SECURITY

Cyberwarfare senza frontiere, la nuova sfida è “zero trust”

La sicurezza informatica basata su un perimetro da difendere non è più attuabile. Serve una svolta nell’organizzazione delle reti che preveda architetture in grado di analizzare i flussi di connessione. I sistemi emergenti e la “Bubble Security” sperimentata all’Università di Pisa

20 Mag 2020
Antonio Cisternino

Università di Pisa

cybersecurity data breach

Non esistono più isole sicure: la sicurezza informatica perimetrale sta crollando sotto i colpi dell’Internet of Things che ha messo in discussione i concetti di “dentro” e “fuori” il perimetro di sicurezza.

Ecco perché un approccio “zero trust” sta conquistando proseliti.

Sicurezza perimetrale, approccio a rischio

Tutto il quadro normativo relativo agli aspetti della cybersecurity è spesso focalizzato su misure tecnologiche come firewall, SIEM, sistemi di regole e di accessi, perdendo di vista il quadro più ampio in cui i meccanismi di sicurezza devono essere inquadrati.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Il diffondersi della rete ha esposto la maggior parte dei sistemi informatici vista la loro necessità di comunicare per erogare i propri servizi. Un mondo di servizi puramente digitali eseguiti da server contenuti in un perimetro fisico e logico ben definito ha portato allo sviluppo di firewall per analizzare il traffico in ingresso e in uscita dalla propria rete al fine di trovare tentativi di uso improprio dei servizi (vedi figura).

I firewall hanno compensato i limiti dei sistemi nel difendersi da tentativi di intrusione esterna, restringendo i servizi esposti e riducendo quindi la superficie di attacco. Come spesso accade nei sistemi che hanno cicli di retroazione l’introduzione di questi meccanismi di difesa ha innescato nuovi schemi di attacco volti a sfruttarne le vulnerabilità e i flussi di comunicazione autorizzati al passaggio; ciò ha focalizzato l’attenzione sulle misure di sicurezza sul perimetro controllato dal firewall rallentando però lo sviluppo di software intrinsecamente più sicuri.

La sicurezza perimetrale ha cominciato a mostrare i suoi limiti con l’avvento del cosiddetto fenomeno dell’Internet of Things (IoT): la diffusione di sensori e dispositivi di attuazione controllati attraverso i protocolli IP ha messo in discussione i concetti di “dentro” e “fuori” il perimetro di sicurezza. Se consideriamo, ad esempio, un sistema di videosorveglianza cittadino che trasmette i dati su rete IP, i video registrati saranno memorizzati in uno storage presso un’area sicura di un datacenter (poiché si tratta di informazioni sensibili) fornendo una linea diretta tra una locazione esterna ed una interna al perimetro del datacenter. Al diffondersi di dispositivi sul territorio coordinati da software in esecuzione presso datacenter, le soluzioni dedicate per controllare questi potenziali punti di ingresso diventano sempre più inadeguate, inoltre è sempre più complesso determinare la politica di sicurezza implementata dall’organizzazione.

Evoluzione degli attacchi informatici

A questo cambiamento architetturale imposto dalla diffusione e dalla distribuzione di dispositivi nel mondo reale si sono anche affiancate nuove vulnerabilità, come ad esempio i problemi di design dei processori che si sono concretizzati in meltdown e spectre, due attacchi che sfruttano il funzionamento interno dell’esecuzione parallela di codice per accedere a dati potenzialmente sensibili arrivando a rivelare le chiavi crittografiche, elementi fondanti delle comunicazioni sicure e della firma elettronica. Questi sono solo i primi di una nuova serie di attacchi che rientrano nella categoria di attacchi noti come side channel. I vettori che possono portare questi attacchi non si limitano ai tradizionali eseguibili, ma includono anche documenti come PDF e Word, rendendo sempre più difficile la loro individuazione e di conseguenza fermarli.

La Zero Trust Architecture del NIST

Si presenta la necessità di introdurre un nuovo modello in cui gestire la sicurezza in un sistema concettuale nuovo che vada oltre alla definizione di perimetri sicuri basati su firewall che consentono una gestione della sicurezza più lasca all’interno del perimetro. Tale necessità è testimoniata dal draft 800-207 recentemente pubblicato dal National Institute of Standards and Technology americano (NIST) e intitolato Zero Trust Architecture (ZTA).

Nel rapporto la ZTA è definita come un insieme di concetti, idee, e relazioni tra componenti (architetture) volta ad eliminare l’incertezza nell’applicare in modo accurato decisioni nell’accesso in sistemi informatici e servizi.

L’idea chiave di questo modo di approcciare l’architettura della sicurezza in un sistema informatico è basata sulla distribuzione delle politiche di accesso a un sistema, posizionandosi in sostanziale antitesi con l’architettura precedente basata su un firewall di frontiera responsabile dell’applicazione delle politiche di accesso alle risorse informatiche.

