Guida alla sicurezza unificata

Accesso sicuro: una soluzione di sicurezza Zero Trust unificata e distribuita dal cloud

Guida completa alla sicurezza

In un contesto in cui le aziende passano a modelli di lavoro ibrido dove gli utenti finali, compresi dipendenti, collaboratori temporanei e partner, possono lavorare ovunque, i reparti IT devono adattarsi correttamente per fornire ai loro utenti finali un’esperienza di lavoro semplice, sicura e produttiva.

A tale scopo, le aziende stanno migrando i dati e le applicazioni legacy sempre più sul cloud e stanno sviluppando nuove applicazioni per il cloud, incluse le applicazioni SaaS (Software-as-a-Service). Molti reparti IT stanno anche consentendo ai dipendenti di accedere a queste risorse aziendali utilizzando i propri dispositivi e le reti remote, nel tentativo di offrire flessibilità per garantire la produttività.

Ma mentre le aziende passano al cloud e adottano policy bring your own device (BYOD) per aiutare a ottimizzare i flussi di lavoro remoto, le soluzioni di sicurezza basate su appliance, come Secure Web Gateway (SWG), Web App Firewall (WAF) e Virtual Private Network (VPN), stanno diventando obsolete. Per via di un’infrastruttura rigida, queste soluzioni portano a un’esperienza dell’utente finale decisamente insoddisfacente, a un comportamento di sicurezza vulnerabile e a una mancanza di scalabilità.

Oggi che sempre più dipendenti lavorano in remoto, e che le applicazioni continuano a passare al cloud, i reparti IT devono guardare oltre le soluzioni di sicurezza basate su appliance per garantire che le loro risorse e gli utenti finali rimangano produttivi e protetti. Fortunatamente, una soluzione di accesso sicuro e unificato offerta da Citrix offre una sicurezza distribuita dal cloud basata su principi Zero Trust. Inoltre, segue l’architettura SASE e consente alle aziende di modernizzare rapidamente l’IT, fornendo al contempo un modo più agile ed efficace per ridurre le vulnerabilità della sicurezza e offrire la migliore esperienza per l’utente finale.

Prima di passare ad analizzare ciò che comporta una soluzione di accesso sicuro e unificato, diamo un’occhiata più da vicino alle insidie dei sistemi di sicurezza IT basati su appliance.

La soluzione Citrix di accesso sicuro e unificato distribuita dal cloud

Le insidie dei sistemi di sicurezza IT basati su appliance

Le soluzioni di sicurezza esistenti, basate su appliance e in locale, come SWG, WAF e VPN, non possono proteggere efficacemente i dati o le applicazioni nel cloud, in quanto sono vincolate dalle loro distribuzioni fisiche e dalle rigide policy di sicurezza. Inoltre, implementano il backhauling del traffico di utenti e applicazioni attraverso reti di datacenter già congestionate e sono difficili da adattare. Questo genera una latenza che porta a una scarsa esperienza dell’utente finale, nonché a un comportamento di sicurezza incompleto che espone le applicazioni agli attacchi moderni.

In questa fase di passaggio al cloud, anche l’impiego di un mix di soluzioni di accesso Zero Trust e distribuite dal cloud comporta una scarsa esperienza utente. Nello specifico, attualmente gli utenti finali devono utilizzare vari meccanismi per accedere alle applicazioni in ambienti ibridi o multi-cloud. Questo non solo fornisce un’esperienza utente insoddisfacente, ma significa anche che i reparti IT sono costretti a definire policy di sicurezza e strumenti di monitoraggio separati tra loro. Poiché questa struttura a compartimenti stagni presenta lacune nell’ambiente di sicurezza, le aziende potrebbero essere esposte ai vettori di attacco moderni che portano ad accessi non autorizzati, nonché a vari malware e minacce zero-day che possono passare inosservati per mesi.

Se prendiamo il caso dei dipendenti che utilizzano dispositivi personali e BYO su reti pubbliche per accedere alle applicazioni aziendali nel cloud, notiamo che molti reparti IT faticano a fornire il giusto comportamento di sicurezza contro gli attacchi a livello di applicazione attraverso le soluzioni basate su appliance. Sfortunatamente, le soluzioni come le VPN incontrano difficoltà nel rilevare se i contenuti dannosi vengono trasferiti all’infrastruttura applicativa aziendale.

Anche per i dispositivi gestiti dall’azienda emergono aspetti negativi, quando i carichi di lavoro vengono spostati sul cloud. Questi dispositivi vengono spesso utilizzati per accedere agli URL Internet per uso personale, nonché per svolgere attività lavorative. Poiché il reparto IT non ha visibilità su tutte le applicazioni e i contenuti a cui accedono gli utenti finali, le informazioni personali identificabili (PII) possono essere facilmente compromesse.

