X

Vi serve il cloud computing? Iniziate subito

Akamai logo
+1-8774252624
+1-8774252624
Login
Control Center
Accesso alla piattaforma Akamai
Cloud Manager
Gestione delle risorse cloud
Prova Akamai
Siete sotto attacco?
Login
Control Center
Accesso alla piattaforma Akamai
Cloud Manager
Gestione delle risorse cloud

Affrontate le sfide legate alla conformità e alla cybersicurezza con il modello Zero Trust

Headshot of Ravit Greitser

scritto da

Ravit Greitser

March 01, 2024

Headshot of Ravit Greitser

scritto da

Ravit Greitser

Ravit Greitser, Senior Product Marketing Professional di Akamai, ha maturato una vasta esperienza nel marketing di prodotti e nell'editoria tecnica, specializzandosi nel campo della cybersicurezza.

I principi fondamentali del modello Zero Trust possono risultare preziosi per i programmi di conformità e cybersicurezza.
I principi fondamentali del modello Zero Trust possono risultare preziosi per i programmi di conformità e cybersicurezza.

Analisi riassuntiva

  • La conformità e la cybersicurezza sono priorità business-critical per le aziende che operano praticamente in ogni settore. 

  • Anche se la maggior parte delle organizzazioni dispone di team separati per la sicurezza e la conformità, obiettivi, pratiche e tecnologie si sovrappongono notevolmente in ogni area. 

  • I requisiti normativi dei servizi finanziari, ad esempio, richiedono specifiche pratiche di sicurezza per proteggere i dati dei titolari di carte di credito, mentre le normative specifiche del settore sanitario stabiliscono determinate misure di sicurezza per proteggere le informazioni sanitarie dei pazienti (PHI). 

  • La conformità, spesso, richiede alle organizzazioni di difendersi dalle minacce informatiche mediante un monitoraggio continuo, una profonda visibilità e un solido controllo degli accessi per gli utenti interni ed esterni: tutte pratiche che fanno anche parte di un solido sistema di cybersicurezza. 

  • Questa intersezione tra conformità e cybersicurezza offre alle aziende l'opportunità di adottare soluzioni in grado di risolvere contemporaneamente le sfide correlate alle due aree. 

  • L'implementazione di un sistema di sicurezza Zero Trust insieme alla tecnologia di microsegmentazione può aiutare a risolvere i problemi di conformità e cybersicurezza apportando anche una serie di vantaggi.

Gli ambienti normativi con i requisiti di cybersicurezza

Molti dei più grandi e comuni sistemi normativi presentano aspetti legati alla conformità alla cybersicurezza .

  • Il NIST (National Institute of Standards and Technology) ha sviluppato un sistema di cybersicurezza che fornisce apposite linee guida alle aziende del settore privato. Le organizzazioni che richiedono contratti federali o che operano in ambienti federali regolamentati, spesso, hanno l'obbligo di conformarsi agli standard di cybersicurezza del NIST.

  • ISO 27001. L'ISO/IEC 27001 è uno standard internazionale per i sistemi di gestione della sicurezza delle informazioni, che aiuta le organizzazioni a proteggere il livello di riservatezza, integrità e disponibilità delle loro informazioni. Questo standard è stato pubblicato congiuntamente dall'Organizzazione internazionale per la normazione (ISO) e dalla Commissione elettrotecnica internazionale (IEC). Molte organizzazioni in tutto il mondo richiedono una certificazione ISO 27001 per dimostrare a clienti, partner e altre parti interessate la loro aderenza alle best practice consigliate per la sicurezza delle informazioni.

  • PCI DSS. Molte istituzioni finanziarie aderiscono ai requisiti di conformità stabiliti dalPCI DSS(Payment Card Industry Data Security Standard). Questo programma di conformità alla cybersicurezza regola il modo con cui le aziende accettano, gestiscono, trasmettono e archiviano i dati delle carte di credito dei clienti e altre informazioni finanziarie.

  • HIPAA. I fornitori del settore sanitario devono soddisfare i rigorosi requisiti in materia di sicurezza stabiliti dall'HIPAA(Health Insurance Portability and Accountability Act). Tra questi requisiti, la normativa in questione richiede alle organizzazioni di gestire la crittografia dei dati, i controlli per la privacy, le pratiche di valutazione dei rischi e le pratiche di sicurezza amministrative e fisiche.

  • FISMA. Le agenzie federali e i partner affiliati sono incentivati a seguire le pratiche e i mandati delFISMA(Federal Information Security Modernization Act), una legge emanata negli Stati Uniti per migliorare la sicurezza dei computer e delle reti.

