Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In un'architettura Zero Trust, la rete non viene più considerata come un limite attendibile. Diventa invece un livello di trasporto in cui ogni connessione deve essere verificata, autorizzata e monitorata in modo esplicito. Il pilastro "Network" è incentrato sulla protezione dell'accesso alle applicazioni e alle risorse applicando controlli basati sull'identità e sul contesto, segmentando la connettività e riducendo al minimo la possibilità per gli aggressori di muoversi lateralmente.
Le linee guida sui pilastri della rete sono incentrate sullo spostamento del controllo di accesso lontano dal perimetro e più vicino alle applicazioni e alle risorse. Sottolinea la verifica di ogni connessione tramite segnali di identità e dispositivo, l'applicazione dell'accesso con privilegi minimi tramite la segmentazione e l'assunzione di violazioni limitando l'esposizione e limitando lo spostamento laterale.
Implementazione del workshop
Il workshop Network illustra le aree di implementazione riepilogate nella tabella.
| Area | Dettagli |
|---|---|
| Implementa Zero Trust Network Access (ZTNA) per le applicazioni | Sostituire l'attendibilità implicita nella rete aziendale con decisioni relative all'identità e all'accesso basato sul contesto. Connettere gli utenti direttamente alle applicazioni usando controlli di accesso in grado di riconoscimento delle identità e valutare continuamente le sessioni in base all'identità, al comportamento del dispositivo, ai segnali di rischio e alla posizione. |
| Abilitare l'accesso privato sicuro alle applicazioni interne | Fornire l'accesso alle applicazioni interne e private senza esponerle alla rete Internet pubblica. Usare proxy dell'applicazione e gateway con riconoscimento delle identità per eliminare l'accesso a livello di rete e ridurre la superficie di attacco. |
| Proteggere l'accesso a Internet in uscita | Usare un gateway Web sicuro (SWG) o controlli simili recapitati dal cloud per controllare, filtrare e controllare il traffico in uscita. Applicare criteri in base all'identità utente, allo stato del dispositivo e al rischio per impedire l'accesso a destinazioni dannose o inappropriate. |
| Proteggere le applicazioni e gli endpoint con connessione Internet | Ridurre l'esposizione di applicazioni e servizi pubblici applicando protezioni a più livelli contro attacchi a livello di applicazioni, protocolli e applicazioni. Usare il filtro del traffico, l'ispezione delle richieste, i controlli della frequenza e la mitigazione automatizzata per migliorare la resilienza e la disponibilità. |
| Segmentare le reti e l'accesso alle applicazioni | Implementare la segmentazione e la micro-segmentazione in ambienti locali e cloud per limitare la connettività tra utenti, dispositivi e applicazioni. Limitare lo spostamento laterale concedendole l'accesso solo alle risorse autorizzate in modo esplicito. |
| Crittografare e proteggere tutto il traffico di rete | Assicurarsi che tutto il traffico, interno, esterno e est-ovest, sia crittografato in transito. Usare protocolli sicuri e gateway con riconoscimento delle identità per mantenere la riservatezza e l'integrità delle comunicazioni. |
| Avvicinare l'applicazione dei controlli alle applicazioni e ai dati | Spostare l'applicazione dai controlli perimetrali tradizionali ai controlli a livello di applicazione e con riconoscimento delle identità. Utilizzare proxy inversi, gateway applicativi e controlli basati sulle sessioni per far rispettare i criteri nel punto di accesso. |
| Migliorare la visibilità della rete e il monitoraggio continuo | Ottenere visibilità sul traffico di rete, i modelli di accesso alle applicazioni e l'attività degli utenti. Monitorare continuamente le sessioni e analizzare i log dai controlli di rete, dai gateway e dai limiti di segmentazione per rilevare anomalie e supportare l'analisi. |
| Integrare i segnali di rete nelle operazioni di sicurezza (SecOps) | Inserire dati di telemetria di rete, eventi di accesso e analisi del traffico in sistemi di monitoraggio e risposta centralizzati. Correlare l'attività di rete con i segnali di identità, dispositivo, dati e infrastruttura per rilevare le minacce, analizzare gli eventi imprevisti e rispondere a comportamenti sospetti. |
Valutare lo stato della rete
Lo strumento Zero Trust Assessment può valutare la configurazione di rete in base a una serie di procedure consigliate per la sicurezza. Scopri di più.
Passaggi successivi
Eseguire una valutazione e iniziare il workshop sulla rete.