazione degli utenti e il monitoraggio e la gestione continui dei relativi privilegi di accesso. Questo accesso è protetto da tecnologie quali DNS, autenticazione a più fattori e crittografia di rete.
    • Zero Trust Devices risponde alla necessità di isolare, proteggere e gestire tutti i dispositivi connessi in rete, che sono cresciuti con l'aggiunta della mobilità e dell'Internet degli oggetti, per creare un'immensa vulnerabilità da sfruttare per gli aggressori.
    • I carichi di lavoro senza trust proteggono gli stack di applicazioni front-to-back che eseguono i processi aziendali critici. Mira a proteggere il traffico est/ovest tra applicazioni, dati e servizi in un centro dati per proteggere meglio le applicazioni critiche.
    • Zero Trust Data si riferisce alle metodologie per classificare e classificare i dati, combinate con soluzioni tecnologiche per la sicurezza e la gestione dei dati, che includono la crittografia dei dati.
    • Visibilità e analisi si riferiscono a tecnologie che forniscono la consapevolezza per l'automazione e l'orchestrazione e consentono agli amministratori non solo di vedere ma anche di comprendere l'attività nei loro ambienti, che includono la presenza di minacce in tempo reale.
    • L'automazione e l'orchestrazione comprendono strumenti e tecnologie quali algoritmi di apprendimento automatico e intelligenza artificiale per classificare automaticamente le risorse di rete e del centro dati e per suggerire e applicare misure di segmentazione e sicurezza, politiche e regole da applicare automaticamente; pertanto, ridurre il carico di lavoro per i team di sicurezza e accelerare la riduzione degli attacchi.

    Fiducia e segmentazione pari a zero

    Ogni risorsa basata sulla rete deve essere protetta e segmentata con il principio dei privilegi minimi. Ciò è possibile grazie a un sistema di gestione degli asset che controlla le credenziali e l'accesso per ogni scopo.

    La necessità di segmentazione Zero Trust include la protezione del marchio, una superficie di attacco limitata, una maggiore stabilità della rete e l'implementazione di servizi rapidi.

    Per contribuire all'ulteriore protezione delle singole risorse, si può ricorrere alla microsegmentazione. I tag SGT (Scalable Group Tags) possono essere utilizzati quando un valore di tag viene inserito nel frame Ethernet per identificare in modo univoco una risorsa. Inoltre, i dispositivi dell'infrastruttura comprendono switch intelligenti, router o firewall di nuova generazione che possono essere utilizzati come dispositivi gateway per proteggere ogni risorsa.

    Visibilità, analisi e automazione

    È importante avere una visibilità completa di tutti gli asset dell'organizzazione e di tutte le attività associate a tali asset. Questo è il fondamento di Zero Trust.

    Per fornire decisioni dinamiche in materia di politica e fiducia, è necessario che vi sia una raccolta continua di dati analitici. L'approccio dell'architettura Zero Trust è incentrato sui componenti logici principali di una strategia SDN con un motore delle regole e un amministratore delle regole per creare un Control Plane che limiti l'accesso alle risorse tramite punti di applicazione delle policy in un Data Plane.

    Le funzionalità necessarie all'architettura Zero Trust per fornire un contesto di rete, un apprendimento e una sicurezza maggiori per svolgere la propria missione in modo sicuro:

    • Micro-segmentazione granulare dell'accesso a utenti, dispositivi, applicazioni, carichi di lavoro e dati.
    • L'applicazione di policy di sicurezza in ogni luogo in cui viene eseguito il lavoro, incluse LAN, WAN, centri dati, cloud e edge.
    • Gestione completa delle identità: per estendere la gestione delle identità e degli accessi in modo da includere le identità di utenti, dispositivi, applicazioni, carichi di lavoro e dati che diventano nuovi micro-perimetri grazie all'accesso definito dal software.
    • Difesa delle minacce integrata che sfrutta l'intelligence e i feed delle minacce globali.
    • Controllo agile e completamente automatizzato della rete dell'organizzazione per un funzionamento sicuro, con la scalabilità, le prestazioni e l'affidabilità richieste per raggiungere l'obiettivo.

    Passi per azzerare la fiducia

    La chiave per una sicurezza totale senza trust è estendere la sicurezza in tutto l'ambiente di rete, che si tratti di LAN, centro dati, cloud edge o cloud. La conformità è ovviamente obbligatoria.

