Zero Trust sempre e ovunque: così Zscaler protegge tutto, dall'IA all'IoT, passando per le reti OT

Le reti private sono state a lungo uno dei paradigmi della sicurezza, ma gestirne l’accesso in maniera sicura è un problema non trascurabile. E le soluzioni tradizionali, come le VPN e le SD-WAN, stanno iniziando a mostrare i loro limiti. Non sono infatti totalmente sicure, e spesso nemmeno semplici da implementare, mantenere e gestire. “Dobbiamo pensare out of the box”, afferma Jay Chaudhry, fondatore e CEO di Zscaler, durante il keynote di apertura di Zenith Live, evento che l’azienda ha organizzato per i suoi partner e al quale era presente anche Edge9. La soluzione per l’azienda è lo Zero Trust. Anzi, più precisamente, lo Zero Trust Everywhere, un approccio che estende e rafforza il concetto di Zero Trust, semplificando allo stesso tempo la vita ai sistemisti e agli utenti aziendali.

Numerose le novità, sia di software sia di prodotto, che includono anche la soluzione Zscaler AI Guard per la protezione delle applicazioni di IA e Zscaler Cellular Network, per mettere in sicurezza le comunicazioni che passano dagli smartphone aziendali.

Zero Trust Everywhere, nuove soluzioni per proteggere tutti gli asset aziendali: IT, OT, IoT, IA

L’approccio Zero Trust si basa su un concetto molto semplice: non fidarsi di nessuno, né umano né app, e di conseguenza verificare costantemente l’identità di chi richiede gli accessi, garantendo sempre solo i privilegi minimi necessari per svolgere specifiche operazioni. Che significa in pratica? Che nei sistemi tradizionali è sufficiente avere le credenziali per accedere alla rete per avere poi accesso alle risorse e ai servizi su di essa; nel modello zero trust, invece, non viene dato accesso a nulla se non si forniscono le giuste credenziali per ciascun servizio o risorsa, e in ogni caso si effettuano costantemente controlli tenendo conto di numerosi parametri.

Un esempio di controllo che viene effettuato è quello dei fattori contestuali: ad esempio, se un utente aziendale si connettesse tramite il suo smartphone ai sistemi IT a orari strani, come nel cuore della notte, e magari da un Paese diverso da quello di residenza, partirebbero subito degli allarmi che imporrebbero ulteriori verifiche della sua identità. Con Zero Trust Everywhere, Zscaler estende questo modello a ogni livello: non solo controllo degli utenti, ma anche delle singole applicazioni, dei dispositivi, IoT inclusi, della porzione OT dell’infrastruttura e, inevitabilmente dell’intelligenza artificiale.

Per garantire la sicurezza, tutti i dati transitano per il cloud di Zscaler, una rete di data center distribuita a livello globale. In Europa sono 25, tutti conformi alle normative europee come DORA e GDPR. Sotto questo profilo, tra l’altro, Zscaler si distingue dalla maggior parte degli altri provider cloud, inclusi gli hyperscaler: “non salviamo alcun dato”, afferma Casper Klynge, VP & Head of EMEA Government Parnership. Le informazioni si limitano a transitare sul cloud della multinazionale, ma niente viene salvato, a eccezione dei log. “Credo che nessun’altra azienda possa affermare di non salvare alcun dato dei clienti”, sottolinea Klynge, aggiungendo che l’intenzione di Zscaler è quella di raddoppiare i data center europei, anche a livello di singoli Paesi.

Ma quali sono le novità proposte dall’azienda per lo Zero Trust? Iniziamo con l’hardware, con l’annuncio di un’appliance unificata per lo Zero Trust Branch, un dispositivo che nasce per mettere in sicurezza le comunicazioni fra le varie sedi aziendali, segmentando anche le reti interne, per esempio suddividendo e separando totalmente la porzione IT da quella OT senza dover richiedere ai team IT di configurare VLAN o altre soluzioni più complesse. Fra i vantaggi di Zero Trust Branch il fatto che è in grado di proteggere anche i dispositivi legacy, come i macchinari industriali con molti anni sulle spalle, o le soluzioni che per essere controllate richiedono necessariamente l’uso di PC con sistemi operativi obsoleti e insicuri, per esempio Windows 7 che, per quanto potrà sembrare strano a qualcuno, è ancora utilizzatissimo e indispensabile nel mondo dell’industria. Un altro punto di forza di Zero Trust Branch è che può essere installato senza interrompere l’operatività, un aspetto chiave in settori come il manifatturiero, dove fermare la produzione ha dei costi significativi. Molto utile la funzione che consente di creare dei jumpbox usa e getta, così da consentire accesso temporaneo ai sistemi aziendali anche ad aziende esterne come partner e fornitori.

Passando al software, Zscaler ha reso disponibile Zero Trust Gateway, un servizio in esecuzione su AWS che protegge i carichi di lavoro aziendali eseguiti sul cloud. Anche in questo caso, è la semplicità di utilizzo a fare da padrona, tanto che bastano 10 minuti per configurarlo, senza dover installare agenti o macchine virtuali. Secondo l’azienda, Zero Trust Gateway rafforza la sicurezza negli ambienti ibridi e multi-cloud, permettendo alle aziende di ridurre la superficie di attacco associata ai firewall, eliminare la complessità e proteggere le comunicazioni tra workload. Un’altra soluzione progettata per mettere in sicurezza i carichi di lavoro in cloud è Zscaler Microsegmentation, È una soluzione di microsegmentazione basata su host che suddivide l’infrastruttura di rete in segmenti più piccoli e gestibili, applicando regole di sicurezza a ciascuno di essi e concedendo solo l'accesso essenziale. In pratica, estende l'architettura Zero Trust per segmentare i carichi di lavoro sia nei cloud pubblici sia nei data center on-premise e garantisce che anche nel caso di violazione di un singolo segmento, gli altri rimangano protetti e isolati. Offre numerose funzionalità, a partire dal rilevamento automatico degli asset di rete, di cui garantisce anche totale visibilità, a suggerimenti sulle policy da applicare per ogni singolo host.

