Zero Trust Networking (ZTN) non si fida di nulla

John Kindervag, ex analista di Forrester Research, è stato il primo a introdurre il modello Zero-Trust nel 2010. L'attenzione si è concentrata maggiormente sul livello applicativo. Tuttavia, quando ho sentito che Sorell Slaymaker di Techvision Research stava spingendo l'argomento a livello di rete, non ho potuto resistere a chiamarlo per discutere dei generali su Zero Trust Networking (ZTN). Durante la conversazione, ha fatto luce su numerosi fatti noti e sconosciuti su Zero Trust Networking che potrebbero rivelarsi utili a chiunque. 

Il tradizionale mondo del networking è iniziato con domini statici. Il modello di rete classica suddivide client e utenti in due gruppi: affidabili e non affidabili. I fidati sono quelli all'interno della rete interna, i non fidati sono esterni alla rete, che potrebbero essere utenti mobili o reti partner. Per rifondere il non attendibile in modo da renderlo affidabile, in genere si utilizza una rete privata virtuale (VPN) per accedere alla rete interna.

La rete interna sarebbe quindi divisa in un numero di segmenti. Un tipico flusso di traffico entrerebbe nella zona demilitarizzata (DMZ) per l'ispezione e da lì si potrebbe accedere alle risorse interne. Agli utenti viene concesso l'accesso al livello di presentazione. Il livello di presentazione comunicherà quindi al livello dell'applicazione, che a sua volta accederà al livello del database. Alla fine, questa architettura mostrava molto traffico da nord a sud, il che significa che la maggior parte del traffico entrava e usciva dal data center.

La nascita della virtualizzazione ha cambiato molte cose poiché ha avuto un impatto notevole sui flussi di traffico. C'era ora un gran numero di applicazioni all'interno del data center che richiedevano la comunicazione incrociata. Ciò ha innescato un nuovo flusso di traffico, noto come da est a ovest. La sfida per il modello tradizionale è che non fornisce alcuna protezione per i flussi di traffico da est a ovest.

Le reti tradizionali sono suddivise in vari segmenti che vengono generalmente visualizzati come zone. Era pratica comune raggruppare tipi di server simili in zone senza controlli di sicurezza per filtrare il traffico interno. In genere, all'interno di una determinata zona i server possono parlare liberamente tra loro e condividere un dominio di trasmissione comune.

Se un cattivo attore trova una vulnerabilità in uno dei tuoi server di database in quella zona, il cattivo attore potrebbe spostarsi facilmente per provare a compromettere altri server di database. Ecco come è nato il modello di rete e sicurezza. Sfortunatamente, è ancora l'architettura aziendale comune che è in uso oggi. È obsoleto e non sicuro, ma ancora ampiamente adottato. Al giorno d'oggi, devi essere dalla parte della sicurezza.

I cattivi attori cercheranno sempre il collegamento più debole e, una volta compromesso, si muoveranno inosservati alla ricerca di risorse target più elevate. Quindi, non solo devi proteggere il traffico da nord a sud, ma devi anche proteggere da est a ovest. Per colmare il divario abbiamo attraversato una serie di fasi.

microsegmentazione

L'attuale pratica migliore e più preferita per proteggere il traffico da est a ovest è la microsegmentazione. La microsegmentazione è un meccanismo in base al quale segmentare il calcolo virtualizzato dagli utenti. Riduce ulteriormente la superficie di attacco riducendo il numero di dispositivi e utenti su un determinato segmento. Se un cattivo attore ottiene l'accesso a un segmento nell'area dati, gli viene impedito di compromettere altri server all'interno di quella zona.

Diamo un'occhiata da una prospettiva diversa. Immagina che Internet sia come il nostro sistema stradale e che tutte le case e gli appartamenti siano computer e dispositivi sulla strada. In questo scenario, la microsegmentazione definisce il quartiere e il numero di persone che vivono nel quartiere. Tutti nel quartiere hanno la possibilità di raggiungere la tua porta e cercare di accedere a casa tua. Qui, dobbiamo assumere il presupposto che meno persone nel quartiere, meno è probabile che la tua casa venga derubata.

Allo stesso modo, nel caso della microsegmentazione, non solo abbiamo segmentato le nostre applicazioni e servizi, ma abbiamo anche iniziato a segmentare gli utenti. Segmenta utenti diversi utilizzando reti diverse in segmenti diversi. È stato un passo nella giusta direzione poiché oggi controlla sia i movimenti del traffico da nord a sud che da est a ovest, isolando ulteriormente le dimensioni dei domini di trasmissione.