  • GDPR. Il regolamento generale sulla protezione dei dati dell'Unione europea (GDPR) regola le modalità di raccolta, utilizzo, privacy, portabilità e conservazione dei dati personali e delle informazioni sui clienti da applicare ai cittadini europei. 

  • CCPA. Simile al GDPR, ilCCPA(California Consumer Privacy Act) è una legge emanata in California per migliorare i diritti alla privacy e la protezione dei consumatori per i residenti in questo stato americano.

  • SOC 2. IlSOC 2(System and Organization Controls) è uno standard di sicurezza creato dall'AICPA (American Institute of Certified Public Accountants). Si tratta di un quadro normativo privato, che è stato concepito con l'intento di aiutare le aziende nel processo di implementazione di un solido sistema di sicurezza.

Miglioramento della conformità e della cybersicurezza con il modello Zero Trust

Le organizzazioni possono migliorare il proprio livello di conformità e cybersicurezza implementando un sistema di sicurezza Zero Trust insieme ad una tecnologia di microsegmentazione (Figura).

Diagram illustrating the authentication and authorization for every device and person before access is granted in the network.

Il modello Zero Trust è un approccio strategico alla cybersicurezza, che consiste nel capovolgere il paradigma tradizionale della cybersicurezza in cui agli utenti, ai dispositivi e alle applicazioni presenti all'interno della rete aziendale viene concessa una fiducia implicita. Al contrario, con un approccio Zero Trust, utenti, dispositivi e applicazioni sia all'interno che all'esterno di un'organizzazione devono essere autenticati e autorizzati ogni volta che richiedono di accedere alle risorse IT. 

Poiché il lavoro remoto, il cloud computing e il BYOD hanno reso il perimetro della rete tradizionale praticamente obsoleto, il modello di sicurezza Zero Trust aiuta a bloccare le minacce alla cybersicurezza e a limitare la portata degli attacchi informatici.

I vantaggi apportati dai principi del modello Zero Trust

I principi fondamentali del modello Zero Trust possono risultare preziosi per i programmi di conformità e cybersicurezza.

  • Verificare sempre; senza fidarsi

  • Accesso basato sul privilegio minimo

  • Autenticazione multifattore

  • Monitoraggio continuo

  • Microsegmentazione

Verificare sempre; senza fidarsi

Le soluzioni per la sicurezza Zero Trust partono dal presupposto che ogni richiesta di accesso potrebbe essere dannosa e, pertanto, deve essere sempre autenticata e autorizzata. È importante quindi prestare attenzione al seguente motto: "Verificare sempre; senza fidarsi".

Accesso basato sul privilegio minimo

In un sistema Zero Trust, l'ambito e la durata di un accesso vengono minimizzati il più possibile. L'accesso basato sul privilegio minimo impedisce agli utenti che dispongono dell'autorizzazione per accedere ad alcune risorse di accedere ad altre parti della stessa rete.

Autenticazione multifattore

Un approccio Zero Trust richiede una rigorosa gestione delle identità e degli accessi per utenti e dispositivi. L'autenticazione multifattore supporta il modello Zero Trust richiedendo agli utenti di fornire almeno due forme di identificazione, tra cui password, password monouso, scansioni biometriche, token e altre forme di verifica.

Monitoraggio continuo

Anziché rispondere agli attacchi dopo il loro verificarsi, i sistemi Zero Trust monitorano continuamente il livello di sicurezza e la configurazione di reti e dispositivi per individuare eventuali segni di violazione di dati in modo da poter mitigare e rispondere agli incidenti più rapidamente.

Microsegmentazione

La microsegmentazione segmenta una rete in parti più piccole, tra cui singoli carichi di lavoro, macchine virtuali, applicazioni e sistemi operativi, in modo da consentire ai team addetti alla sicurezza di implementare policy di sicurezza personalizzate per ogni area per limitare i tipi di traffico est-ovest tra server e applicazioni. 

Questo approccio granulare offre una maggiore visibilità sul traffico potenzialmente dannoso all'interno della rete, blocca gli attacchi basati sul movimento lateralee aiuta i team addetti alla sicurezza ad identificare rapidamente comportamenti potenzialmente sospetti che possono indicare un attacco.

I vantaggi del modello Zero Trust e della microsegmentazione per la conformità e la cybersicurezza.

Il modello Zero Trust e la microsegmentazione offrono notevoli vantaggi per la conformità e la cybersicurezza.