L’approccio tradizionale a “castello con fossato”

Le tradizionali soluzioni di sicurezza basate su appliance (come VPN e SWG) sono state progettate per proteggere i dati archiviati in locale e gli utenti sulla rete aziendale. Queste soluzioni si basavano sul principio di un fossato che circondava un castello per proteggere tutto il suo contenuto. Ma poiché le risorse preziose del castello (ovvero l’utente, i dati e le applicazioni) sono state spostate al di fuori, il fossato rappresenta un modo inefficace per garantire la sicurezza. Man mano che le applicazioni e i dati si spostano sul cloud e un numero maggiore di utenti lavora in remoto, questo approccio prevede il backhauling di tutto il traffico degli utenti nel datacenter per applicare i controlli di sicurezza. Per un utente che lavora da una posizione remota e accede alle applicazioni nel cloud, questo introduce latenza e offre un’esperienza dell’utente finale insoddisfacente.

La sicurezza tradizionale

Un metodo tradizionale per garantire la sicurezza delle applicazioni si basa sul principio di fidarsi implicitamente di qualcosa di noto, come un dipendente dell’azienda o un URL di una whitelist. Ciò significa che quando un dipendente si connette a una rete aziendale, può accedere a tutte le applicazioni e i dati all’interno di tale rete. Che si tratti di un utente finale, di un URL di una whitelist o di un dispositivo gestito, questa nozione di “fiducia implicita” viene sfruttata da vari attacchi informatici moderni che possono avvalersi di credenziali compromesse per ottenere un accesso non autorizzato, infettare gli URL di una whitelist con contenuti dannosi per infettare ulteriormente l’infrastruttura IT o utilizzare un dispositivo rubato o compromesso per accedere alle informazioni e impadronirsi della proprietà intellettuale.

Le complessità delle infrastrutture preesistenti

La maggior parte delle organizzazioni moderne dispone di infrastrutture estremamente complesse che sono costituite da applicazioni, sistemi e reti distribuiti in vari ambienti IT, tra cui datacenter in locale, cloud pubblici e cloud privati. Questo ha portato le organizzazioni a dover mantenere un complicato stack di sicurezza informatica che può raggiungere fino a 75 strumenti di rilevamento delle minacce.

La gestione di ciascuno di questi strumenti di rilevamento delle minacce può essere problematica, impegnativa e costosa, soprattutto in un contesto di crescita di un’organizzazione. Per configurare e monitorare correttamente questi strumenti, il reparto IT può impiegare giorni (o addirittura settimane e mesi). Un aspetto ancora peggiore è che l’adozione di un approccio alla sicurezza a compartimenti stagni può portare a configurazioni e informazioni incongruenti, nonché a una confusione generale per i membri del reparto IT. Tutto questo può essere molto problematico per un’organizzazione, poiché le minacce moderne stanno diventando più sofisticate e in un’architettura a compartimenti stagni richiedono più tempo per il rilevamento e la mitigazione.

Una protezione insufficiente contro gli attacchi moderni

Dato che le applicazioni passano a piattaforme ospitate sul cloud e vengono distribuite in più posizioni, è sempre più importante proteggerle dalle minacce moderne a livello di applicazioni e API come gli attacchi DDoS (Distributed Denial of Service) e i bot, il cross site scripting (XSS), gli attacchi SQL injection e gli abusi delle applicazioni. Molte applicazioni moderne e rivolte ai consumatori archiviano molti dati sugli utenti e informazioni personali identificabili, pertanto proteggerle è più importante che mai.

Le soluzioni preesistenti in locale non possono sempre mitigare completamente gli attacchi DDoS, specialmente se l’attacco arriva su larga scala, come un attacco DDoS volumetrico. Poiché le appliance in locale presentano limiti di adattabilità, questi attacchi possono facilmente sovraccaricare una soluzione basata su appliance. Pertanto, è necessario bloccare questi tipi di attacchi sull’edge prima che entrino nella rete, soprattutto quando vengono distribuite più applicazioni nel cloud.

Una mancanza di visibilità sulle violazioni della sicurezza

Le soluzioni di sicurezza, come gli SWG in locale, eseguono il backhauling di tutto il traffico legato a Internet attraverso il datacenter. Ciò significa che i controlli di sicurezza sul traffico in uscita o proveniente da Internet non vengono applicati in tempo reale. Questo perché è necessario portarlo nel datacenter per un’ulteriore ispezione da parte di motori di prevenzione della perdita di dati (DLP) in locale. Se si verifica una violazione, la minaccia non può essere rilevata presso l’edge. Inoltre, poiché i controlli DLP non sono maggiormente vicini alle applicazioni cloud dell’organizzazione, le minacce o le violazioni della sicurezza non vengono rilevate in tempo reale.