Zero Trust Exchange for B2B, infine, è una nuova soluzione che sarà disponibile a breve e che consente di condividere in maniera sicura le applicazioni aziendali con partner e fornitori.

Zscaler Cellular: SIM Zero Trust per una connettività ultrasicura

Sempre più dispositivi aziendali sono connessi, e non parliamo solamente degli smartphone o dei notebook dei dipendenti. L’IoT è ormai diffuso in aziende di ogni tipo, a partire dal manifatturiero per arrivare alla logistica, ma anche al mondo bancario: pensiamo per esempio ai POS o agli ATM (quelli che erroneamente spesso sono definiti “bancomat”) mobili, che pur poco diffusi in Italia sono presenti all’interno di molti negozi in Europa e altre parti del mondo. Sino a che questi dispositivi sono connessi a una rete aziendale, è possibile applicare i criteri di sicurezza generici. Ma quando si connettono tramite SIM, si aprono potenziali falle di sicurezza. Zscaler Cellular affronta questo problema con un approccio radicale: invece di installare agenti sui dispositivi, cosa non sempre possibile tra l’altro, si offrono agli utenti delle SIM o delle eSIM progettate per garantire una maggiore sicurezza. “Il modello cellulare di Zscaler è gestito da noi end-to-end, inclusa la connettività. Abbiamo oltre 500 collaborazioni a livello globale e operiamo in 174 Paesi, Abbiamo almeno due reti in ogni Paese a livello globale a cui forniamo accesso”, afferma Daan Huybregts, Head of Innovation di Zscaler Cellular.

Appoggiarsi alla SIM offre una serie di vantaggi non indifferenti: prima di tutto, consente di fare geofencing. Un esempio classico è quello degli ATM mobili: con il 5G, la precisione di localizzazione tramite rete è nell’ordine di un paio di metri. Se qualcuno tenta di trainare l’ATM e spostarlo dalla sua sede per poi cercare di forzarlo in un luogo tranquillo, il movimento verrà subito rilevato, fatto che consentirà di far partire tutti gli allarmi e le segnalazioni del caso. Lo stesso vale per qualsiasi dispositivo dotato di SIM, dai POS ai palmari usati dai corrieri per le consegne a domicilio. Ma possiamo aggiungere anche veicoli e ogni tipo di asset fisico.

Il sistema è anche compatibile con l’approccio BYOD, Bring your own device: “Supportiamo i dispositivi personali dei lavoratori. Per farlo, abbiamo costruito un'integrazione con gli orologi marcatempo. Quando un dipendente entra al mattino, scansiona il badge all'orologio marcatempo e viene visualizzato un codice QR che verrà scansionato con il loro telefono personale. Verrà quindi generata una eSIM che funzionerà per la durata del turno, applicando le policy aziendali. Alla fine del turno, o allo scadere di un lasso temporale, o quando ci si allontana dal posto di lavoro, la eSIM si autodistrugge”, afferma Huybregts.

L’IA e Zscaler

L’intelligenza artificiale è ormai adottata da moltissime aziende. Spesso, anche a loro insaputa, dato che in molti casi – in assenza di regole chiare e condivise con tutta la forza lavoro sull’uso delle applicazioni di IA – sono i dipendenti stessi a prendere l’iniziativa e usare ChatGPT, Gemini, Copilot o simili nel loro lavoro. Una sorta di shadow IT, insomma, dove per shadow IT si intendono quei prodotti o servizi collegati dagli utenti alla rete senza l’esplicito consenso degli amministratori di rete, per esempio l’uso di non autorizzato di Dropbox per condividere documenti.

La piattaforma di Zscaler è in grado di intercettare l’utilizzo delle applicazioni di IA pubblica, come appunto ChatGPT, filtrando le query e bloccando i prompt che violano le policy aziendali.  Non solo: anche l’IA privata è al sicuro, dato che la piattaforma è in grado di proteggerla da tentativi di attacco, per esempio quelli basati su tecniche di prompt injection.

L’IA è infine integrata nella piattaforma di Zscaler e consente di classificare automaticamente i dati. Fra le ultime novità della piattaforma dell’azienda il motore di automazione  della segmentazione utente – applicazione, basato su IA progettato per semplificare la gestione delle applicazioni, il loro raggruppamento e i processi di segmentazione basati sull’identità utente. Secondo Zscaler, questa funzionalità accelera di molto i processi di segmentazione, permettendo di migliorare rapidamente il livello di sicurezza aziendale. E di risparmiare sui costi: “con l'ausilio degli strumenti di IA di Zscaler Zero Trust Exchange, alcuni nostri clienti sono stati in grado di intercettare l'apertura di centinaia di ticket e quindi di andare a risparmiare su quelle che sono le attività di SoC”, spiega Elena Accardi, Area Director Italy di Zscaler. Che ci racconta anche di come la filiale italiana dell’azienda stia raggiungendo ottimi risultati, con una crescita del 30% del fatturato anno su anno. “Questo ci spinge a pensare che c'è una consapevolezza diversa rispetto soltanto a un paio d'anni fa, quando il tema della cloud security si iniziava a discutere sui tavoli dei CISO”.