  • Sicurezza e privacy dei dati. Molti quadri normativi richiedono solide misure di protezione dei dati. Il modello Zero Trust e la microsegmentazione supportano i processi di conformità consentendo di controllare e monitorare in maniera rigorosa l'accesso ai dati sensibili.

  • Solido controllo degli accessi. Un'architettura Zero Trust rafforza i solidi protocolli di autenticazione e autorizzazione richiesti da molte normative in materia di conformità.

  • Monitoraggio e creazione di rapporti continui. Le reti Zero Trust monitorano continuamente e registrano gli accessi e le attività, aiutando ad identificare e rispondere agli incidenti di sicurezza più rapidamente, un requisito fondamentale per la conformità normativa.

  • Gestione dei rischi. Il modello Zero Trust e la microsegmentazione identificano e mitigano i rischi confermando continuamente ogni aspetto delle interazioni digitali e garantendo la conformità in modo proattivo ai requisiti normativi sulla base della gestione e della valutazione dei rischi.

  • Risoluzione delle minacce interne. Per le normative che richiedono una protezione dalle minacce interne, il principio del privilegio minimo garantisce ad ogni utente solo l'accesso alle risorse richieste per una determinata attività, riducendo il rischio rappresentato dai malintenzionati che agiscono dall'interno.

  • Segmentazione degli ambienti di conformità. Utilizzando la microsegmentazione per dividere le risorse di rete in aree più piccole per i controlli di sicurezza, il modello Zero Trust garantisce la conformità alle normative che richiedono l'isolamento di alcuni dati da altre parti dell'infrastruttura IT.

  • Gestione di fornitori e di terze parti. I principi Zero Trust si estendono a tutti gli utenti, tra cui fornitori e terze parti, aiutando le organizzazioni a garantire la conformità alle normative che richiedono rigorosi controlli sulla sicurezza della supply chain.

Scoprite di più sulle soluzioni Akamai per la gestione della cybersicurezza e della conformità.

Perché i clienti scelgono Akamai

A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.

Ulteriori informazioni
Headshot of Ravit Greitser

scritto da

Ravit Greitser

March 01, 2024

Headshot of Ravit Greitser

scritto da

Ravit Greitser

Ravit Greitser, Senior Product Marketing Professional di Akamai, ha maturato una vasta esperienza nel marketing di prodotti e nell'editoria tecnica, specializzandosi nel campo della cybersicurezza.

Blog correlati

Akamai Behavioral DDoS Engine offre un eccellente valore aggiunto a qualsiasi strategia di difesa approfondita.
Akamai Behavioral DDoS Engine offre un eccellente valore aggiunto a qualsiasi strategia di difesa approfondita.

Akamai Behavioral DDoS Engine: una svolta nella moderna mitigazione degli attacchi DDoS

November 07, 2024
Parallelamente all'espansione dell'infrastruttura digitale, si assiste ad un aumento delle minacce poste dagli attacchi DDoS. Scoprite come Akamai Behavioral DDoS Engine può mantenere online le vostre attività aziendali.
di Aseem Ahmed e Abdeslam Bella
Maggiori dettagli
Grazie alla nostra nuova regola specifica per le applicazioni Rails, siamo in grado di rilevare ogni giorno decine di migliaia di tentativi di iniezioni di codice in tutto il mondo.
Grazie alla nostra nuova regola specifica per le applicazioni Rails, siamo in grado di rilevare ogni giorno decine di migliaia di tentativi di iniezioni di codice in tutto il mondo.

Nessun pericolo grazie a Rails: una difesa efficace contro gli attacchi di iniezione di codice

November 06, 2024
Proteggete le vostre applicazioni critiche Ruby on Rails tramite l'apposito rilevamento di iniezioni di codice.
di Sam Tinklenberg, Maxim Zavodchik, e Aparna Mandal
Maggiori dettagli
Non c'è alcun dubbio che la rivoluzione dell'intelligenza artificiale abbia trasformato la cybersicurezza, nel bene e nel male.
Non c'è alcun dubbio che la rivoluzione dell'intelligenza artificiale abbia trasformato la cybersicurezza, nel bene e nel male.

Analisi dell'intelligenza artificiale: troppo clamore intorno all'AI?

November 04, 2024
Scoprite le diverse tecnologie basate sull'intelligenza artificiale (come l'inferenza, l'apprendimento approfondito (DL, Deep Learning) e i modelli generativi) per comprendere in che modo i modelli linguistici di grandi dimensioni (LLM) e l'intelligenza artificiale stanno trasformando i settori della cybersicurezza e della tecnologia.
di Berk Veral
Maggiori dettagli