Zero Trust Network Access (ZTNA) è l'architettura ideale per garantire l'accesso remoto sicuro alle risorse aziendali. Tuttavia, negli ambienti OT, la ZTNA deve essere distribuita.
L'accesso remoto è fondamentale per il team operation per gestire e risolvere i problemi delle risorse tecnologiche operative (OT) senza visite in loco che richiedono tempo e costi. In molte organizzazioni, i costruttori di macchine, i manutentori o lo stesso team operation hanno installato le proprie soluzioni: gateway cellulari di cui nessuno è a conoscenza o software di accesso remoto non controllato dall'IT.
Le Soluzioni Tradizionali di Accesso Remoto Presentano Troppi Svantaggi
Questi "backdoor" sono in contrasto con i progetti di sicurezza OT intrapresi dai team IT/CISO e creano una situazione di shadow-IT che rende difficile controllare chi si connette, cosa sta facendo e a cosa può accedere.
D'altra parte, le reti private virtuali (VPN) installate dalle squadre IT nella DMZ industriale (iDMZ) presentano il problema di essere soluzioni sempre attive con accesso “tutto o niente” alle risorse OT. Ciò rende difficile controllare quando qualcuno si connette e a cosa ha accesso senza utilizzare “servere jump” per gestire le sessioni e complesse regole del firewall che devono essere aggiornate frequentemente per evitare un accesso aperto.
Le Soluzioni ZTNA Esistenti Non si Adattano Bene all'Ambiente OT
Le organizzazioni industriali stanno iniziando a implementare soluzioni Zero Trust Network Access (ZTNA) come alternative alle VPN sempre attive. ZTNA è un servizio di sicurezza che verifica gli utenti e concede l'accesso solo a risorse specifiche in momenti specifici in base a politiche di identità e contesto. Inizia con una posizione di "default deny" e offre in modo adattivo la fiducia appropriata richiesta al momento.
La soluzione è composta da un intermediario di fiducia ZTNA, tipicamente un servizio cloud, che media le connessioni tra gli utenti remoti e le risorse OT. L'intermediario di fiducia comunica con un gateway ZTNA installato nella rete industriale. Il gateway stabilisce una connessione in uscita con l'intermediario di fiducia, che a sua volta si connette all’utente remoto, creando così un percorso di comunicazione alle risorse OT nelle vicinanze del gateway.
In reti sul campo, come i cabinet di controllo del traffico negli incroci stradali o i cabinet di controllo delle banche di condensatori montati sui pali, non è un'opzione installare gateway ZTNA dedicati a causa di problemi di spazio. Quando lo spazio è disponibile, dover mantenere hardware gateway ZTNA dedicato solo per accedere a alcune risorse OT pone un onere indesiderato sui clienti.
In reti industriali più grandi, come le fabbriche di produzione, il gateway ZTNA è centralizzato nella iDMZ per evitare il costo e la complessità della distribuzione di hardware dedicato nella rete OT. Ma questa architettura centralizzata pone il gateway ZTNA troppo lontano dalle risorse OT e presenta lo stesso svantaggio del design delle VPN tradizionali:
- In tali ambienti, gli indirizzi IP sono spesso riutilizzati e molte risorse si trovano dietro confini NAT, il che li rende inaccessibili al gateway ZTNA nella iDMZ. La complessità ricade ora sul cliente finale per esporre questi IP privati ai livelli superiori del modello Purdue;
- Inoltre, poiché il gateway ZTNA è lontano dalle risorse OT, diventa difficile prevenire il movimento laterale degli utenti remoti tra le risorse OT.
Entrambi questi aspetti annullano i principali principi della ZTNA, ovvero l'isolamento delle risorse e il limite del movimento laterale.
