Le migliori pratiche per l'autenticazione a fiducia zero

In un'architettura a fiducia zero, la fiducia intrinseca nella rete viene eliminata. La rete viene invece classificata come ostile e ogni richiesta di accesso viene controllata in base a una politica di accesso. Un'efficace struttura a fiducia zero combina diversi strumenti e strategie e si basa su una regola d'oro: non fidarsi di nessuno. Invece, ogni entità (persona, dispositivo o modulo software) e ogni richiesta di accesso alle risorse tecnologiche deve fornire informazioni sufficienti per guadagnarsi la fiducia. Se l'accesso viene concesso, si applica solo alla risorsa specifica necessaria per eseguire un compito e solo per un periodo di tempo limitato.

Il ruolo dell'autenticazione zero trust

Poiché l'autenticazione multifattoriale (MFA) tradizionale basata su password può essere facilmente sfruttata dai criminali informatici, un approccio zero-trust efficace richiede una forte convalida dell'utente attraverso una MFA senza password e resistente al phishing. Inoltre, è necessario stabilire la fiducia nel dispositivo endpoint utilizzato per accedere alle applicazioni e ai dati. Se le organizzazioni non possono fidarsi dell'utente o del suo dispositivo, tutti gli altri componenti di un approccio zero-trust sono inutili. L'autenticazione è quindi fondamentale per il successo di un'architettura zero-trust, in quanto impedisce l'accesso non autorizzato a dati e servizi e rende l'applicazione del controllo degli accessi il più granulare possibile. In pratica, l'autenticazione deve essere il più agevole possibile, in modo che gli utenti non la aggirino e non bombardino l'helpdesk con richieste di assistenza.

I vantaggi dell'autenticazione senza password

La sostituzione dell'MFA tradizionale con metodi di autenticazione forti e senza password consente ai team di sicurezza di costruire il primo livello della loro architettura a fiducia zero. Sostituendo le password con chiavi basate su FIDO che utilizzano la crittografia asimmetrica e combinandole con una biometria sicura basata sul dispositivo, si ottiene un approccio MFA resistente al phishing. Gli utenti vengono autenticati dimostrando di possedere il dispositivo registrato, che è legato crittograficamente alla loro identità, attraverso una combinazione di autenticazione biometrica e transazione crittografica asimmetrica. La stessa tecnologia è utilizzata nel Transaction Layer Security (TLS), che garantisce l'autenticità di un sito web e stabilisce un tunnel crittografato prima che gli utenti si scambino informazioni sensibili, ad esempio nell'online banking.
Questo metodo di autenticazione forte non solo fornisce una protezione significativa contro gli attacchi informatici, ma può anche ridurre i costi e le attività amministrative associate alla reimpostazione e al blocco delle password con gli strumenti MFA tradizionali. Soprattutto, i vantaggi a lungo termine sono rappresentati dal miglioramento del flusso di lavoro e della produttività del personale, in quanto l'autenticazione è progettata per essere particolarmente semplice e senza attriti.

I requisiti dell'autenticazione a fiducia zero in sintesi

È importante che le aziende che desiderano implementare un quadro di fiducia zero si occupino dell'autenticazione il prima possibile. Nel farlo, dovrebbero prestare attenzione ai seguenti punti:

1. forte convalida dell'utente: Un fattore importante per confermare l'identità dell'utente è la prova della proprietà del dispositivo assegnatogli. Questa viene fornita quando l'utente autorizzato si autentica in modo verificabile sul proprio dispositivo. A questo scopo, l'identità del dispositivo è legata in modo crittografico all'identità dell'utente. Questi due fattori eliminano le password o altri segreti crittografici che i criminali informatici possono recuperare da un dispositivo, intercettare in rete o carpire dagli utenti attraverso l'ingegneria sociale.

2. una forte convalida del dispositivo: Con la convalida forte dei dispositivi, le organizzazioni impediscono l'uso di dispositivi BYOD non autorizzati, concedendo l'accesso solo a dispositivi noti e affidabili. Il processo di convalida verifica che il dispositivo sia legato all'utente e che soddisfi i necessari requisiti di sicurezza e conformità.

3. autenticazione semplice per utenti e amministratori: Le password e l'MFA tradizionale richiedono molto tempo e incidono sulla produttività. L'autenticazione senza password è facile da implementare e gestire e verifica gli utenti in pochi secondi tramite uno scanner biometrico sul loro dispositivo.

4. integrazione con gli strumenti di gestione e sicurezza IT: La raccolta di quante più informazioni possibili su utenti, dispositivi e transazioni è molto utile per decidere se concedere l'accesso. Un motore di policy zero-trust richiede l'integrazione di fonti di dati e altri strumenti software per prendere decisioni corrette, inviare avvisi al SOC e condividere dati di log affidabili a scopo di auditing.

5. motori di policy avanzati: L'implementazione di un motore di policy con un'interfaccia di facile utilizzo consente ai team di sicurezza di definire policy quali livelli di rischio e punteggi di rischio che controllano l'accesso. I motori di policy automatizzati aiutano ad acquisire i dati da decine di migliaia di dispositivi, compresi i dispositivi multipli del personale interno e dei fornitori di servizi esterni. Poiché in molte situazioni è utile utilizzare i punteggi di rischio invece dei dati grezzi, il motore deve anche accedere ai dati di una serie di strumenti di gestione e sicurezza IT. Una volta raccolti, il motore dei criteri valuta i dati e intraprende l'azione specificata nel criterio, ad esempio approvando o bloccando l'accesso o mettendo in quarantena un dispositivo sospetto.

La tradizionale autenticazione a più fattori basata su password è ormai un ostacolo molto basso per gli aggressori. Un processo di autenticazione resistente al phishing e privo di password è quindi un componente chiave di un framework a fiducia zero. Questo non solo riduce significativamente i rischi di cybersecurity, ma migliora anche la produttività dei dipendenti e l'efficienza del team IT.