Presenta anche alcuni inconvenienti. Uno dei maggiori difetti è che è incentrato sull'indirizzo IP, basandosi su client VPN o NAC che non è compatibile con l'Internet of Things e si basa su regole binarie. Utilizziamo un processo decisionale binario; consentire o negare. Un ACL non fa molto. È possibile consentire o negare un IP o un numero di porta, ma si tratta in gran parte di un processo binario statico.

In realtà, per le applicazioni odierne, dobbiamo utilizzare sistemi più intelligenti, per cui è possibile utilizzare criteri aggiuntivi insieme a consentire o negare. Comparativamente, i firewall NextGen possono prendere decisioni più intelligenti. Sono costituiti da regole che, ad esempio, consentono a una coppia di origine e destinazione di comunicare solo durante determinati orari di lavoro e da determinati segmenti di rete. Sono più granulari e possono anche registrarsi se l'utente ha superato il processo di autenticazione a più fattori (MFA).

Il livello della sessione

Dove si svolge tutto il lavoro intelligente? Il livello della sessione! Il livello sessione fornisce il meccanismo per aprire, chiudere e gestire una sessione tra utenti finali e applicazioni. Le sessioni sono stateful e end-to-end.

È il livello di sessione in base al quale vengono controllati lo stato e la sicurezza. Il motivo per cui abbiamo i firewall è che i router non gestiscono lo stato. I middlebox vengono aggiunti per gestire lo stato, è a livello di stato in cui viene chiuso tutto il controllo di sicurezza come crittografia, autenticazione, segmentazione, gestione delle identità e rilevamento delle anomalie per citarne alcuni.

Per avere una rete altamente sicura Zero-Trust, la rete deve diventare più intelligente, deve essere consapevole del livello 5 per gestire lo stato e la sicurezza. Dato che questo è specifico per la rete, dovresti comunque avere controlli di sicurezza appropriati più in alto nello stack.

Ad un certo punto, invece di richiedere il bullonaggio su tutte queste "scatole intermedie", i router di rete devono fornire queste funzioni in modo nativo nelle reti definite dal software (SDN) di prossima generazione, che separano il piano dati dal piano di controllo.

Oggi stiamo assistendo a molta attenzione nel mercato SD-WAN. Tuttavia, SD-WAN utilizza tunnel e overlay come IPsec e Virtual Extensible LAN (VXLAN) privi di controlli delle prestazioni e delle prestazioni delle applicazioni end-to-end.

All'interno di una SD-WAN non hai molti controlli di sicurezza. I tunnel sono punto-punto, non end-to-end. Tutte le sessioni passano attraverso un singolo tunnel e nel tunnel; non hai controlli di sicurezza per quel traffico.

Sebbene si stiano compiendo progressi e ci stiamo muovendo nella giusta direzione, non è sufficiente. Dobbiamo iniziare a pensare alla fase successiva: Zero Trust Networking. Dobbiamo essere consapevoli del fatto che in un mondo ZTN, tutto il traffico di rete non è attendibile.

Presentazione di Zero Trust Networking

L'obiettivo di Zero Trust Networking è bloccare il traffico dannoso ai margini della rete prima che gli venga permesso di scoprire, identificare e indirizzare altri dispositivi di rete.

Zero-Trust nella sua forma più semplice ha migliorato la segmentazione in un modello one-to-one. Porta la segmentazione fino ai punti finali assoluti di ogni utente, dispositivo, servizio e applicazione sulla rete.

All'interno di questo modello, gli elementi protetti possono essere utenti, "cose", servizi o applicazioni. La vera definizione è che nessuna sessione di protocollo datagramma utente (UDP) o protocollo di controllo trasmissione (TCP) può essere stabilita senza autenticazione e autorizzazione preventive.

Stiamo eseguendo la segmentazione fino all'endpoint. In un mondo a Zero Trust, la prima regola è negare tutto. Letteralmente, non ti fidi di nulla e poi inizi ad aprire una whitelist, che può diventare dinamica e granulare quanto ti serve.

La mia prima reazione a Zero Trust Networking è stata che questo tipo di modello one-to-one deve aggiungere un po 'di peso serio alla rete, cioè rallentarlo, aggiungere latenza ecc. Tuttavia, in realtà non è così, è necessario solo la capacità di controlla il primo set di pacchetti. Devi solo consentire di stabilire la sessione. Nel mondo TCP, è il processo TCP SYN e SYN-ACK. Per il resto della sessione, puoi rimanere fuori dal percorso dei dati.

