Sicurezza Zero Trust
Zero Trust è un nuovo modello di sicurezza che presuppone la violazione e verifica ogni richiesta come se abbia origine da una rete incontrollata. In questo articolo si apprenderà i principi guida di Zero Trust e trovare risorse che consentono di implementare Zero Trust.
Principi guida del modello Zero Trust
Oggi, le organizzazioni necessitano di un nuovo modello di sicurezza che si adatta in modo efficace alla complessità dell'ambiente moderno, abbraccia la forza lavoro mobile e protegge persone, dispositivi, applicazioni e dati ovunque si trovino.
Per far fronte a questi nuovi ambienti informatici, Microsoft raccomanda vivamente di adottare il modello di sicurezza Zero Trust, basato su questi principi guida:
- Verifica esplicita - Prevedere sempre autenticazione e autorizzazione in base a tutti i punti dati disponibili.
- Uso dell'accesso con privilegi minimi - Limitare l'accesso degli utenti con accesso just-in-time e just-enough (JIT/JEA), criteri adattivi basati sul rischio e protezione dei dati.
- Presunzione di violazione -Ridurre al minimo il raggio d'azione e segmentare l'accesso. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.
Per altre informazioni sulle Zero Trust, vedere Centro linee guida di Microsoft Zero Trust.
Architettura Zero Trust
Un approccio Zero Trust si estende nell'intero digital estate e funge da filosofia di sicurezza integrata e strategia end-to-end.
Questa figura fornisce una rappresentazione degli elementi primari che contribuiscono a Zero Trust.
Nella figura:
- L'applicazione dei criteri di sicurezza è al centro di un'architettura Zero Trust. Ciò include l'autenticazione a più fattori con l'accesso condizionale che tiene conto del rischio dell'account utente, dello stato del dispositivo e di altri criteri e criteri impostati.
- Identità, dispositivi (chiamati anche endpoint), dati, applicazioni, rete e altri componenti dell'infrastruttura sono tutti configurati con la sicurezza appropriata. I criteri configurati per ognuno di questi componenti sono coordinati con la strategia generale di Zero Trust. Ad esempio, i criteri dei dispositivi determinano i criteri per i dispositivi integri e i criteri di accesso condizionale richiedono dispositivi integri per l'accesso a app e dati specifici.
- La protezione delle minacce e l'intelligenza monitorano l'ambiente, illustrano i rischi correnti e agiscono automaticamente per correggere gli attacchi.
Per altre informazioni sulla distribuzione di componenti tecnologici dell'architettura Zero Trust, vedere La distribuzione di soluzioni Zero Trust Microsoft.
In alternativa alle linee guida per la distribuzione che fornisce passaggi di configurazione per ognuno dei componenti tecnologici protetti dai principi Zero Trust, le linee guida per il piano di modernizzazione rapida (RaMP) si basano sulle iniziative e offrono un set di percorsi di distribuzione per implementare più rapidamente livelli chiave di protezione.
Dal perimetro di sicurezza all'Zero Trust
L'approccio tradizionale di controllo di accesso per l'IT si basa sulla limitazione dell'accesso a una rete aziendale e quindi sull'integrazione con più controlli in base alle esigenze. Questo modello limita tutte le risorse a una connessione di rete di proprietà dell'azienda ed è diventato troppo restrittivo per soddisfare le esigenze di un'azienda dinamica.
Le organizzazioni devono adottare un approccio Zero Trust per il controllo degli accessi in quanto abbracciano il lavoro remoto e usano la tecnologia cloud per trasformare digitalmente il proprio modello di business, il modello di coinvolgimento dei clienti, il coinvolgimento dei dipendenti e il modello di responsabilizzazione.
I principi zero trust consentono di stabilire e migliorare continuamente le garanzie di sicurezza, mantenendo al tempo stesso la flessibilità necessaria per restare al passo con questo nuovo mondo. La maggior parte dei percorsi zero trust inizia con il controllo di accesso e si concentra sull'identità come controllo preferito e primario, pur continuando ad adottare la tecnologia di sicurezza di rete come elemento chiave. La tecnologia di rete e la tattica del perimetro di sicurezza sono ancora presenti in un modello di controllo di accesso moderno, ma non sono l'approccio dominante e preferito in una strategia di controllo di accesso completa.
Per altre informazioni sulla trasformazione Zero Trust del controllo di accesso, vedere il controllo di accesso dell'Cloud Adoption Framework.
Accesso condizionale con Zero Trust
L'approccio Microsoft alla Zero Trust include l'accesso condizionale come motore di criteri principale. L'accesso condizionale viene usato come motore dei criteri per un'architettura Zero Trust che copre sia la definizione dei criteri che l'applicazione dei criteri. In base a vari segnali o condizioni, l'accesso condizionale può bloccare o concedere l'accesso limitato alle risorse.
Per altre informazioni sulla creazione di un modello di accesso basato sull'accesso condizionale allineato ai principi guida di Zero Trust, vedere Accesso condizionale per Zero Trust.
Sviluppare app con principi di Zero Trust
Zero Trust è un framework di sicurezza che non si basa sull'attendibilità implicita concessa alle interazioni dietro un perimetro di rete sicuro. Usa invece i principi della verifica esplicita, dell'accesso con privilegi minimi e presupponendo la violazione per mantenere protetti gli utenti e i dati, consentendo scenari comuni come l'accesso alle applicazioni dall'esterno del perimetro della rete.
Come sviluppatore, è essenziale usare i principi Zero Trust per proteggere gli utenti e i dati. Gli sviluppatori di app possono migliorare la sicurezza delle app, ridurre al minimo l'impatto delle violazioni e assicurarsi che le applicazioni soddisfino i requisiti di sicurezza dei clienti adottando principi di Zero Trust.
Per altre informazioni sulle procedure consigliate chiave per proteggere le app, vedere:
- Creazione di app Microsoft con un approccio Zero Trust all'identità
- Creare app Zero Trust pronte con Microsoft Identity Platform funzionalità e strumenti
Zero Trust e Microsoft 365
Microsoft 365 è progettato con molte funzionalità di protezione delle informazioni e sicurezza per facilitare la compilazione di Zero Trust nell'ambiente. Molte delle funzionalità possono essere estese per proteggere l'accesso ad altre app SaaS usate dall'organizzazione e i dati all'interno di queste app. Per altre informazioni, vedere la distribuzione di Zero Trust per Microsoft 365.
Per informazioni sui consigli e sui concetti fondamentali per la distribuzione di criteri e configurazioni di posta elettronica, documenti e app sicure per l'accesso Zero Trust a Microsoft 365, vedere configurazioni di accesso alle identità e ai dispositivi Zero Trust.
Passaggi successivi
- Per informazioni su come migliorare le soluzioni di sicurezza integrando con i prodotti Microsoft, vedere Integrare con le soluzioni di Zero Trust Microsoft