La carenza di competenze IT

La carenza di competenze IT sta frenando molte organizzazioni, obbligandole a continuare a utilizzare e gestire tecnologie di sicurezza obsolete basate su appliance e a compartimenti stagni. Il settore IT è anche soggetto a molto attrito, soprattutto nell’ambito della sicurezza informatica. Ciò è dovuto principalmente al fatto che i reparti IT cercano di diversificare le loro conoscenze, ma si scontrano con opportunità formative insufficienti nelle loro organizzazioni preesistenti.

Cos’è una soluzione di accesso sicuro e unificato?

A differenza delle strategie di sicurezza basate su appliance o su più fornitori distribuite in vari ambienti IT, una soluzione di accesso sicuro e unificato fornisce una sicurezza distribuita dal cloud basata sullo Zero Trust attraverso un singolo stack di sicurezza completamente gestito. Questo non solo aiuta a proteggere gli utenti finali, le applicazioni, i dispositivi e l’infrastruttura sottostante di un’organizzazione, ma consente anche agli amministratori IT di gestire la sicurezza di tutte le applicazioni, i desktop e i dati a livello aziendale tramite un unico piano di gestione unificato.

Una soluzione Citrix di accesso sicuro e unificato garantisce una visibilità olistica e controlli di monitoraggio su tutte le applicazioni, i cloud e i dispositivi attraverso una dashboard di monitoraggio unificato. Ciò consente al reparto IT di offrire una sicurezza trasparente e in tempo reale, nonché la migliore esperienza possibile per l’utente finale per un ambiente di lavoro sicuro e ibrido.

Tre vantaggi di una soluzione di accesso sicuro e unificato

1. Offre un ambiente di lavoro ibrido sicuro e produttivo

Grazie a una soluzione di accesso sicuro e unificato, i reparti IT possono proteggere facilmente l’accesso degli utenti finali nel caso di una forza lavoro ibrida. Grazie alla sicurezza unificata e all’accesso adattivo per tutte le applicazioni e i desktop web, virtuali e SaaS, questa soluzione fornisce un ambiente di lavoro sicuro, semplice e produttivo per i dipendenti remoti, con la flessibilità di utilizzare qualsiasi dispositivo e di lavorare ovunque. Questo non solo garantisce la continuità del monitoraggio e degli assessment dell’attività dell’utente, oltre all’applicazione automatica di policy di sicurezza, ma contribuisce anche a proteggere i dati dal furto a causa di un uso improprio o di un errore dell’utente, indipendentemente dal fatto che tali dati siano archiviati in applicazioni autorizzate o meno.

2. Modernizza l’IT e promuove la trasformazione digitale

Una soluzione di accesso sicuro e unificato consente ai team IT di modernizzare la propria infrastruttura e di promuovere la trasformazione digitale della propria organizzazione attraverso una piattaforma Zero Trust distribuita dal cloud. Una soluzione di accesso sicuro e unificato fornisce policy di sicurezza adattive e intelligenti per aiutare l’IT a semplificare le policy di sicurezza, a creare un’esperienza dell’utente finale ottimizzata, nonché a seguire e monitorare le attività degli utenti su tutte le applicazioni, i dispositivi e le posizioni attraverso una dashboard centralizzata.

Inoltre, una soluzione di accesso sicuro e unificato affidabile garantisce anche un ricco ecosistema di integrazioni tecnologiche che protegge gli attuali investimenti nell’infrastruttura di sicurezza, consentendo alle organizzazioni di definire il proprio percorso verso l’implementazione di un’architettura SASE (Secure Access Service Edge) distribuita dal cloud. Inoltre, elimina il sovraccarico a livello operativo legato all’installazione e alla gestione di soluzioni fisiche basate su appliance.

3. Previene le minacce alla sicurezza informatica e riduce i rischi

Una soluzione di accesso sicuro e unificato non solo riduce i rischi per i lavoratori remoti, ma argina anche le minacce contro dispositivi, dati aziendali, applicazioni e API.

Sostituendo le tradizionali soluzioni di sicurezza VPN e SWG con una soluzione distribuita dal cloud basata sullo Zero Trust, le organizzazioni possono fornire un accesso condizionale alle applicazioni. Inoltre, è possibile proteggere le credenziali degli utenti e i dati sensibili dal furto da parte dei keylogger e dei malware che catturano lo schermo.

