Che cos'è Zero Trust?
Zero Trust è una strategia di sicurezza. Non è un prodotto o un servizio, ma un approccio nella progettazione e nell'implementazione del set di principi di sicurezza seguente.
| Principio | Descrizione |
|---|---|
| Verificare in modo esplicito | Autenticare e autorizzare sempre in base a tutti i dati disponibili. |
| Usare l'accesso con privilegi minimi | Limitare l'accesso degli utenti con just-In-Time e just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. |
| Presupporre una violazione | Ridurre al minimo il raggio di esplosione e segmentare l'accesso. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, favorire il rilevamento delle minacce e migliorare le difese. |
Questi principi sono il nucleo di Zero Trust. Invece di credere che tutto dietro il firewall aziendale sia sicuro, il modello Zero Trust presuppone la violazione e verifica ogni richiesta come se provenisse da una rete non controllata. Indipendentemente dalla posizione di origine della richiesta o dalla risorsa a cui accede, il modello Zero Trust ci insegna a "non considerare mai attendibile, verificare sempre".
Zero Trust è progettato per adattarsi alle complessità dell'ambiente moderno che abbraccia la forza lavoro mobile. Zero Trust protegge account utente, dispositivi, applicazioni e dati ovunque si trovino.
Un approccio Zero Trust deve estendersi in tutta l'organizzazione e fungere da filosofia di sicurezza integrata e strategia end-to-end.
Requisiti organizzativi diversi, implementazioni tecnologiche esistenti e fasi di sicurezza influiscono su come viene pianificata ed eseguita un'implementazione del modello di sicurezza Zero Trust. Le linee guida consentono di valutare l'idoneità per Zero Trust e di creare un piano per raggiungere Zero Trust. Le linee guida si basano sulla nostra esperienza per aiutare i clienti a proteggere le organizzazioni e implementando il nostro modello Zero Trust per noi stessi.
Con Zero Trust, si passa da una prospettiva di fiducia per impostazione predefinita a una fiducia per eccezione. Una funzionalità integrata per gestire automaticamente tali eccezioni e avvisi è importante. È possibile rilevare più facilmente le minacce, rispondere alle minacce e impedire o bloccare eventi indesiderati nell'organizzazione.
Zero Trust e l'ordine esecutivo degli Stati Uniti 14028 sulla cybersecurity
l'ordine esecutivo degli Stati Uniti 14028, Il miglioramento della sicurezza informatica nazionale, indirizza le agenzie federali sull'avanzamento delle misure di sicurezza che riducono drasticamente il rischio di attacchi informatici riusciti contro l'infrastruttura digitale del governo federale. Il 26 gennaio 2022, il Office of Management and Budget (OMB) ha rilasciato la strategia federale Zero Trust in memorandum 22-09, a supporto dell'Ordine Esecutivo 14028.
Formazione consigliata
| Formazione | Introduzione a Zero Trust |
|---|---|
|
Usare questo modulo per comprendere l'approccio Zero Trust e come rafforza l'infrastruttura di sicurezza all'interno dell'organizzazione. |
| Formazione | Introduzione a Zero Trust e framework di procedure consigliate |
|---|---|
|
Usare questo modulo per informazioni sulle procedure consigliate che gli architetti della cybersecurity usano e alcuni framework di procedure consigliate principali per le funzionalità di cybersecurity Microsoft. Si apprenderà anche il concetto di Zero Trust e come iniziare a usare Zero Trust nell'organizzazione. |
Passaggi successivi
Usare altri contenuti Zero Trust in base a un set di documentazione o ai ruoli dell'organizzazione.
Set di documentazione
Seguire questa tabella per i set di documentazione Zero Trust migliori per le proprie esigenze.
