Intervista ad Antonio D’Ortenzio, Senior Manager, Solutions Architecture, Amazon Web Services (AWS), sull’importanza di implementare la sicurezza Zero Trust.

In questo periodo stiamo assistendo a vari attacchi che hanno coinvolto grandi realtà e i loro clienti, in cui, a quanto pare, per accedere sono state usate credenziali sottratte o violate. Stupisce che queste credenziali non fossero protette da MFA: come mai ancora oggi l’autenticazione a più fattori non è utilizzata sempre, soprattutto da grandi aziende? Ci sono ostacoli tecnici o di usabilità?

Questi incidenti evidenziano l’importanza di adottare una strategia di sicurezza basata sui principi Zero Trust. L’architettura Zero Trust richiede una verifica e un’autenticazione continua degli utenti e dei dispositivi, indipendentemente dalla loro posizione. L’MFA rappresenta un elemento fondamentale, fornendo un livello di verifica più robusto rispetto alla semplice password.

Nonostante i vantaggi dell’MFA, la sua adozione completa non è ancora diffusa a causa di alcune sfide chiave: la complessità tecnica dell’implementazione, l’impatto sull’esperienza utente e i costi associati. Tuttavia, gli attacchi recenti dimostrano l’assoluta necessità di adottare l’MFA e Zero Trust in modo pervasivo. Noi di AWS supportiamo i clienti fornendo soluzioni sicure e user-friendly, oltre a best practice per facilitare l’adozione di Zero Trust.

Quali sono i vantaggi di una politica Zero Trust? E quali gli eventuali limiti, per esempio sull’esperienza utente? Quali differenze pratiche rispetto a un controllo accessi basato sul rischio?

L’adozione di Zero Trust migliora la postura di sicurezza riducendo la superficie di attacco, facilita l’adozione del cloud in modo sicuro, aiuta ad allinearsi alla conformità normativa e consente una risposta più efficiente agli incidenti grazie al monitoraggio continuo. Questo può impattare l’esperienza utente a causa di controlli più rigorosi come l’MFA obbligatoria. Inoltre, l’integrazione di tutti i componenti Zero Trust può essere tecnicamente complessa, soprattutto per le aziende con legacy tecnologici.

A differenza di un controllo accessi basato sul rischio, Zero Trust si basa su verifica e autorizzazione continua, indipendentemente dalla posizione dell’utente, fornendo un livello di protezione superiore pur richiedendo un maggiore sforzo di implementazione.

Il fatto che soluzioni come Zero Trust siano complesse da implementare può frenarne l’adozione? La protezione degli accessi per una PMI può essere costosa e richiede delle competenze specifiche, non sempre presenti in azienda: come si può ovviare a questo problema, soprattutto in Italia, dove le PMI costituiscono la maggior parte del tessuto imprenditoriale?

La complessità nell’implementare soluzioni come Zero Trust può rappresentare un ostacolo alla loro adozione, specialmente per le piccole e medie imprese che spesso dispongono di risorse IT limitate. Tuttavia, AWS riconosce questa sfida e offre una serie di servizi gestiti a basso costo progettati per semplificare l’implementazione di una sicurezza avanzata seguendo i principi Zero Trust.

Ad esempio, AWS Cognito, AWS Key Management Service (KMS) e AWS Web Application Firewall (WAF) sono servizi che consentono di implementare in modo semplificato funzionalità come la gestione delle identità, la crittografia dei dati e la protezione delle applicazioni web, elementi cruciali di un’architettura Zero Trust. Inoltre, AWS mette a disposizione altri servizi che facilitano l’adozione di Zero Trust, come VPC Lattice per l’autenticazione machine-to-machine nei microservizi, AWS Verified Access per l’autenticazione human-to-application basata sull’identità dell’utente e la postura di sicurezza del dispositivo, e Amazon Session Manager per accedere in modo sicuro alle istanze EC2.

AWS fornisce anche una suite completa di servizi di sicurezza e logging che permettono di monitorare e controllare l’ambiente in modo continuo, un aspetto fondamentale di Zero Trust. Servizi come Amazon Verified Permissions consentono di separare la gestione delle autorizzazioni dalla logica applicativa, combinando il controllo degli accessi basato sui ruoli (RBAC) e quello basato sugli attributi (ABAC). Infine, per affrontare la sfida delle competenze, AWS offre programmi di formazione mirati a sviluppare le conoscenze necessarie per implementare strategie di sicurezza avanzate come Zero Trust. Inoltre, l’azienda vanta un vasto ecosistema di partner locali che possono integrare e fornire soluzioni Zero Trust personalizzate per le esigenze specifiche delle aziende.

Quali consigli date per implementare una strategia di controllo e protezione accessi efficace?

Alcune best practice fondamentali includono: verifica e autenticazione continua di utenti, dispositivi e identità; applicazione del principio dei minimi privilegi necessari; micro-segmentazione della rete con controlli di accesso rigorosi; monitoraggio continuo e risposta automatizzata agli incidenti; autorizzazione centralizzata che valuta il contesto completo prima di concedere accessi.

È anche importante promuovere una cultura aziendale orientata alla sicurezza e adottare un approccio graduale nell’implementazione di Zero Trust. L’obiettivo è proteggere identità e dati in modo rigoroso pur mantenendo un’esperienza utente accettabile.