Cisco sta Incorporando il Gateway ZTNA nelle Reti Industriali
Con Secure Equipment Access (SEA), Cisco sta risolvendo le sfide della distribuzione di accesso remoto sicuro alle risorse operative su larga scala. Integra la funzione di gateway ZTNA negli switch e router industriali di Cisco, rendendo estremamente semplici da implementare le capacità di accesso remoto sicuro su larga scala. Non c'è bisogno di cercare, installare e gestire una soluzione hardware dedicata. Non ci sono complesse regole di firewall nella iDMZ da configurare. Abilitare l'accesso remoto è solo una funzione software da attivare nei dispositivi di rete industriale di Cisco.
La distribuzione della funzione di gateway ZTNA ovunque nella rete consente di accedere in remoto a ogni risorsa. Lo switch o router industriale di Cisco, che fornisce connettività sicura e affidabile alle risorse OT, offre ora anche l'accesso remoto a zero trust a queste risorse, indipendentemente dal suo indirizzo IP o dalla tua strategia NAT.
Lo stesso equipaggiamento di rete può anche imporre politiche di micro-segmentazione per impedire il movimento laterale nel caso in cui la risorsa venga utilizzata come host di "salto". Solo Cisco offre una capacità di sicurezza così avanzata negli switch e router industriali oggi.
Abilitazione dell'Accesso in Remoto a Zero Trust per OT
La gestione di un gran numero di gateway ZTNA in tutto l'ambiente operativo è semplice. Cisco Secure Equipment Access è dotato di un portale cloud che centralizza la gestione del gateway e la configurazione delle politiche di accesso remoto. Funziona come un intermediario di fiducia ZTNA, verifica gli utenti e concede l'accesso solo alle risorse specifiche in base a identità e contesti.
I dipendenti, i fornitori e appaltatori si collegano da remoto al portale cloud Secure Equipment Access dove vengono autenticati e l'accesso è consentito solo ai dispositivi che scegli, utilizzando solo i protocolli specificati, e solo nel giorno e nell’ora consentiti.
Le sessioni di accesso remoto iniziano con una posizione di "default deny" e Secure Equipment Access offre in modo adattivo la fiducia appropriata richiesta al momento. Le risorse sono nascoste dalla scoperta e i movimenti laterali sono resi impossibili. Gli indirizzi IP non vengono mai esposti nella iDMZ, riducendo ulteriormente la tua superficie di attacco.
Gli amministratori operativi possono facilmente creare credenziali per soddisfare le esigenze aziendali e concedere l'accesso alle risorse OT in due modi diversi:
- ZTNA Clientless - Gli utenti hanno solo bisogno di un browser web per accedere alle risorse OT remote utilizzando RDP, VNC, HTTP/S, SSH o Telnet;
- ZTNA Basato su Agent - Cisco SEA stabilisce un canale di comunicazione IP sicuro tra il computer dell'utente e la risorsa OT, in modo che qualsiasi applicazione desktop possa essere utilizzata per compiti avanzati, come il trasferimento di file o la programmazione PLC utilizzando applicazioni native, ad esempio.
Cisco Secure Equipment Access è progettato per imporre policy di sicurezza zero trust robuste e offrire capacità avanzate di monitoraggio e conformità:
- Autenticazione Multifattore (MFA) per affrontare il rischio di credenziali rubate;
- Accesso single Sign-On (SSO) per semplificare l'esperienza dell'utente e imporre rigorose policy utente da una posizione centralizzata;
- Controllo dello stato del dispositivo per valutare lo stato di sicurezza dell'utente remoto e concedere l'accesso solo agli host con software di protezione da malware installato, ad esempio;
- Monitoraggio delle sessioni con la possibilità di unirsi a una sessione e visualizzare in tempo reale ciò che sta facendo un utente remoto;
- Terminazione della sessione che offre agli amministratori la possibilità di interrompere una sessione attiva;
- Registrazione delle sessioni per vedere cosa hanno fatto gli utenti remoti.
Se vuoi avere maggiori informazioni sulle soluzioni Cisco Systems invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo, in alternativa puoi compilare il form sottostante con la tua domanda.