Che cos'è BeyondCorp?
BeyondCorp® è un'architettura di cybersecurity sviluppata da Google che sposta il controllo degli accessi dal tradizionale perimetro della rete ai singoli dispositivi e utenti. L'obiettivo è quello di consentire agli utenti di lavorare in sicurezza sempre, ovunque e su qualsiasi dispositivo, senza dover utilizzare una rete privata virtuale, o VPN, per accedere alle risorse di un'organizzazione.
Perché le organizzazioni utilizzano BeyondCorp
Anni fa, le organizzazioni tenevano tutte le applicazioni e i dati nei data center in loco. Il modello di sicurezza che utilizzavano si basava sull'idea che tutto ciò che era cattivo si trovava al di fuori del perimetro e che tutto ciò che si trovava al suo interno poteva essere attendibile. Tuttavia, gli aggressori che hanno aggirato le protezioni perimetrali sono stati in grado di avanzare rapidamente sugli obiettivi con movimenti laterali, incontrando pochi protocolli di protezione.
BeyondCorp è nata ponendosi la domanda: "Come progetterebbe la sua sicurezza se non ci si potesse fidare di nulla?". In altre parole, come potrebbe proteggere le sue applicazioni se la sua rete interna non fosse attendibile come una rete pubblica?
Questo ha spinto molte organizzazioni a ripensare completamente il loro approccio alla sicurezza e a cercare nuovi modi per applicare in modo coerente le politiche di sicurezza in ambienti multipli e disparati, come i data center locali; i servizi cloud, come Google Cloud Platform (GCP™), Amazon Web Services (AWS®) e Microsoft Azure®; le applicazioni software-as-a-service, come Box.com e Office 365®; e altri.
Come funziona BeyondCorp
I due principi più importanti di BeyondCorp sono:
Controllo dell'accesso alla rete e alle applicazioni: In BeyondCorp, tutte le decisioni relative all'accesso di una persona o di un dispositivo alla rete vengono prese attraverso un motore di controllo degli accessi. Questo motore si trova davanti a ogni richiesta di rete e applica regole e criteri di accesso basati sul contesto di ogni richiesta - come l'identità dell'utente, le informazioni sul dispositivo e la posizione - e sulla quantità di dati sensibili presenti in un'applicazione. Offre alle organizzazioni un modo automatizzato e scalabile per verificare l'identità di un utente, confermare che si tratta di un utente autorizzato e applicare regole e criteri di accesso. Tuttavia, il controllo degli accessi da solo non è sufficiente a garantire una sicurezza efficace.
Visibilità: Una volta che un utente ha accesso alla rete o alle applicazioni di un'organizzazione, questa deve continuamente visualizzare e ispezionare tutto il traffico per identificare qualsiasi attività non autorizzata o contenuto dannoso. Altrimenti, un aggressore può facilmente muoversi all'interno della rete e prendere i dati che desidera senza che nessuno lo sappia.
Come BeyondCorp si relaziona con Zero Trust
Molti conoscono Zero Trust, un modello di sicurezza informatica che elimina il concetto di fiducia da una rete, in modo che un'organizzazione possa proteggere meglio le proprie risorse. Con Zero Trust e Zero Trust per il cloud, tutti, sia all'interno che all'esterno di un'organizzazione, devono superare diverse fasi di sicurezza (come definito da Forrester Research, una società di consulenza leader):
Consente agli utenti di accedere in modo sicuro a tutte le risorse, indipendentemente dalla loro posizione.
Utilizzi una strategia di minimi privilegi e applichi rigorosamente il controllo degli accessi.
Ispeziona e registra tutto il traffico
BeyondCorp fornisce una base per costruire un'implementazione Zero Trust. Il terzo elemento - l'ispezione e la registrazione di tutto il traffico - svolge un ruolo importante per stabilire la Fiducia Zero, perché non si deve presumere che tutto il traffico proveniente da un endpoint sia affidabile o sicuro per i dati. Per questo motivo, le organizzazioni che implementano BeyondCorp dovrebbero considerare anche l'implementazione dei principi di Zero Trust per ridurre ulteriormente il rischio.
Ulteriori letture
