Pilastri tecnologici di Zero Trust, parte 2
In questa unità vengono illustrati gli obiettivi di distribuzione rimanenti di Zero Trust.
Proteggere i dati con Zero Trust
I tre elementi principali di una strategia di protezione dati sono:
- Conoscere i dati: se non si sa quali dati sensibili sono disponibili in locale e nei servizi cloud, non è possibile proteggerli in modo adeguato. È necessario individuare i dati nell'intera organizzazione e classificarli tutti in base al livello di riservatezza.
- Proteggere i dati e prevenirne la perdita: i dati sensibili devono essere protetti dai criteri che etichettano e crittografano i dati o ne bloccano la condivisione. Ciò garantisce che solo gli utenti autorizzati possano accedere ai dati, anche quando vengono trasferiti all'esterno dell'ambiente aziendale.
- Monitorare e correggere: è consigliabile monitorare continuamente i dati sensibili per rilevare violazioni dei criteri e comportamenti degli utenti a rischio. Ciò consente di intraprendere azioni appropriate, ad esempio revocando l'accesso, bloccando gli utenti e affinando i criteri di protezione.
Obiettivi della distribuzione Zero Trust per i dati
Una strategia di protezione delle informazioni deve includere l'intero contenuto digitale dell'organizzazione. Come baseline, è necessario definire etichette, individuare dati sensibili e monitorare l'uso di etichette e azioni nell'ambiente. L'uso delle etichette di riservatezza viene illustrato alla fine di questa guida.
Quando si implementa un framework Zero Trust end-to-end per la gestione dei dati, è consigliabile concentrarsi prima di tutto su questi obiettivi iniziali della distribuzione:
I. Le decisioni sull'accesso sono regolate dalla crittografia.
II. I dati vengono classificati ed etichettati automaticamente.
Dopo averli raggiunti, concentrarsi su questi ulteriori obiettivi della distribuzione:
III. La classificazione è migliorata da modelli di Machine Learning intelligenti.
IV. Le decisioni sull'accesso sono regolate da un motore di criteri di sicurezza del cloud.
V. Impedire la fuoriuscita dei dati tramite criteri DPL in base all'etichetta di riservatezza e all'ispezione del contenuto.
Proteggere gli endpoint con Zero Trust
Zero Trust si basa sul principio "never trust, always verify", (mai fidarsi, verificare sempre). Per quanto riguarda gli endpoint, questo significa verificare sempre tutti gli endpoint. Ciò include non solo i dispositivi di terzisti, partner e utenti guest, ma anche le app e i dispositivi usati dai dipendenti per accedere ai dati aziendali, indipendentemente da chi è il proprietario.
In un approccio Zero Trust vengono applicati gli stessi criteri di sicurezza, a prescindere dal fatto che il dispositivo sia di proprietà aziendale o personale tramite il modello Bring Your Own Device (BYOD) e indipendentemente dal fatto che il dispositivo sia completamente gestito dall'IT o che siano protetti solo dati e app. I criteri si applicano a tutti gli endpoint, che siano PC, Mac, smartphone, tablet, indossabili o dispositivi IoT, ovunque siano connessi, sia alla rete aziendale sicura, alla banda larga a casa o a Internet pubblico.
Obiettivi della distribuzione Zero Trust per i dispositivi
Quando si implementa un framework Zero Trust end-to-end per la protezione degli endpoint, è consigliabile concentrarsi prima di tutto su questi obiettivi iniziali della distribuzione:
I. Gli endpoint sono registrati con provider di identità cloud. Per monitorare la sicurezza e il rischio in più endpoint usati da qualsiasi persona, è necessaria visibilità su tutti i dispositivi e i punti di accesso che possono accedere alle risorse.
II. L'accesso viene concesso solo alle app e agli endpoint conformi e gestiti dal cloud. Impostare le regole di conformità per assicurarsi che i dispositivi soddisfino i requisiti minimi di sicurezza prima che venga concesso l'accesso. Impostare anche le regole di correzione per i dispositivi non conformi in modo che le persone sappiano come risolvere il problema.