Questa protezione si estende oltre gli utenti finali. I dispositivi e i dati aziendali vengono protetti attraverso una prevenzione delle minacce ottimizzata e always-on utilizzando metodi di rilevamento basati sull’intelligenza artificiale (IA) e sul machine learning (ML). Ciò previene le minacce interne ed esterne in tutte le applicazioni, le API, i dati e i dispositivi, riducendo al contempo il rischio complessivo di malware, bot, attacchi zero-day e DDoS.

Inoltre, una soluzione di accesso sicuro e unificato protegge le applicazioni e le API in quanto blocca sia gli attacchi DDoS in locale che gli attacchi volumetrici e DDoS a livello di applicazione nel cloud.

Cosa caratterizza una soluzione di accesso sicuro e unificato?

Di seguito, le cinque caratteristiche principali di una soluzione di accesso sicuro e unificato affidabile:

  1. Consolida l’accesso a tutte le applicazioni interne ed esterne, autorizzate o meno dal reparto IT. 
  2. Garantisce un ambiente di lavoro sicuro e ad alte prestazioni per la forza lavoro ibrida 
  3. Riduce il rischio di attacchi esterni e interni per tutte le applicazioni, le API delle applicazioni, i dispositivi e i dati. 
  4. Unifica l’architettura digitale aziendale e consente alle organizzazioni di trarre vantaggio da uno stack di sicurezza e di networking consolidato per fornire un framework di sicurezza Zero Trust/SASE.
  5. Riduce al minimo la necessità di training IT su più piattaforme/strategie di sicurezza o di assumere ulteriori esperti di sicurezza informatica, aumentando così il ROI.

Per rispecchiare le suddette caratteristiche, una soluzione di accesso sicuro e unificato dovrebbe includere:

Lo Zero Trust Network Access (ZTNA)

Una soluzione ZTNA espande il perimetro di sicurezza tradizionale dal datacenter per spostarlo più vicino agli utenti e alle applicazioni. Ciò consente la verifica continua e l’accesso adattivo in tempo reale, compresa l’analisi delle credenziali di utente, dispositivo e posizione. Un’architettura ZTNA utilizza una connessione proxy inversa per stabilire una connessione sicura tra l’utente e l’applicazione. In questo modo garantisce che gli utenti finali abbiano accesso solo alle risorse aziendali o di rete necessari per svolgere il proprio lavoro, valutando costantemente l’attività contestuale in tempo reale e non presumendo mai che un’identità sia affidabile.

La sicurezza delle applicazioni

Una soluzione di sicurezza delle applicazioni è progettata per fornire una sicurezza completa delle applicazioni aziendali e garantire un’esperienza utente ottimizzata per le applicazioni in esecuzione su qualsiasi infrastruttura. Generalmente incentrata su un Application Delivery Controller (ADC) affidabile, una soluzione di sicurezza delle applicazioni offre funzionalità di intelligenza artificiale e machine learning per garantire un comportamento di sicurezza ottimizzato contro le minacce alla sicurezza delle applicazioni, siano esse note o sconosciute. Utilizzando una soluzione di sicurezza delle applicazioni aziendali a fornitore unico, è possibile monitorare e controllare tutti i tipi di applicazioni attraverso una singola console con visibilità end-to-end, indipendentemente da dove siano distribuite.

La sicurezza distribuita dal cloud

Grazie a una soluzione consolidata di sicurezza distribuita dal cloud, la gestione è centralizzata, mentre i punti di applicazione sono decentralizzati e distribuiti. Questo è un modo efficace per avvicinare la sicurezza all’utente e alle applicazioni. Inoltre, i reparti IT risultano più efficienti nella gestione dei fornitori, potendosi concentrare su un solo fornitore per implementare più policy di sicurezza su un’intera rete. I reparti IT interni possono anche concentrarsi sul lavoro basato sul valore, piuttosto che impiegare risorse per padroneggiare le soluzioni di sicurezza di vari fornitori in più posizioni.

La sicurezza delle API

Le moderne soluzioni di sicurezza delle API incentrate sul cloud applicano costantemente l’autorizzazione e l’autenticazione, oltre a garantire una protezione completa che supporta un framework di sicurezza always-on nelle configurazioni multi-cloud. Composta da varie soluzioni di sicurezza come la difesa dal DDoS, la gestione dei bot e i WAF, una soluzione di sicurezza delle API olistica deve utilizzare l’intelligenza artificiale e il machine learning per adattarsi costantemente alle mutevoli minacce per le API, specialmente negli ambienti multi-cloud. Inoltre, dovrebbe fornire una gestione unificata delle API per garantire un’adattabilità semplificata e un comportamento di sicurezza centralizzato e always-on per l’organizzazione.