| Set di documentazione | Ti aiuta... | Ruoli |
|---|---|---|
| Framework di adozione per la guida su fasi e passaggi per le principali soluzioni e risultati aziendali | Applicare protezioni Zero Trust dalla suite C all'implementazione IT. | Architetti della sicurezza, team IT e project manager |
| Distribuzione dei pilastri tecnologici per le informazioni concettuali e gli obiettivi di distribuzione | Applicare protezioni Zero Trust allineate alle aree tecnologiche IT tipiche. | Team IT e personale addetto alla sicurezza |
| Zero Trust per le piccole imprese | Applicare i principi Zero Trust ai clienti di piccole imprese. | Clienti e partner che collaborano con Microsoft 365 per le aziende |
| l' RaMP (Piano di Modernizzazione Rapida Zero Trust) per linee guida ed elenchi di controllo nella gestione dei progetti per ottenere successi rapidi | Implementare rapidamente i livelli chiave di Protezione Zero Trust. | Architetti della sicurezza e implementatori IT |
| piano di distribuzione Zero Trust con Microsoft 365 per istruzioni dettagliate e passo passo sulla progettazione e distribuzione | Applicare protezioni Zero Trust all'organizzazione di Microsoft 365. | Team IT e personale addetto alla sicurezza |
| Zero Trust per Microsoft Copilots per indicazioni dettagliate e progressive sulla progettazione e la distribuzione | Applicare protezioni Zero Trust a Microsoft Copilots. | Team IT e personale addetto alla sicurezza |
| Zero Trust per i servizi di Azure per indicazioni dettagliate sulla progettazione e sulla distribuzione | Applicare protezioni Zero Trust ai carichi di lavoro e ai servizi di Azure. | Team IT e personale addetto alla sicurezza |
| integrazione di Partner con Zero Trust per linee guida di progettazione per aree tecnologiche e specializzazioni | Applicare protezioni Zero Trust alle soluzioni cloud Microsoft partner. | Sviluppatori partner, team IT e personale addetto alla sicurezza |
| Sviluppare usando i principi Zero Trust per linee guida e procedure consigliate per lo sviluppo di applicazioni | Applicare protezioni Zero Trust all'applicazione. | Sviluppatori di applicazioni |
Ruolo
Seguire questa tabella per i set di documentazione migliori per i ruoli dell'organizzazione.
| Ruolo | Set di documentazione | Ti aiuta... |
|---|---|---|
| Architetto della sicurezza Responsabile del progetto IT Implementatore IT |
Framework di adozione per la fase e linee guida dettagliate per le principali soluzioni e risultati aziendali | Applicare protezioni Zero Trust dalla suite C all'implementazione IT. |
| Membro di un team IT o della sicurezza | Distribuzione per i pilastri della tecnologia per informazioni concettuali e obiettivi di distribuzione | Applicare protezioni Zero Trust allineate alle aree tecnologiche IT tipiche. |
| Cliente o partner per Microsoft 365 per le aziende | Zero Trust per le piccole imprese | Applicare i principi Zero Trust ai clienti di piccole imprese. |
| Architetto della sicurezza Implementatore IT |
l' RaMP (Zero Trust Rapid Modernization Plan) per la gestione dei progetti, con linee guida ed elenchi di controllo per risultati rapidi | Implementare rapidamente i livelli chiave di Protezione Zero Trust. |
| Membro di un team IT o di sicurezza per Microsoft 365 | Piano di distribuzione Zero Trust per Microsoft 365 per linee guida dettagliate e passo-passo sulla progettazione e distribuzione di Microsoft 365 | Applicare protezioni Zero Trust all'organizzazione di Microsoft 365. |
| Membro di un team IT o di sicurezza per Microsoft Copilots | Zero Trust per Microsoft Copilot per indicazioni passo-passo e dettagliate sulla progettazione e distribuzione | Applicare protezioni Zero Trust a Microsoft Copilots. |
| Membro di un team IT o di sicurezza per i servizi di Azure | Zero Trust per i servizi di Azure per indicazioni dettagliate sulla progettazione e sulla distribuzione | Applicare protezioni Zero Trust ai carichi di lavoro e ai servizi di Azure. |
| Sviluppatore partner o membro di un team IT o di sicurezza | integrazione di Partner con Zero Trust per linee guida di progettazione per aree tecnologiche e specializzazioni | Applicare protezioni Zero Trust alle soluzioni cloud Microsoft partner. |
| Sviluppatore di applicazioni | Sviluppare usando i principi Zero Trust per linee guida di progettazione e procedure consigliate per lo sviluppo di applicazioni | Applicare protezioni Zero Trust all'applicazione. |
Collegamenti correlati
Panoramica di Zero Trust: questo video fornisce informazioni su:
- Definizione "Zero Trust"
- Principi zero trust
- Concetti fondamentali di Zero Trust
- Rapida vittoria del piano di modernizzazione (RaMP)
Zero Trust - The Open Group: Questo video offre la prospettiva di un'organizzazione di standardizzazione su Zero Trust.