III. I criteri di prevenzione della perdita dei dati vengono applicati per i dispositivi aziendali e BYOD. Controllare quali operazioni può eseguire l'utente con i dati dopo l'accesso. Ad esempio, limitare il salvataggio dei file in posizioni non attendibili (ad esempio il disco locale) o limitare la condivisione tramite copia-incolla con un'app di comunicazione consumer o un'app di chat per proteggere i dati.
Dopo averli raggiunti, concentrarsi su questi ulteriori obiettivi della distribuzione:
IV. Il rilevamento delle minacce per gli endpoint viene usato per monitorare il rischio dei dispositivi. Gestire tutti gli endpoint in modo coerente da una posizione centralizzata e usare un sistema SIEM in cui instradare i log e le transazioni degli endpoint per ricevere meno avvisi, ma fruibili.
V. L'accesso viene controllato in base al rischio per gli endpoint, sia per i dispositivi aziendali che BYOD. Integrare i dati di Microsoft Defender per endpoint o di altri fornitori di soluzioni MTD (Mobile Threat Defense) come fonte di informazioni per i criteri di conformità dei dispositivi e le regole di accesso condizionale. Il rischio per il dispositivo influirà quindi direttamente sulle risorse che potranno essere accessibili da parte dell'utente di tale dispositivo.
Proteggere l'infrastruttura con Zero Trust
Azure Blueprints, Criteri di Azure, Microsoft Defender per il cloud, Microsoft Sentinel e Azure Sphere possono contribuire notevolmente a migliorare la sicurezza dell'infrastruttura distribuita e a favorire un approccio diverso per definire, progettare, effettuare il provisioning, distribuire e monitorare l'infrastruttura.
Obiettivi della distribuzione Zero Trust per l'infrastruttura
Quando si implementa un framework Zero Trust end-to-end per la gestione e il monitoraggio dell'infrastruttura, è consigliabile concentrarsi prima di tutto su questi obiettivi di distribuzione iniziali:
I. I carichi di lavoro vengono monitorati e si ricevono avvisi in caso di comportamenti anomali.
II. A ogni carico di lavoro è assegnata un'identità dell'app, configurata e distribuita in modo coerente.
III. L'accesso degli utenti alle risorse richiede Just-In-Time.
Dopo averli raggiunti, concentrarsi su questi ulteriori obiettivi della distribuzione:
IV. Le distribuzioni non autorizzate vengono bloccate e viene attivato l'avviso.
V. Per tutti i carichi di lavoro sono disponibili visibilità granulare e controllo di accesso.
VI. Accesso a utenti e risorse segmentato per ogni carico di lavoro.
Proteggere le reti con Zero Trust
Invece di ritenere sicuro tutto quello che c'è dietro il firewall aziendale, una strategia Zero Trust end-to-end presuppone che le violazioni siano inevitabili. Ciò significa che è necessario verificare ogni richiesta come se provenisse da una rete incontrollata e in questo caso la gestione delle identità ricopre un ruolo cruciale.
Obiettivi della distribuzione Zero Trust per la rete
Quando si implementa un framework Zero Trust end-to-end per la protezione delle reti, è consigliabile concentrarsi prima di tutto su questi obiettivi iniziali della distribuzione:
I. Segmentazione di rete: molti micro-perimetri sul cloud in ingresso/uscita con una certa micro-segmentazione.
II. Protezione dalle minacce: filtro nativo del cloud e protezione per le minacce note.
III. Crittografia: il traffico interno da utente ad app viene crittografato.
Dopo averli raggiunti, concentrarsi su questi ulteriori obiettivi della distribuzione:
IV. Segmentazione di rete: micro-perimetri sul cloud in ingresso/uscita completamente distribuiti e micro-segmentazione più profonda.
V. Protezione dalle minacce: protezione delle minacce basata su Machine Learning e filtro con segnali basati sul contesto.
VI. Crittografia: tutto il traffico è crittografato.