La sicurezza senza fiducia aggiunge gli ingredienti necessari

Il panorama delle minacce odierne è costituito da cattivi attori qualificati, organizzati e ben finanziati. Hanno molti obiettivi tra cui l'esfiltrazione di dati sensibili per motivi politici o economici. Per combattere queste molteplici minacce, è necessario che il mercato della sicurezza informatica si espanda a un ritmo ancora maggiore.

I leader IT devono evolvere il loro quadro di sicurezza se vogliono essere in vantaggio rispetto alle minacce informatiche. L'evoluzione della sicurezza a cui stiamo assistendo è inclinata verso il modello Zero-Trust e il perimetro definito dal software (SDP), chiamato anche "Black Cloud". Il principio del suo design si basa sul modello da conoscere.

Il modello Zero-Trust afferma che chiunque tenti di accedere a una risorsa deve essere autenticato ed essere autorizzato per primo. Gli utenti non possono connettersi a nulla poiché le risorse non autorizzate sono invisibili, lasciate al buio. Per una protezione aggiuntiva, il modello Zero-Trust può essere combinato con l'apprendimento automatico (ML) per scoprire il comportamento rischioso dell'utente. Inoltre, può essere applicato per l'accesso condizionale.

In sostanza, la segmentazione one-to-one Zero-Trust garantisce l'accesso ai privilegi minimi e riduce al minimo la superficie di attacco. Previene qualsiasi movimento laterale all'interno della rete, eliminando così molti noti attacchi basati sulla rete tra cui scansione del server, denial of service, iniezione SQL, sistema operativo, exploit delle vulnerabilità delle applicazioni e man-in-the-middle per citarne alcuni . La segmentazione one-to-one non è solo l'indirizzo IP all'indirizzo IP, ma anche ai servizi (porte) e alle applicazioni.

Il movimento laterale è una tecnica comune che i cattivi attori usano per navigare tra o all'interno di segmenti con l'intenzione di compromettere beni preziosi. Si muovono con cura e spesso passano inosservati per mesi, se non per anni. Un hacker avrebbe scoperto, identificato e quindi preso di mira i dispositivi su una rete. In genere un hacker dovrebbe prendere di mira e compromettere facilmente i dispositivi (server senza patch) e quindi fare spazio a risorse più preziose. Mentre "la porta principale" di un server può essere protetta, esistono molte backdoor che devono anche essere protette in termini di gestione, registrazione e altri usi del traffico.

Quando esaminiamo il nostro passato, scopriamo di aver fatto passi significativi nell'evoluzione del nostro pensiero legato alla sicurezza. Ad esempio, siamo passati dall'autenticazione a fattore singolo all'autenticazione a due fattori e ora all'autenticazione a più fattori. Siamo passati anche dal traffico non crittografato in movimento al traffico crittografato in movimento, il che si traduce in un'alta percentuale delle applicazioni crittografate con TLS (Transport Layer Security). 

Zero-Trust è il prossimo grande megatrend che ci consente di difenderci dai criminali informatici interni ed esterni. Il mercato tecnologico è emerso costantemente. Se si esaminano le precedenti architetture di sicurezza, si potrebbe dire che non abbiamo avuto altra scelta che arrivare qui. Gli obiettivi aziendali devono soddisfare le soluzioni di sicurezza e solo perché hai un martello, non significa che tutto sia un chiodo. È un presupposto comune che molte violazioni hanno un vettore interno in cui un utente o malware consente a un attore esterno di ottenere l'accesso.

Architetture obsolete precedenti

Le architetture tradizionali con accesso alla rete (NAC) e tipi di accesso alla rete privata virtuale (VPN) sono basate sul presupposto che il mondo esterno sia malvagio e che l'interno sia buono; senza minacce.

La realtà è che c'è stato un rapido aumento degli attacchi riusciti che hanno un componente dannoso, che si tratti di un utente all'interno o di un dispositivo che è stato compromesso. Quindi non abbiamo più una rete affidabile e chiari punti di demarcazione. È abbastanza spiacevole e rattristante affermare che gli utenti all'interno di una rete non sono più affidabili di quelli esterni alla rete. 

