Che cos'è l'edge zero-trust?

L'edge zero-trust è una soluzione di sicurezza che collega il traffico Internet ai siti remoti utilizzando i principi di accesso zero-trust, principalmente adoperando servizi di rete e sicurezza basati su cloud. 

L'edge zero-trust (ZTE) offre una rampa di accesso a Internet più sicura, perché le reti ZTE sono accessibili praticamente da qualsiasi luogo e si estendono a Internet utilizzando l'accesso di rete zero-trust (ZTNA) per autenticare utenti e dispositivi quando si connettono. 

Osservando che networking e sicurezza informatica sono diventati sempre più interconnessi, Gartner ha introdotto il concetto di Secure Access Services Edge (SASE), che include in parte la convergenza dei servizi di cloud security e cloud networking. Le soluzioni SASE sono progettate per proteggere il cloud, il data center e gli edge della rete delle filiali e fornire un fabric SD-WAN sicuro su diverse connessioni. Forrester ha di recente documentato un modello più recente di SASE nel report "Introducing The Zero Trust Edge Model For Security And Network Services", che definisce l'edge zero-trust (ZTE), ponendo più enfasi sul componente zero-trust. 

Il perimetro della rete aziendale è in declino da decenni, ma quando la pandemia globale di Covid ha costretto i dipendenti ad affrettarsi a configurare i loro uffici remoti a casa, è praticamente svanito. I dipendenti che lavorano da casa (WFH) sono diventati la "nuova normalità" e le aziende sono alla continua ricerca di nuovi canali per interagire con i clienti, incluse le applicazioni web e mobili. 

Poiché questo universo in espansione di utenti e dispositivi deve connettersi alle risorse aziendali per svolgere le normali funzioni lavorative e attività, i professionisti della sicurezza stanno adottando sempre più spesso approcci zero-trust per il networking per supportare la forza lavoro remota in sicurezza. 

Per questo motivo, il caso d'uso iniziale di ZTE per la maggior parte delle organizzazioni sarà proteggere i lavoratori remoti eliminando al contempo la necessità di reti private virtuali (VPN), che spesso sono sovraccariche di nuove connessioni causate dalla folla di WFH. 

L'ulteriore integrazione di networking e sicurezza è favorita da tre fattori principali: 

• I professionisti della sicurezza richiedono di determinare che il traffico consentito sulla rete soddisfi i loro rigorosi livelli di affidabilità della sicurezza e di monitorarli e analizzarli per garantire la compliance alle policy.
• I professionisti del networking devono adottare le policy ZTE ed eseguire il networking pensando alla sicurezza, senza che i team di sicurezza effettuino l'overlay sulle reti aziendali.
• La necessità di accesso a Internet sicuro per ogni client ed endpoint e la capacità di contrastare o aggirare gli eventuali malware presenti lungo il percorso di rete.

Molte organizzazioni hanno virtualizzato le loro reti tramite l'uso di networking WAN Software-Defined (SD-WAN), ma questo approccio non soddisfa i requisiti di sicurezza più recenti. Grazie all'unione di networking e cloud security in questo modo, l'edge zero-trust (ZTE) offre alcuni vantaggi chiave, quali: 

Riduzione dei rischi: poiché la sicurezza è integrata nel fabric della rete e ogni connessione viene ispezionata e protetta, i professionisti IT non devono preoccuparsi della posizione di connessione degli utenti, delle applicazioni che utilizzano né di quale tipo di crittografia adoperano (eventualmente). Ogni connessione e transazione viene autenticata ogni volta. 

Riduzione dei costi: poiché l'edge zero-trust è solitamente distribuito come servizio automatizzato distribuito su cloud, le reti ZTE sono intrinsecamente scalabili. Inoltre, facendo parte del fabric Internet, supportano la digital transformation aziendale indipendentemente dalle architetture legacy. 

User Experience superiore: le prestazioni e il throughput del networking migliorano perché le rampe di accesso sono disponibili in tutto il mondo, riducendo la necessità di backhauling e la latenza. 

Sebbene il modello ZTE sia progettato per essere uno stack di sicurezza in hosting sul cloud o sull'edge, le limitazioni della larghezza di banda in molte aree richiedono che alcuni suoi elementi risiedano sull'infrastruttura locale.