Il SASE

Un’architettura SASE consente alle organizzazioni di semplificare la configurazione, la gestione e la scalabilità delle policy di networking e di sicurezza nell’intera forza lavoro, con una migliore visibilità e un’esperienza utente ottimizzata. Grazie alla combinazione di varie soluzioni come la sicurezza distribuita dal cloud, le reti WAN software-defined (SD-WAN), i broker di sicurezza di accesso al cloud (CASB), il firewall-as-a-service, gli SWG, lo ZTNA e molto altro all’interno di una soluzione unificata, il SASE garantisce alle organizzazioni l’accesso remoto sicuro alle applicazioni e a Internet tramite una singola console. Fondamentalmente, è creato appositamente per soddisfare le complesse esigenze della forza lavoro distribuita di oggi.

La gestione e mitigazione dei bot

Una soluzione di gestione e mitigazione dei bot segue un ciclo di vita olistico che include il rilevamento dei bot, consentendo ai bot validi di accedere alle risorse aziendali, bloccando al contempo i bot dannosi e segnalando e registrando il tipo, l’origine e l’azione del traffico dei bot. Per seguire questo ciclo di vita, queste soluzioni possono distribuire controlli di sicurezza come file e profili di firma dei bot, blocco degli indirizzi IP dannosi e fingerprinting dei dispositivi.

Questi controlli assicurano che gli aggressori non possano sfruttare le vulnerabilità delle API per rubare proprietà intellettuale, accaparrarsi risorse di rete o server, eseguire acquisizioni di account o compromettere la business intelligence.

Proteggete gli utenti, le applicazioni e i dispositivi grazie a Citrix

Con il passaggio dei carichi di lavoro al cloud e la crescita della forza lavoro remota, i reparti IT devono implementare le soluzioni di sicurezza appropriate per salvaguardare l’infrastruttura aziendale e i dipendenti, promuovendo al contempo un ambiente di lavoro produttivo. Grazie a una soluzione di accesso sicuro e unificato offerta da Citrix, le organizzazioni possono accelerare la trasformazione digitale e modernizzare l’IT con uno stack di sicurezza distribuito dal cloud basato sullo Zero Trust. Questo non solo fornisce un comportamento di sicurezza always-on per tutti gli utenti finali, le applicazioni, i dispositivi e l’infrastruttura sottostante di un’organizzazione, ma offre anche un’esperienza utente migliorata che aumenta la produttività e la collaborazione.

Domande frequenti

Cos’è una soluzione di accesso sicuro e unificato?

A differenza delle strategie di sicurezza basate su appliance o su più fornitori distribuite in vari ambienti IT, una soluzione di accesso sicuro e unificato fornisce una sicurezza distribuita dal cloud basata sullo Zero Trust attraverso un singolo stack di sicurezza completamente gestito. Questo non solo aiuta a proteggere gli utenti finali, le applicazioni, i dispositivi e l’infrastruttura sottostante di un’organizzazione, ma consente agli amministratori IT di gestire tutte le applicazioni, i desktop e i dati a livello aziendale tramite una singola console.

Cos’è l’accesso adattivo?

L’accesso adattivo concede o nega l’accesso ad applicazioni o risorse in base a più fattori rispetto al ruolo assegnato all'utente, tra cui posizione, dispositivo, tipo di richiesta e tempistica della richiesta. Grazie all’accesso adattivo, i reparti IT possono tenere conto dei cinque interrogativi per l’accesso (chi, cosa, quando, dove e perché) in ogni istanza e evento transazionale.

Come proteggere l’accesso dei lavoratori remoti?

La corretta protezione dell’accesso dei lavoratori remoti inizia dalla distribuzione di una soluzione di accesso sicuro e unificato distribuita dal cloud. Questo tipo di soluzione fornisce uno stack di sicurezza completo per un’architettura SASE (Secure Access Service Edge) e ZTNA (Zero Trust Network Access). Essenzialmente, una soluzione di accesso sicuro e unificato fornisce un vero consolidamento dei fornitori per tutti i casi d’uso di sicurezza e networking, tra cui ZTNA, broker di sicurezza di accesso al cloud (CASB), Secure Web Gateway (SWG), prevenzione della perdita di dati (DLP), sandbox, protezione malware, firewall, protezione di applicazioni e API, e rete WAN software-defined (SD-WAN).