    Questa protezione deve includere la visibilità totale dell'ambiente di rete dell'organizzazione. Passi chiave per un centro di zero trust completo su:

    • Identificare i dispositivi e i dati sensibili. Identificazione e classificazione di dispositivi, dati sensibili e carichi di lavoro.
    • Comprendere i flussi dei dati sensibili.
    • Definire i criteri di segmentazione di attendibilità totale. Ogni asset basato su rete deve essere protetto e segmentato in modo appropriato con il principio di privilegi minimi e controlli granulari rigorosamente applicati, in modo che gli utenti abbiano accesso solo alle risorse necessarie per svolgere il proprio lavoro.
    • Implementazione di policy e posture. Questa operazione può essere eseguita con piattaforme quali Cisco DNAC o ISE.
    • Monitoraggio continuo dell'ambiente con attendibilità zero. Implementazione di analisi della sicurezza per monitorare e analizzare in tempo reale gli incidenti relativi alla sicurezza e identificare rapidamente le attività dannose. Ispeziona e registra continuamente tutto il traffico sia internamente che esternamente.

    Ottenere l'accesso attendibile

    Per ottenere una sicurezza totale basata su un livello di affidabilità pari a zero, le organizzazioni devono estendere l'approccio basato su un livello di affidabilità pari a zero a tutta la forza lavoro, l'ambiente di lavoro e i carichi di lavoro.

    • Forza lavoro con sicurezza totale: gli utenti e i dispositivi devono essere autenticati e autorizzati e l'accesso e i privilegi devono essere monitorati e gestiti continuamente per proteggere le risorse.
    • Ambiente di lavoro a totale fiducia - L'accesso deve essere controllato sull'intero ambiente di lavoro, inclusi cloud e edge.
    • Carichi di lavoro senza trust: è necessario applicare il controllo granulare dell'accesso su interi stack di applicazioni, inclusi contenitori, hypervisor e microservizi nel cloud e nei centri dati tradizionali degli enti.

    Cisco, Zero Trust Leader riconosciuto da Forrester, è un forte sostenitore dell'abilitazione di Zero Trust in tutta la rete, sia in locale che nel cloud. Non solo è possibile sfruttare l'infrastruttura di rete Cisco come base critica dell'architettura Zero Trust, ma è anche possibile apprendere altre funzionalità di sicurezza chiave di Cisco Zero Trust che possono aiutare la propria organizzazione nel passaggio a Zero Trust.

    Cisco Secure Portfolio

    Questi elementi possono essere utilizzati per creare un framework Zero Trust riuscito:

    • Accesso sicuro e senza attriti per utenti, dispositivi e applicazioni tramite Cisco Duo
    • Sicurezza cloud flessibile tramite Cisco Umbrella
    • Ispezione intelligente dei pacchetti tramite Cisco Secure Firewall
    • Advanced Malware Protection tramite Secure Endpoint (in precedenza AMP)
    • VPN sicura e accesso remoto tramite Cisco AnyConnect
    • Protezione olistica del carico di lavoro tramite Cisco Secure Analytics (in precedenza Stealthwatch)
    • Segmentazione di rete protetta con Cisco Identity Services Engine (ISE)
    • Visibilità delle applicazioni e micro-segmentazione tramite Cisco Secure Workload
    • Piattaforma di sicurezza integrata tramite Cisco SecureX
    • Soluzione Unified SASE con abbonamento come servizio tramite Cisco Secure Connect
    • Assistenza qualificata da parte di Cisco Zero Trust Strategy Service
    • Supporto e servizi end-to-end tramite servizi di consulenza e soluzioni

    Riepilogo

    Uno dei modi più semplici per pensare a una mancanza di fiducia è "Non fidarsi mai e verificare sempre". Questo vale per ogni connessione di rete, ogni sessione e ogni richiesta di accesso ad applicazioni, carichi di lavoro e dati critici.

    I framework di sicurezza senza attendibilità creano difese localizzate di microperimetro intorno a ciascuna risorsa nella rete dell'organizzazione. Se correttamente progettati, i framework possono proteggere le risorse indipendentemente dalla loro posizione.

    Un modo efficace per ridurre i rischi consiste nel controllare l'accesso a dati privilegiati e condivisi e adottare il principio dei privilegi minimi. Questo modello di sicurezza consente l'orchestrazione tramite API, nonché l'integrazione con le piattaforme di automazione del flusso di lavoro che forniscono visibilità su utenti e applicazioni.

    Implementato con successo, il servizio Zero Trust garantisce la sicurezza e la continuità delle operazioni nell'intero ambiente IT di un'organizzazione e garantisce un accesso affidabile continuo ai carichi di lavoro, alle applicazioni e ai dati critici di un'organizzazione, al fine di migliorare le missioni dell'organizzazione.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    14-Feb-2024
    Aggiornato per il rebranding del prodotto.
    1.0
    11-Dec-2022
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Bob Page
      Architetto di integrazione delle soluzioni

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci