L'edge zero-trust è una soluzione di sicurezza che collega il traffico Internet ai siti remoti utilizzando i principi di accesso zero-trust, principalmente adoperando servizi di rete e sicurezza basati su cloud.
L'edge zero-trust (ZTE) offre una rampa di accesso a Internet più sicura, perché le reti ZTE sono accessibili praticamente da qualsiasi luogo e si estendono a Internet utilizzando l'accesso di rete zero-trust (ZTNA) per autenticare utenti e dispositivi quando si connettono.
Osservando che networking e sicurezza informatica sono diventati sempre più interconnessi, Gartner ha introdotto il concetto di Secure Access Services Edge (SASE), che include in parte la convergenza dei servizi di cloud security e cloud networking. Le soluzioni SASE sono progettate per proteggere il cloud, il data center e gli edge della rete delle filiali e fornire un fabric SD-WAN sicuro su diverse connessioni. Forrester ha di recente documentato un modello più recente di SASE nel report "Introducing The Zero Trust Edge Model For Security And Network Services", che definisce l'edge zero-trust (ZTE), ponendo più enfasi sul componente zero-trust.
Il perimetro della rete aziendale è in declino da decenni, ma quando la pandemia globale di Covid ha costretto i dipendenti ad affrettarsi a configurare i loro uffici remoti a casa, è praticamente svanito. I dipendenti che lavorano da casa (WFH) sono diventati la "nuova normalità" e le aziende sono alla continua ricerca di nuovi canali per interagire con i clienti, incluse le applicazioni web e mobili.
Poiché questo universo in espansione di utenti e dispositivi deve connettersi alle risorse aziendali per svolgere le normali funzioni lavorative e attività, i professionisti della sicurezza stanno adottando sempre più spesso approcci zero-trust per il networking per supportare la forza lavoro remota in sicurezza.
Per questo motivo, il caso d'uso iniziale di ZTE per la maggior parte delle organizzazioni sarà proteggere i lavoratori remoti eliminando al contempo la necessità di reti private virtuali (VPN), che spesso sono sovraccariche di nuove connessioni causate dalla folla di WFH.
L'ulteriore integrazione di networking e sicurezza è favorita da tre fattori principali:
Molte organizzazioni hanno virtualizzato le loro reti tramite l'uso di networking WAN Software-Defined (SD-WAN), ma questo approccio non soddisfa i requisiti di sicurezza più recenti. Grazie all'unione di networking e cloud security in questo modo, l'edge zero-trust (ZTE) offre alcuni vantaggi chiave, quali:
Riduzione dei rischi: poiché la sicurezza è integrata nel fabric della rete e ogni connessione viene ispezionata e protetta, i professionisti IT non devono preoccuparsi della posizione di connessione degli utenti, delle applicazioni che utilizzano né di quale tipo di crittografia adoperano (eventualmente). Ogni connessione e transazione viene autenticata ogni volta.
Riduzione dei costi: poiché l'edge zero-trust è solitamente distribuito come servizio automatizzato distribuito su cloud, le reti ZTE sono intrinsecamente scalabili. Inoltre, facendo parte del fabric Internet, supportano la digital transformation aziendale indipendentemente dalle architetture legacy.
User Experience superiore: le prestazioni e il throughput del networking migliorano perché le rampe di accesso sono disponibili in tutto il mondo, riducendo la necessità di backhauling e la latenza.
Sebbene il modello ZTE sia progettato per essere uno stack di sicurezza in hosting sul cloud o sull'edge, le limitazioni della larghezza di banda in molte aree richiedono che alcuni suoi elementi risiedano sull'infrastruttura locale.
Le organizzazioni possono utilizzare al momento tre approcci allo ZTE:
Si prevede che ZTE offre il massimo valore quando è basato su cloud, poiché le soluzioni devono essere sviluppate su due principi chiave legati proprio al cloud:
Dopo la distribuzione completa, le organizzazioni possono gestire, monitorare e analizzare i servizi di sicurezza e networking che risiedono nelle soluzioni ZTE a livello centrale, indipendentemente dal fatto che siano basate su cloud o in hosting in una posizione remota.
Il modello edge zero-trust trasforma il modo in cui sicurezza e networking sono state tradizionalmente utilizzate, senza tuttavia scardinare i vecchi sistemi. Sempre in continua evoluzione, le funzioni di sicurezza informatica sono passate rapidamente all'edge zero-trust.
Le aziende stanno entrando nel perimetro zero-trust per gestire la sicurezza dei lavoratori remoti, ma ci sono sfide importanti da affrontare per realizzare appieno le promesse del modello, tra cui:
Servizi e applicazioni legacy: le applicazioni web moderne che supportano la federazione delle identità sono più semplici da configurare in un ambiente ZTE, ma le applicazioni basate su protocolli non web, in particolare RDP/VDI per l'accesso remoto e SIP/VoIP per i servizi vocali, non saranno facilmente integrabili, perché non sono standardizzate per l'utilizzo in un ambiente ZTE.
Dispositivi di networking legacy: quando computer e applicazioni sono aggiunti alla rete ZTE, l'IT deve tenere conto della miriade di dispositivi con tecnologia operativa (OT) e Internet of Things (IoT) che, all'interno di un'organizzazione, potrebbero essere migliaia.
Capacità: sebbene ZTE possa risolvere i problemi di accesso tattici per i lavoratori remoti, non è ancora in grado di sostituire i servizi di networking e sicurezza ad alta capacità che al momento consentono di accedere al data center. Le organizzazioni possono scegliere di migrare al cloud prima di passare alla protezione ZTE per determinate risorse aziendali.
Forrester ha definito l'edge zero-trust come un perfezionamento del modello SASE originale, con una maggiore attenzione sul componente "zero-trust" di quel modello. Poiché Internet è stato progettato senza pensare alla sicurezza, ha generato un universo di malware e superfici di attacco che cambiano di continuo. ZTE adotta l'approccio di ignorare decenni di patch di sicurezza e soluzioni provvisorie utilizzate per tentare una connessione sicura e ipotizza sempre la presenza dello scenario peggiore. Di conseguenza, autentica ogni connessione utilizzando lo ZTE, anche se l'unica connessione Internet dell'endpoint è quella di eseguire il tunneling a un altro endpoint, tenendo gli utenti lontani dai "quartieri malfamati" della rete Internet pubblica.
Ottieni visibilità e controllo con un approccio intrinseco alla sicurezza zero-trust.
Secure Access Service Edge (SASE) è la convergenza di cloud networking e cloud security.
SD-WAN è l'applicazione delle tecnologie di networking basate su software.