"Non fidarti mai, verifica sempre." Questo e il principio fondante dell'architettura Zero Trust, un approccio alla sicurezza che sta rivoluzionando il modo in cui le aziende proteggono le proprie reti. L'idea e semplice ma radicale: nessun utente, dispositivo o applicazione e considerato affidabile per default, nemmeno se si trova gia all'interno della rete aziendale.
Il modello tradizionale — "castello e fossato", dove tutto cio che e dentro il perimetro e sicuro — e obsoleto. Con lo smart working, il cloud e gli attacchi che aggirano il perimetro, la rete interna non e piu un rifugio sicuro. Lo Zero Trust e la risposta a questa nuova realta, e si allinea perfettamente con i principi della NIS2.
I 5 pilastri dello Zero Trust
- Verifica esplicita — autentica e autorizza ogni richiesta di accesso basandosi su tutti i segnali disponibili: identita, dispositivo, posizione, comportamento
- Accesso con privilegio minimo — ogni utente e dispositivo accede solo a cio che serve, niente di piu
- Presupponi la violazione — progetta i sistemi assumendo che l'attaccante sia gia dentro la rete
- Microsegmentazione — dividi la rete in zone granulari, controllando il traffico tra ognuna
- Monitoraggio continuo — verifica continuamente la postura di sicurezza di utenti e dispositivi
Zero Trust nella pratica
Implementare lo Zero Trust non significa comprare un prodotto — e un cambio di paradigma. Si parte dall'identita: ogni accesso parte dall'autenticazione forte (MFA), ogni sessione e verificata continuamente. Poi si passa alla microsegmentazione: la rete viene divisa in zone con policy di accesso granulari. Infine, il monitoraggio: ogni attivita viene loggata e analizzata per rilevare anomalie.
Per un'azienda che parte da zero, l'implementazione e graduale. Si comincia dalle risorse piu critiche (dati sensibili, sistemi core) e si estende progressivamente. Non serve fare tutto in una volta — i benefici si vedono gia con i primi passi.
Zero Trust e NIS2: l'allineamento
L'architettura Zero Trust si allinea naturalmente con i requisiti NIS2. La NIS2 richiede: misure di controllo degli accessi (Zero Trust le rafforza), monitoraggio continuo (il ZTNA lo prevede), protezione da movimento laterale (la microsegmentazione lo impedisce), approccio risk-based (Zero Trust e per definizione basato sulla valutazione continua del rischio). Adottare lo Zero Trust non e un obbligo NIS2 esplicito, ma facilita enormemente la compliance.
Tecnologie Zero Trust
| Tecnologia | Funzione | Esempi |
|---|---|---|
| ZTNA | Accesso remoto Zero Trust (sostituisce la VPN) | Zscaler, Cloudflare Access, Netskope |
| MFA | Autenticazione forte multi-fattore | Okta, Duo, Microsoft Authenticator |
| IAM/PAM | Gestione identita e accessi privilegiati | CyberArk, BeyondTrust, Azure AD |
| Microsegmentazione | Segmentazione granulare della rete | Illumio, Guardicore, VMware NSX |
| CASB | Controllo accesso al cloud | Netskope, McAfee, Microsoft Defender |
| SASE | Sicurezza e rete integrati nel cloud | Zscaler, Palo Alto Prisma, Fortinet |
Roadmap di implementazione per PMI
Per una PMI, lo Zero Trust completo e un obiettivo a medio-lungo termine. Ecco un percorso realistico:
- Mese 1-3: MFA su tutti gli accessi critici (email, VPN, cloud, admin)
- Mese 3-6: Inventario asset e classificazione dati, policy di accesso basate sul ruolo
- Mese 6-9: Segmentazione rete base (IT vs OT, utenti vs server, guest vs corporate)
- Mese 9-12: ZTNA per l'accesso remoto (sostituire la VPN tradizionale)
- Anno 2: Microsegmentazione avanzata, monitoraggio continuo, revisione e ottimizzazione