La sicurezza Zero Trust è un modello di protezione della rete dove l'accesso a servizi o sistemi IT da parte di persone o dispositivi, interni o esterni alla rete aziendale, è possibile solo previa autenticazione e costante verifica. Questo modello sta guadagnando costantemente terreno nelle reti aziendali. Sta diventando sempre più strategico anche per gli ambienti industriali dove, tipicamente, il concetto di protezione vede un sistema suddiviso in unità separate, ognuna protetta individualmente.
Con la convergenza degli ambienti OT/IT si sta rendendo indispensabile creare accessi sicuri ai sistemi e alle applicazioni Operational Technology (OT) nella rete di produzione dal proprio posto di lavoro, sia dall’interno che da remoto,. Bisogna permettere agli utenti di gestire e monitorare a distanza operazioni quali il controllo qualità o di effettuare la diagnostica.
La partnership tra Zscaler, Inc. specializzata nella sicurezza cloud e Siemens si pone proprio questo obiettivo, con i seguenti punti chiave:
- Accesso remoto sicuro e on-demand alle applicazioni e ai sistemi OT
- Approccio di sicurezza Zero Trust OT/IT per le reti aziendali e di produzione
- Miglioramento dei tempi di attività e dell'efficienza dello stabilimento con un accesso remoto sicuro
"Defense-in-Depth": più protetti da un'architettura Zero Trust
Per garantire che la rete OT non sia esposta a potenziali minacce maggiori, Siemens e Zscaler hanno ampliato il concetto di "Defense-in-Depth" per gli ambienti OT protetto da un'architettura Zero Trust.
Basato sul principio del “privilegio minimo” per l’accesso, Zero Trust autorizza solo l'accesso a un’applicazione specifica verificando l’identità dell’utente e il contesto. In combinazione con i meccanismi di sicurezza OT esistenti, come i firewall di protezione delle unità, è possibile applicare un concetto di accesso graduale. Inoltre, permette di continuare a soddisfare i requisiti di produzione in termini di disponibilità funzionalità in tempo reale.
Questo approccio diventa operativo installando il connettore app per il servizio di accesso remoto basato sul Cloud Zscaler Private Access (ZPA) su un container Docker nella piattaforma di elaborazione locale Siemens Scalance LPE. Si crea così una soluzione di accesso per ambienti industriali.
La gestione centralizzata nella piattaforma Cloud Zscaler Zero Trust Exchange e l'uso di connessioni in uscita facilitano una configurazione più restrittiva rispetto alle regole firewall esistenti. Si riducono anche i costi operativi per l'amministrazione e il monitoraggio. Anche i sistemi legacy esistenti possono essere facilmente adattati alla soluzione Zero Trust Exchange. Quest’offerta è ora disponibile per i clienti attraverso Zscaler e Siemens.
Sicurezza Zero Trust: l'intervista a Nathan Howe, VP Emerging Technologies di Zscaler
Può spiegare meglio il significato di "Defense-in-Depth" per gli ambienti OT protetti da un'architettura Zero Trust?
In primo luogo il concetto di Defense-in-depth è differente tra ambienti IT e OT. In ambito OT con Defense-in-depth si intende la segmentazione dell'isolamento IT tramite la creazione di linee fisiche e dei cosiddetti “air gap” tra diversi tipi di tecnologie.
La sicurezza OT storicamente è basata su modelli che si concentrano sulla protezione del livello di rete. La natura stessa della segmentazione della rete si basa sul fatto che le reti siano interconnesse in modo che l'accesso possa essere controllato a livello di rete.
Zscaler ritiene che le reti dovrebbero essere utilizzate per il trasporto di flussi di dati e non per meccanismi di controllo e sicurezza. Con la maggior parte delle soluzioni di accesso remoto, i dipendenti, gli agenti e i partner hanno accesso completo alle reti OT.
Nella maggior parte dei casi, le soluzioni di accesso remoto come le VPN mettono a rischio i sistemi OT o ICS garantendo la disponibilità dell’accesso a internet 24/7. Questi utenti iperprivilegiati introducono un alto rischio nell'ambiente di produzione perché in definitiva non vengono controllati mentre sono collegati alla rete OT.
