Zero Trust: che cosa è a che cosa serve

In articoli tecnici e pubblicità ricorre sempre più spesso il termine di Zero Trust, indacato anche con l'acronimo ZT. Ma che cosa significa? E a che cosa serve per la sicurezza di un moderno sistema informatico?

Zero Trust significa “zero fiducia”, ed indica l'approccio e la logica per progettare, realizzare e gestire la sicurezza di un sistema informatico basato sul NON FIDARSI della sicurezza digitale dei vari dispositivi e servizi ICT, ad esempio in cloud, e del loro posizionamento fisico: la LAN nella sede dell'azienda/ente, il Data Center interno o esterno, i sistemi terziarizzati, anche quelli in clud, non possono essere considerati "a priori sicuri".

L'approccio Zero Trust fa riferimento a 7 principi fondamentali, e richiede in primo luogo il controllo dell'identità e dell'integrità dei dispositivi indipendentemente dalla loro posizione e dal loro ambito operativo. L’accesso ad applicazioni e servizi deve quindi basarsi  sull'identità ed integrità dei dispositivi e dell’autenticazione forte dell'utente.

La figura sottostante (fonte: NIST) evidenzia i principali elementi e lo schema architetturale logico di una ZT.

Figura NIST elementi Zero Trust

 

 

La figura mostra il nucleo centrale diviso su due piani: quello dei dati, Data Plane, e quello del controllo, Control Plane. Questo nucleo riceve  un insieme di regole e di informazioni, derivanti e generate da normative, da policy, da sistemi informatici quali il CDM (Continuous Diagnostics and Mitigations), il SIEM (Security information and Event Management), la PKI (Public Key Infrastructur), il gestore dei log di sistema e quello delle identità di utenti e risorse ICT (es. LDAP, Active Directory).  Il Policy Engine (PE) è responsabile della decisione finale per la concessione dell’accesso a una risorsa per un determinato soggetto, utilizzando di volta in volta le regole delle policy e le informazioni che arrivano dai vari sistemi.

L'approccio e l'architettura ZT non sono alternative e sotitutive delle architetture delle contromisure di sicurezza, ma sono complementari ed integrbili ad esse.

Un primo approfondimento su  Zero-Trust è nell'articolo in allegato, visibile e scaricabile dagli utenti registrati e che hanno effettuato il login a questo sito.

Per regsitrasi gratuitamente a questo sito, basta inserire le poche informazioni richieste e dare il consenso esplicito per il loro uso per la privacy cliccando qui

Un articolo dell'autore sull'argomento è anche pubblicato sulla rivista Security&Business n.56, da pag. 12 a pag. 15. Si veda: https://www.reportec.it/2020/12/04/security-business-n-56/

 

Questo sito web utilizza dei cookie sia del proprio ambiente Joomla 3.x sia dei software di Terzi per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso