In un precedente articolo ( “I 5 principi del modello Zero Trust“) abbiamo illustrato cos’è il modello Zero Trust e quali sono le sue componenti principali, in questo invece vogliamo affrontare il modello Zero Trust dal punto di vista dello sviluppatore software.
Come si applica il modello Zero Trust al software
Il modello Zero Trust, nell’ambito dello sviluppo, sposta la responsabilità di garantire la sicurezza dal classico perimetro di rete all’applicazione software. L’applicazione stessa deve avere la capacità di effettuare l’enforcement e la validazione di policy di sicurezza, anche molto granulari, inoltre di assicurarsi che ogni utente possa accedere solo alle informazioni per le quali è autorizzato.
In pratica, in un ambiente Zero Trust, lo sviluppatore software non può cavarsela solo implementando un meccanismo di autenticazione ed autorizzazione demandando a Firewall, Intrusion Prevention System(IPS)/Intrusion Detection System(IDS), Web Application Firewall(WAF), ecc.. la sicurezza dell’applicazione ma deve essere pienamente consapevole che la sicurezza va garantita lungo tutte le fasi dell’interazione dell’utente con il software.
Contattaci subito e senza impegno per garantire la sicurezza della tua applicazione.
Le funzionalità dell’applicazione in un ambiente Zero Trust
Quando vuoi realizzare un’applicazione aderente al modello Zero Trust devi:
- valutare completamente il contesto di ogni sessione e determinarne i rischi;
- definire quali siano i fattori critici che ti permettono la verifica di tipo “zero trust” come per es. l’identificazione dell’utente, lo stato del dispositivo mentre effettua la richiesta, la componente applicativa utilizzata ed i dati richiesti;
- assicurare che ogni richiesta,anche se sembra affidabile e proveniente da dispositivi ritenuti affidabili, venga passata al setaccio e verificata rispetto alle policy di sicurezza;
- implementare ogni possibile misura di sicurezza aggiuntiva come per es. il Multi Factor Authentication(MFA), controlli di compliance, Passwordless e behaviour analysis;
- assicurarti che in qualsiasi fase dell’interazione gli accessi siano garantiti basandosi esclusivamente su una whitelist.
In pratica devi utilizzare un approccio omnicomprensivo alla sicurezza dei dati che prenda in considerazione ogni singolo aspetto, come abbiamo indicato in un precedente articolo ( “Cos’è una misconfiguration, l’impatto nel Cloud e come prevenirla“) anche un account di servizio può essere sfruttato per compiere azioni malevole, pertanto non puoi sottovalutare niente.
Contattaci subito e senza impegno per garantire la sicurezza della tua applicazione.
Implementazione in pratica: l’importanza dei test
Concetti come “Security by Design” e “Security by Default” devono essere un mantra da seguire già dalle prime fasi dello sviluppo, vale a dire a partire dalla progettazione dell’architettura. Metodologie come il DevSecOps possono venirti in aiuto insieme ad un aspetto cruciale molto spesso sottovalutato: il testing!
Per verificare la corretta implementazione delle policy delle sicurezza nella tua applicazione e la sua robustezza ed affidabilità in caso di azioni malevoli devi, almeno, effettuare i seguenti test:
- Analisi statica del codice sorgente durante tutte le fasi;
- Analisi dinamica sull’applicazione anche attraverso User Acceptance Test(UAT);
- Fuzzing e Chaos ( ne abbiamo parlato in ” Come garantire la qualità del software: code review, stress test, fuzzing ed analisi funzionale);
- Penetration Test volti a verificare misconfiguration e possibilità di bypassare le policy di sicurezza.
A tutto questo dovrai aggiungere, soprattuto per software business critical, Software Composition Analysis(SCA) e Software Bill of Materials(SBOM) per garantirti il controllo su tutto il software di terze parti come librerie, plugin, moduli ed altre componenti che sono comunemente presenti in qualsiasi software moderno.
Contattaci subito e senza impegno per garantire la sicurezza della tua applicazione.
Glue Labs, il modello Zero Trust e la Sicurezza del Software
Siamo Google Cloud Partner ed abbiamo realizzato applicazioni per ambienti critici. Grazie all’esperienza maturata in tantissimi settori, con numerosi Clienti e con un solido gruppo aziendale ti forniamo supporto nel building e delivery di soluzioni di sicurezza Cloud based, nello sviluppo di applicazioni sicure con garanzia 12 mesi da qualsiasi bug e nella protezione dei tuoi dati da qualsiasi tipologia di attacco. Contattaci subito e senza impegno per maggiori informazioni.