Un gestore di rete deve dedicare del tempo a comprendere veramente utenti, cose, servizi, applicazioni e dati sulla propria rete. Inoltre, il manager deve valutare chi ha accesso a cosa. La buona notizia è che molte di queste informazioni esistono già nelle directory IAM che devono solo essere mappate nella rete instradata.

Come si misura la sicurezza?

Sarebbe una buona idea chiedersi. Come misuro la mia vulnerabilità di sicurezza? Se non riesci a misurarlo, come puoi gestirlo? Dobbiamo essere in grado di calcolare la superficie di attacco.

Con ZTN, ora abbiamo una formula che sostanzialmente calcola la superficie di attacco della rete. Questo è un modo efficace per misurare i rischi per la sicurezza dell'accesso alla rete. Più bassa è la superficie di attacco, più sicure sono le risorse di rete.

Prima di Zero-Trust, una delle variabili per la superficie di attacco era il dominio di trasmissione. Era un host finale in grado di inviare un protocollo di risoluzione degli indirizzi di trasmissione (ARP) per vedere se sulla rete c'era qualcos'altro. Questa era una superficie di attacco sostanziale.

La superficie di attacco definisce essenzialmente quanto è aperta la rete all'attacco. Se si installa, ad esempio, una telecamera di sorveglianza IoT, la telecamera dovrebbe essere in grado di aprire una sessione di sicurezza a livello di trasporto (TLS) solo su un set di server selezionato. In base a questo modello, la superficie di attacco è 1. Con la diffusione automatica di malware con milioni di dispositivi IoT non sicuri, è una necessità ai giorni nostri.

Il numero della superficie di attacco migliore è ovviamente 1, ma il numero di reti mal progettate potrebbe essere significativamente più alto. Ad esempio, durante l'aggiunta di una telecamera di sorveglianza IoT a una LAN di magazzino che ha altri 50 dispositivi connessi e la telecamera ha 40 porte aperte ma non è crittografata e non ci sono regole di direzionalità su chi può avviare una sessione. Ciò si traduce in una superficie di attacco fino a 200.000 volte, che rappresenta un enorme divario nella superficie di attacco. Questo divario è il livello di esposizione al rischio.

Il perimetro si sta dissolvendo

Il perimetro ha dissolto i tuoi utenti, cose, servizi, applicazioni e i dati sono ovunque. Man mano che il mondo passa al cloud, ai dispositivi mobili e all'IoT, la capacità di controllare e proteggere tutto nella rete è più disponibile.

I controlli di sicurezza tradizionali come Network Access Control (NAC), i firewall, la protezione dalle intrusioni e le reti private virtuali (VPN) si basano tutti sul presupposto che esiste un perimetro sicuro. Una volta ottenuto l'accesso alla LAN, si presume che tutto sia automaticamente attendibile. Questo modello presuppone inoltre che tutti gli endpoint eseguano lo stesso client VPN o NAC, che è difficile da applicare in questo mondo digitale distribuito.

Zero-Trust afferma il contrario. Tutto, all'interno o all'esterno, va oltre il dominio della fiducia. In sostanza, nulla sulla rete è attendibile. Ogni sessione creata da un utente con altri utenti o applicazioni deve essere autenticata, autorizzata e contabilizzata ai margini della rete in cui è stata stabilita la sessione di rete.

Oggi tutti possono uscire di casa, recarsi a casa tua e bussare alla tua porta. Tuttavia, potrebbero non avere le chiavi per aprire la porta, ma possono attendere una vulnerabilità come una finestra aperta.

Al contrario, la ZTN sta dicendo che a nessuno è permesso di uscire di casa e bussare alla tua porta senza autenticazione e autorizzazione adeguate. Inizia con la premessa che il traffico dannoso dovrebbe essere arrestato alla sua origine, non dopo che è penetrato nella rete cercando di accedere a un endpoint o un'applicazione.

Sommario

La definizione di una posizione di sicurezza della rete con il rifiuto predefinito di tutto l'accesso alla rete e la creazione di liste bianche alla fine ridurrà il rischio di attacchi DDoS, infezioni di software dannoso e violazioni dei dati.

Se un cattivo attore non riesce nemmeno ad arrivare alla "porta d'ingresso" di un bene, allora non avrà la possibilità di andare al passo successivo e provare a violarlo! I vecchi tempi di "plug & pray" non funzionano nell'era di oggi. Pertanto, le reti devono diventare abbastanza intelligenti da consentire solo fonti autenticate e autorizzate. In un mondo digitale, nulla dovrebbe essere attendibile.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.