Un approccio alla sicurezza Zero Trust offre diversi vantaggi, ma richiede un’attenta pianificazione a monte e uno sforzo di coordinamento significativo tra team. Il primo passo che un’azienda deve compiere è la scelta della tecnologia.
Le proposte dei vendor in tema di micro-segmentazione sono infatti numerose e si dividono in tre categorie:
- Prodotti network-centric: le società di networking hanno iniziato a offrire funzionalità di micro-segmentazione direttamente all’interno degli switch e altre apparecchiature di rete. Si ottiene così il vantaggio di una sicurezza unificata attraverso il network, purché il traffico attraversi i dispositivi hardware del fornitore. I punti deboli invece sono vendor lock-in, costi e limitazioni nel passaggio a scenari cloud.
- Prodotti specifici per la virtualizzazione: molti fornitori di hypervisor oggi offrono anche piattaforme per la micro-segmentazione Zero Trust. Queste soluzioni sono perfettamente integrabili con l’hypervisor e l’architettura software-defined del network, ma di contro potrebbero non funzionare con i sistemi fisici.
- Software di sicurezza Zero Trust indipendente: si tratta di applicazioni stand-alone dotate di un proprio policy engine disponibili anche in modalità host-based. Queste soluzioni garantiscono maggiore flessibilità in ambienti ibridi, ma potrebbero presentare problematiche di lock-in e performance.
Vagliando le diverse opzioni, bisogna innanzitutto verificare la compatibilità con il legacy esistente, la possibilità di operare in cloud e la complessità della manutenzione.
Implementare un sistema di sicurezza Zero Trust
Terminata la fase di selezione, il passo successivo è la progettazione delle policy. La maggioranza degli strumenti di sicurezza Zero Trust permette di monitorare attraverso l’engine tutte le applicazioni e i servizi che scambiano dati tra i sistemi e i segmenti di rete. Si può quindi procedere alla mappatura delle comunicazioni per identificare e bloccare il traffico malevolo o indesiderato.
Quando si definiscono le policy è fondamentale lavorare a stretto contatto con i team di tecnici addetti alla gestione delle applicazioni, dei desktop e dei server perché possono fornire una vista più accurata sui sistemi che girano negli ambienti IT aziendali e sulle comunicazioni in essere.
Potrebbe essere utile anche ricorrere a modelli di “tagging”: si definiscono gruppi di sistemi a cui applicare le stesse policy, accelerando l’implementazione e semplificando la governance. I criteri più comuni per la classificazione dei gruppi sono: le business unit o i team di riferimento, che utilizzano e gestiscono i sistemi; l’affinità della piattaforma o delle applicazioni alla base dei sistemi (ad esempio, le soluzioni che girano su Windows Server); il livello di criticità dei sistemi.