Le organizzazioni possono utilizzare al momento tre approcci allo ZTE:

1. Servizio distribuito tramite cloud basato su una rete gestita da un vendor o di terze parti con diversi punti di presenza (POP) con funzionalità ZTE. Questo approccio adotta un modello SaaS (Software-as-a-Service).
2. ZTE come parte di un servizio di connessione WAN, con carrier che fornisce funzionalità ZTE e sicurezza in outsourcing. Comcast Enterprise e Akami offrono funzionalità ZTE e molti provider SD-WAN stanno collaborando con vendor di soluzioni di sicurezza specifiche per lo ZTE per completare l'offerta. Anche in presenza di molte opzioni, le offerte on-premise non avranno l'agilità dei sistemi basati su cloud e le combinazioni SD-WAN/ZTE richiederanno la configurazione di policy per ciascun servizio, senza una soluzione globale con un unico punto di monitoraggio.
3. Approccio interno, realistico solo per le grandi aziende agili che hanno le funzionalità per creare una propria offerta ZTE utilizzando cloud service provider per POP, firewall in hosting su cloud e altri servizi di sicurezza che risiedono nel public cloud. Anche se comunque flessibile, questo approccio richiede il monitoraggio costante dell'evoluzione dei componenti di sicurezza, dei servizi cloud e delle competenze IT per creare e gestire tale offerta.

Si prevede che ZTE offre il massimo valore quando è basato su cloud, poiché le soluzioni devono essere sviluppate su due principi chiave legati proprio al cloud:

• Gestione di networking e sicurezza basata su cloud che fornisce un unico set di policy per gli utenti aziendali e strumenti di gestione per networking, firewall e altre funzionalità SD-WAN. Ciò consente di ridurre gli errori, aumentare l'efficienza e semplificare la configurazione di policy simili per più sistemi.
• Strumenti di monitoraggio, gestione e analisi che collegano networking e sicurezza. ZTE consente un migliore utilizzo dei collegamenti, aiuta a individuare le anomalie della rete che potrebbero causare problemi di sicurezza e porta l'intera rete (incluse le località metro di peering) nella bolla di monitoraggio. L'enorme volume di dati raccolti e analizzati richiede soluzioni basate su cloud per lo storage e l'elaborazione per ottenere le funzionalità di analisi desiderate.

Dopo la distribuzione completa, le organizzazioni possono gestire, monitorare e analizzare i servizi di sicurezza e networking che risiedono nelle soluzioni ZTE a livello centrale, indipendentemente dal fatto che siano basate su cloud o in hosting in una posizione remota.

Il modello edge zero-trust trasforma il modo in cui sicurezza e networking sono state tradizionalmente utilizzate, senza tuttavia scardinare i vecchi sistemi. Sempre in continua evoluzione, le funzioni di sicurezza informatica sono passate rapidamente all'edge zero-trust.

Le aziende stanno entrando nel perimetro zero-trust per gestire la sicurezza dei lavoratori remoti, ma ci sono sfide importanti da affrontare per realizzare appieno le promesse del modello, tra cui:

Servizi e applicazioni legacy: le applicazioni web moderne che supportano la federazione delle identità sono più semplici da configurare in un ambiente ZTE, ma le applicazioni basate su protocolli non web, in particolare RDP/VDI per l'accesso remoto e SIP/VoIP per i servizi vocali, non saranno facilmente integrabili, perché non sono standardizzate per l'utilizzo in un ambiente ZTE.

Dispositivi di networking legacy: quando computer e applicazioni sono aggiunti alla rete ZTE, l'IT deve tenere conto della miriade di dispositivi con tecnologia operativa (OT) e Internet of Things (IoT) che, all'interno di un'organizzazione, potrebbero essere migliaia.

Capacità: sebbene ZTE possa risolvere i problemi di accesso tattici per i lavoratori remoti, non è ancora in grado di sostituire i servizi di networking e sicurezza ad alta capacità che al momento consentono di accedere al data center. Le organizzazioni possono scegliere di migrare al cloud prima di passare alla protezione ZTE per determinate risorse aziendali.

Forrester ha definito l'edge zero-trust come un perfezionamento del modello SASE originale, con una maggiore attenzione sul componente "zero-trust" di quel modello. Poiché Internet è stato progettato senza pensare alla sicurezza, ha generato un universo di malware e superfici di attacco che cambiano di continuo. ZTE adotta l'approccio di ignorare decenni di patch di sicurezza e soluzioni provvisorie utilizzate per tentare una connessione sicura e ipotizza sempre la presenza dello scenario peggiore. Di conseguenza, autentica ogni connessione utilizzando lo ZTE, anche se l'unica connessione Internet dell'endpoint è quella di eseguire il tunneling a un altro endpoint, tenendo gli utenti lontani dai "quartieri malfamati" della rete Internet pubblica.