Il perimetro mentre esiste ancora è più fluido di quanto non fosse in passato. La premessa dell'architettura tradizionale era di avere un perimetro fisso. Il perimetro diventerebbe solo più fluido, non solo con l'introduzione di nuove tecnologie, ma con i progressi di nuovi modelli di business, come avere un numero di API per vari fornitori. I punti di demarcazione del business e le loro soluzioni sono diventati molto più sfocati rispetto al passato.

Zero-Trust è una realtà, non solo una presentazione di PowerPoint. Esistono prodotti reali come SDP, che è un gruppo di lavoro e ha proposto un'architettura che porta Zero-Trust sul mercato.

Perimetro definito dal software (SDP)

Il gruppo SDP sta spingendo la sicurezza Zero-Trust. Il loro obiettivo è sviluppare una soluzione per prevenire attacchi di rete contro l'applicazione. Inizialmente, era il lavoro svolto presso la Defense Information Systems Agency (DISA) nell'ambito dell'iniziativa Black Core Network della Global Information Grid (GIG) nel 2007.

I loro concetti iniziali si basavano su una rete overlay e un client software, non integrando fondamentalmente Identity and Access Management (IAM) con la rete IP sottostante. Tuttavia, sostengono molti principi utilizzati nel modello Zero Trust.

Il prodotto commerciale è costituito da una serie di componenti come client, controller e gateway SDP.

Il client SDP gestisce una vasta gamma di funzioni che variano dalla verifica dell'identità del dispositivo e dell'utente al routing di applicazioni locali autorizzate, ad applicazioni remote protette autorizzate. È configurato in tempo reale per garantire che la VPN TLS reciproca basata su certificato si colleghi solo ai servizi per i quali l'utente ha autorizzato.

Il controller SDP funziona come un broker di fiducia tra il client e i controlli di sicurezza del back-end. Il controller ha l'autorità di certificazione (CA) e il provider di identità (IP) svolge funzioni. Dopo la convalida del client, il controller configura entrambi; il client SDP e il gateway in tempo reale per stabilire una connessione TLS reciproca.

La terminazione sul controller è simile al concetto di segnalazione su reti vocali. Oggi nelle reti telefoniche, inizialmente riceviamo il segnale e viene impostata una chiamata prima di consentire ai media di passare.

Ciò equivale ad avere una sessione SIP (SIP) e una sessione TCP (Transmission Control Protocol). Effettuiamo la segnalazione per assicurarci di essere autenticati e autorizzati. Solo allora ci è consentito comunicare con l'estremità remota.

Quindi abbiamo il gateway SDP. Si consiglia di distribuire il gateway SDP in modo topologico, più vicino all'applicazione protetta.

L'architettura SDP fornisce una serie di proprietà di sicurezza apprezzate se combinate insieme:

  • Nascondere le informazioni: Con le VPN, usi un nome DNS del server VPN, ma con SDP non riesci mai a vedere il nome DNS dell'endpoint mentre il controller SDP si trova nel mezzo, fungendo da broker del tunnel.
  • Accessibilità: Non sono accessibili informazioni DNS o porte visibili dell'applicazione protetta. In sostanza, le risorse protette da SDP sono considerate "scure", il che significa che non possono essere rilevate.
  • Preautenticazione: SDP pre-autentica e convalida le connessioni. L'identità del dispositivo viene verificata prima che venga concessa la connettività. Ciò può essere determinato tramite un token MFA incorporato nella configurazione della connessione TCP o TLS.
  • Pre-autorizzazione: Agli utenti viene concesso l'accesso solo alle applicazioni appropriate per il loro ruolo durante la sincronizzazione con l'assegnazione dei criteri.
  • Accesso a livello di applicazione: È una connessione uno a uno tra utenti e risorse. Agli utenti viene concesso l'accesso solo a livello di applicazione e non all'intera rete sottostante.
  • Estensibilità: SDP è basato su componenti comprovati e basati su standard, come i reciproci certificati TLS, SAML e X.509. La tecnologia basata su standard garantisce una facile integrazione con altri sistemi di sicurezza, come la crittografia dei dati.

Per Zero-Trust, altri casi d'uso reali si presentano sotto forma di segmentazione dei punti vendita e concessione dell'accesso di terzi all'infrastruttura di rete.