La realizzazione di un’architettura distribuita per rinforzare le politiche di sicurezza in modo da assicurare che solo chi è autorizzato abbia accesso ad una particolare risorsa richiede che la definizione delle politiche e il coordinamento per la loro applicazione sia condivisa tra le varie risorse da proteggere, richiedendo un livello di integrazione software dei sistemi molto più alto rispetto a quello consentito dall’architettura perimetrale, in cui la politica è definita ed attuata centralmente dai firewall sul perimetro.

Per questo motivo la ZTA prevede una separazione tra il control plane, responsabile per la definizione delle politiche e la loro gestione, e il data plane in cui dei nodi responsabili per l’attuazione delle politiche di sicurezza mediano gli accessi da sistemi non fidati a risorse dell’organizzazione. Questo approccio è sintetizzato nella seguente figura.

Le assunzioni alla base della ZTA sono riassunte dai seguenti elementi:

  • Dati e servizi di calcolo sono considerate risorse
  • Tutte le comunicazioni si considerano sicure a prescindere dalla posizione della rete (i.e. non ci sono luoghi più fidati di altri in rete)
  • L’accesso individuale alle risorse è validato e assicurato per ciascuna connessione
  • L’accesso alle risorse è determinato dalle politiche, inclusi lo stato osservabile dell’identità dell’utente e del sistema richiedente, e possibilmente anche da altri attributi che ne determinino il comportamento
  • L’organizzazione assicura che le risorse gestite siano nello stato più sicuro possibile, anche mediante il monitoraggio continuo del loro stato di sicurezza
  • L’autenticazione dell’utente è dinamica e rigorosamente verificata prima di consentire l’accesso alle risorse

È importante sottolineare il punto 2, ovverosia l’assunzione che per definizione la rete, sia anche quella privata dell’organizzazione, non si può considerare fidata. Questo implica che anche i dispositivi dell’organizzazione stessa non si possano considerare fidati, e solo attraverso il monitoraggio continuo si possono individuare dispositivi esterni o interni potenzialmente compromessi.

Per poter realizzare un’architettura di questo tipo è necessario definire le risorse (ovverosia un insieme di uno o più nodi di calcolo interconnessi tra loro) che richiedono un Policy Enforcement Point che ne medi l’accesso per assicurare che le politiche di sicurezza siano applicate in accordo a quanto richiesto dal control plane.

L’architettura “bubble security”

Un’implementazione di questa architettura è in corso di realizzazione presso l’Università di Pisa, denominata bubble security, dove si usano firewall di livello applicativo (sia macchine fisiche che macchine virtuali) per isolare dei micro-segmenti di rete, chiamati bolle, e mediare tutte le connessioni da e verso le bolle.

Ciascuna bolla può essere connessa a una o più bolle e anche contenere bolle di sicurezza, in modo poter definire con la necessaria granularità nell’accesso alle risorse dell’organizzazione. Questa architettura è affine al modello chiamato nel documento ZTA Enclave Gateway Model, che però non prevede esplicitamente la possibilità di annidare gli elementi come in questo caso.

Il modello della bubble security di fatto elegge i firewall a gateway per mediare l’accesso alle risorse del data plane, richiedendo un software capace di orchestrare le politiche dei vari firewall per assolvere la funzione del motore di definizione delle politiche di sicurezza nel control plane.

Lo stato di implementazione del modello è piuttosto avanzato, e ad oggi si può dire che ha consentito di ridurre i sistemi compromessi e offre un monitoraggio sullo stato della rete decisamente più pervasivo grazie alla naturale capacità dei firewall di livello applicativo di analizzare i vari flussi di connessione.

È importante rilevare che l’esistenza di mediatori nell’accesso alle risorse potrebbe avere implicazioni sull’implementazione delle politiche di privacy imposte dal GDPR; tale regolamento prevede nella premessa numero 49 la possibilità di analizzare il traffico di rete con l’unico fine e in misura strettamente proporzionata di garantire la sicurezza dei dati personali custoditi e trattati dall’organizzazione.

“Liquidità” delle risorse e nuovi scenari

I modelli di sicurezza informatica basati su un perimetro da difendere da cui passano tutti gli accessi sono sempre più spesso inattuabili: il perimetro è sempre più fluido fino a scomparire essendo le risorse di un’organizzazione sempre più distribuite sia logicamente che geograficamente. È quindi necessario rivedere l’organizzazione delle proprie reti e sperimentare architetture che non assumano più l’esistenza di isole sicure.

La zero trust architecture del NIST riassume questa posizione e rappresenta sicuramente un interessante punto di partenza che sancisce principi condivisibili che aiutino a valutare lo stato dei propri sistemi e a definire un percorso che tenga conto delle nuove sfide imposte dal grande cambiamento che i sistemi informatici hanno visto negli ultimi 10 anni.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4