L'approccio classico alla difesa di una rete consisteva nel creare difese perimetrali, in genere un firewall con una qualche forma di sistema di prevenzione/rilevamento delle intrusioni (IPS/IDS).
È un approccio che ha funzionato per un po' quando c'era una chiara delimitazione tra chi era all'interno e chi era all'esterno della rete. Per i lavoratori remoti, aprire un buco attraverso il firewall con una VPN li ha portati all'interno e li ha trattati come insider con accesso completo a... tutto.
Nell'ambiente IT moderno, con i lavoratori remoti, i fornitori di terze parti, gli uffici distribuiti, la telefonia mobile e l'implementazione del cloud, il perimetro classico non esiste più. Invece, l'unità fondamentale di accesso nella maggior parte dei casi è l'identità.
Nel cloud, in particolare, l'identità è tutto.
Con un'identità, sotto forma di nome utente/password o credenziale di accesso, un utente o un dispositivo può ottenere l'accesso al servizio. Nelle mani di un aggressore, quella stessa identità garantisce lo stesso accesso.
Più volte, violazione dopo violazione, il ciclo di attacco moderno, in particolare nel cloud, inizia con l'identità. Gli aggressori cercano di ottenere l'accesso a un'identità, poi ruotano tra le risorse, scoprendo credenziali e altre identità che consentono loro di ottenere un accesso sempre maggiore per ottenere ciò che vogliono.
L'identità nell'era cloud-native non riguarda più solo un semplice ambiente Microsoft ActiveDirectory. Nell'era del cloud, dove le API sono i guardiani dell'accesso, l'identità è la totalità del piano dati, poiché si tratta di un perimetro senza rete.
In passato pensavamo a quali sistemi gli aggressori potevano controllare e dove avevano punti di presenza su una rete. Ora dobbiamo pensare a quali identità controllano e per cosa possono essere utilizzate. Perché la rete non è più un punto sicuro.
Il piano API rende banale il passaggio da un oggetto all'altro. Se ha il controllo dell'identità giusta, può trasferirsi in un'istanza di calcolo. E se può spostarsi in un'istanza che ha il controllo su un'altra identità, può spostarsi in qualsiasi cosa faccia quell'identità.
Gli attacchi possono ora essere senza rete, in un modo che non è controllato dal perimetro della rete. Non siete più al sicuro perché avete un firewall, dovete tenere conto di ciò che le vostre identità possono fare.
Cercare di proteggere le identità non è un compito facile. Le migliori organizzazioni IT dispongono di molti registri e possono potenzialmente utilizzare queste informazioni per la caccia alle minacce, alla ricerca di attività anomale. Alcune organizzazioni si avvalgono di User and Entity Behavior Analytics (UEBA) per cercare gli outlier e il potenziale abuso di identità.
Un altro approccio è quello che facciamo noi di Check Point Security. Nel modello Zero Trust, l'identità è ancora importante, ma non è una chiave scheletrica che garantisce sempre l'accesso. In ogni fase di una connessione client o host, il nostro modello di fiducia zero ha un confine di sicurezza che assicura che una richiesta sia valida e autorizzata a procedere. Invece di affidarsi a una fiducia implicita dopo che sono stati forniti il nome utente e la password corretti o il token di accesso, con la fiducia zero per definizione tutto non è attendibile e deve essere controllato prima di concedere l'accesso.
Il modello Zero Trust prevede controlli per il perimetro basato sull'identità che vanno oltre le credenziali. L'offerta di un modello di minimo privilegio, in cui l'accesso viene concesso solo per ciò che è necessario, combinato con l'uso della segmentazione, riduce ulteriormente la superficie di attacco.
Con Zero Trust, il rischio di una violazione dei dati in cui vengono rubate le identità degli utenti può essere ridotto perché le identità non sono sempre affidabili per impostazione predefinita. Nel mondo cloud-nativo basato sull'identità in cui viviamo, dobbiamo garantire la fiducia nelle identità per sapere che le nostre credenziali sono solo dove ci aspettiamo che siano e utilizzate per lo scopo previsto.
L'identità è il nuovo perimetro nel mondo cloud-nativo, e ignorare questo fatto e consentire semplicemente le credenziali senza sfida o convalida non è una buona pratica e potrebbe esporre la sua organizzazione a rischi.