Il nostro approccio all’utilizzo di Zero Trust ci permette di eliminare effettivamente l’esigenza di creare gli air gap di cui sopra. La soluzione Zscaler Zero Trust si basa sul controllo dell'accesso attraverso il principio del minimo privilegio, implementato a livello dell'applicazione invece che della rete. È la granularità di Zero Trust che offre diversi livelli di sicurezza su un insieme più ampio e distribuito di servizi, senza fare affidamento alla rete per il controllo.
Con la nostra piattaforma Zero Trust Exchange, negoziamo i permessi di accesso basati su policy che definiscono un accesso granulare e basato sulle applicazioni agli ambienti OT solo per l'individuo autorizzato, che ha bisogno di accedere a un dispositivo.
La piattaforma Zscaler Zero Trust Exchange nasce per l'IT e grazie alla collaborazione con Siemens viene "calata" nell'OT. Come verrà veicolata alle aziende di produzione?
La piattaforma Zero Trust Exchange è stata sviluppata per garantire che non fosse permesso l'accesso a nessuna applicazione fino a quando la connessione non fosse autorizzata. Senza autorizzazione, non c'è nessun percorso per accedere all'applicazione in questione. Previa autorizzazione, Zero Trust Exchange collega la fonte (l'utente) e i servizi di destinazione (l'applicazione).
È questa connessione di destinazione che Zscaler ha implementato con Siemens OT. Per abilitare la connessione, il componente Zscaler - una volta istruito - crea una connessione inside-out per abilitare l'accesso. Questa connessione inside-out elimina la necessità di implementare percorsi di rete in entrata da Internet o da altre reti.
Per implementare questa soluzione congiunta, per esempio in un ambiente di produzione, la questione per l’azienda è dove applicare la funzionalità Zero Trust. Se le imprese vogliono utilizzare la loro soluzione Zscaler Zero Trust esistente e sfruttarla per accedere agli ambienti OT, possono farlo tramite Zscaler.
Tuttavia, se vogliono portare Zero Trust nel cuore del loro ambiente OT, entra in gioco la partnership con Siemens e Scalance LPE. La nostra tecnologia inclusa nell'hardware di Siemens in un ambiente container può essere utilizzata per fornire un livello inferiore di controlli.
Come si realizza lo Zero Trust per gli ambienti OT?
Insieme, Zscaler e Siemens rafforzano la cybersecurity per gli ambienti industriali fondendo il servizio di accesso alla rete Zero Trust di Zscaler con la potente piattaforma di elaborazione locale di Siemens. Con l'aiuto della sicurezza fornita tramite Cloud della piattaforma Zero Trust Exchange, le aziende possono espandere dinamicamente i sistemi esistenti. Lo fanno eseguendo il Private Access App Connector di Zscaler come contenitore Docker sul motore di elaborazione locale Scalance LPE di Siemens. Si ottiene un accesso altamente sicuro agli ambienti di automazione industriale attraverso un metodo di connettività Zero Trust.
Zscaler Private Access (ZPA) consente un accesso remoto veloce, continuo e sicuro a una rete industriale. Così, i dipendenti e le terze parti possano connettersi alle risorse, monitorarle e supportarle in modo istantaneo da qualsiasi luogo. Usando ZPA, gli utenti autorizzati hanno accesso solo a un'applicazione alla volta, rendendo impossibile il movimento laterale all'interno della rete e riducendo il rischio di una violazione dei dati. L‘"air-gap" che si crea protegge efficacemente i sistemi contro le minacce informatiche. Collega solo gli utenti e i dispositivi alle applicazioni specifiche di cui hanno bisogno senza collegarli direttamente a una rete.
L'App Connector di ZPA è il componente software che Zscaler installa sulla piattaforma LPE di Siemens. Zscaler lo ha implementato in un contenitore Docker di facile fruizione. Questo App Connector si collega, su richiesta, al cloud di Zscaler su un tunnel per applicazione. Questi tunnel sono unici per ogni sessione applicativa e sono collegati e criptati insieme esclusivamente per quella singola sessione. Alla fine della sessione, i tunnel vengono interrotti e l'accesso non è più consentito.