Caso d'uso: segmentazione del punto vendita

Le tecnologie di segmentazione della rete odierne sono limitate a causa delle dipendenze dei livelli 2 e 3 del modello di interconnessione dei sistemi aperti (OSI). VxLAN è la scelta di segmentazione all'interno del data center. Pertanto, le LAN virtuali (VLAN) si trovano negli uffici e il routing virtuale e gli inoltri (VRF) attraverso la WAN (Wide Area Network). Tuttavia, il problema con questi meccanismi di segmentazione di livello 2 e 3 è che usano solo l'indirizzo MAC (Media Access Control Address) o gli indirizzi IP e non le variabili più intelligenti per l'elaborazione delle politiche.

Il problema oggi, ad esempio con la segmentazione VLAN, è che si segmenta solo verso un dispositivo specifico. Tuttavia, se disponi di un server PCI (Payment Card Industry), potresti voler mantenere il traffico PCI separato dall'altro traffico, esempio directory o Office 356, Fondamentalmente, ZT ti consente di segmentare il traffico futuro all'interno di un dispositivo a livello di servizio / applicazione.

ZT è la segmentazione individuale del dispositivo dell'utente e del servizio / dell'applicazione. Prende un dispositivo e fa un mapping uno a uno di un servizio e non di un'applicazione. Può segmentare il traffico di rete non solo in base al MAC o all'indirizzo IP del dispositivo, ma è anche in grado di segmentare il traffico in base al servizio e all'applicazione dell'utente.

Caso d'uso: accesso di terze parti

Ad esempio, supponiamo che un terzo esegua il supporto tecnico per un'organizzazione. Una banca può disporre di un database Oracle che esegue applicazioni chiave, con cui ha problemi. Pertanto, è necessario un partner esterno per accedere alla situazione. Come si fa in modo che il membro del supporto esterno non possa vedere o fare qualsiasi altra cosa nel data center?

Con il modello Zero-Trust, quella persona può accedere a quel server in un momento specifico con un MFA specifico e un numero di ticket di guasto specifico. Pertanto, se ritornano entro 4 ore, non gli viene concesso l'accesso.

Questo è in confronto con l'accesso di terze parti comune di oggi. Una volta che hai accesso VPN alla LAN, puoi vedere e andare a tutto il resto. Zero-Trust consente di isolare fino a un server specifico con un indirizzo IP e un numero di porta da una porta di origine e un indirizzo IP specifici.

Inoltre, ci sono così tante altre variabili che può prendere in considerazione. Zero-Trust è multivariabile, dinamico e non statico. Offre agli utenti l'accesso una tantum a un'applicazione richiesta mentre tutte le altre risorse sono bloccate senza concedere l'accesso all'intera rete.

Progetto BeyondCorp di Google

L'iniziativa BeyondCorp di Google si sta spostando su un modello che dispensa da una rete aziendale privilegiata. Al contrario, l'accesso dipende esclusivamente dalle credenziali del dispositivo e dell'utente, indipendentemente dalla posizione di rete di un utente.

Tutti gli accessi alle risorse aziendali sono completamente autenticati, autorizzati e
crittografato, in base allo stato del dispositivo e alle credenziali dell'utente. Di conseguenza, tutti i dipendenti possono lavorare da qualsiasi rete e senza la necessità di una connessione VPN tradizionale.

Ci sono tre vantaggi principali nel passaggio a un Trust Zero. Il primo è l'eliminazione dei confini delle reti pubbliche e private e il trattamento di tutte le reti IP pubbliche e private con la stessa politica Zero Trust. Questo è il mondo in cui viviamo oggi, quindi, dobbiamo agire di conseguenza.

Il secondo è il disaccoppiamento della sicurezza dalla rete IP sottostante e l'aggiunta dell'intelligence OSI livello 5 al limite delle reti. Questa architettura è una mossa nella giusta direzione per combattere i criminali informatici. Tuttavia, ci impone di ripensare a come potremmo implementare la sicurezza oggi. Proprio come NG-Firewall si stanno spostando più in alto nello stesso modo, i router di prossima generazione devono fare altrettanto.

Realisticamente, le VPN non sono più in voga. Gli utenti non vogliono perdere tempo a configurarli, inoltre, gli amministratori della sicurezza stanno passando a un modello Zero Trust. Google, ad esempio, ha facilitato tutti i suoi dipendenti per poter lavorare da qualsiasi luogo senza la necessità di VPN. Questa funzionalità di accessibilità è attiva da un paio d'anni e ha avuto molto successo nel garantire un elevato livello di sicurezza, consentendo agli utenti di lavorare da qualsiasi luogo.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.