Sicurezza Zero Trust: cos'è e perché ogni azienda ne ha bisogno

TL;DR

La sicurezza zero trust è un modello di cybersecurity che elimina la fiducia implicita da ogni livello di una rete. Invece di assumere che utenti e dispositivi all'interno del perimetro aziendale siano sicuri, zero trust richiede la verifica continua di ogni richiesta di accesso indipendentemente dall'origine. Costruito su tre principi (verificare esplicitamente, usare l'accesso con privilegi minimi, assumere la violazione), questo framework è ora obbligatorio per le agenzie federali statunitensi in base all'Executive Order 14028 e adottato da oltre il 60% delle aziende nel mondo. Questa guida copre l'architettura centrale definita dal NIST SP 800-207, i passi pratici di implementazione e perché l'identità ha sostituito il firewall come il vero perimetro di sicurezza.

Era un martedì mattina quando il team di sicurezza di un'azienda di servizi finanziari di medie dimensioni ha scoperto che 11 gigabyte di record dei clienti erano stati esfiltrati durante il fine settimana precedente. L'attaccante non aveva violato il firewall. Non aveva sfruttato una vulnerabilità zero-day. Aveva semplicemente rubato le credenziali VPN di un singolo dipendente attraverso un'email di phishing, si era connesso alla rete aziendale da un caffè in un altro paese e si era mosso lateralmente attraverso l'intera infrastruttura senza una singola verifica aggiuntiva. La VPN aveva fatto esattamente ciò per cui era stata progettata: concedere accesso completo alla rete a chiunque avesse credenziali valide. Il problema era che «credenziali valide» e «utente attendibile» erano stati trattati come la stessa cosa.

Questa è la modalità di fallimento che la sicurezza zero trust è stata costruita per prevenire. Non un fallimento della tecnologia, ma un fallimento dell'assunzione. L'assunzione che il perimetro di rete sia il confine tra sicuro e insicuro. L'assunzione che autenticato significhi autorizzato. L'assunzione che chi ha superato il cancello d'ingresso debba avere accesso a ogni stanza dell'edificio.

Il problema del perimetro: perché la sicurezza tradizionale fallisce

Per decenni, la sicurezza di rete ha operato su un modello a castello e fossato. Costruire un perimetro forte con firewall, sistemi di rilevamento delle intrusioni e VPN. Tenere le minacce fuori. Fidarsi di tutto ciò che è dentro.

Questo modello funzionava quando le reti avevano confini chiari. I dipendenti lavoravano in ufficio, su dispositivi aziendali, accedendo a server in un data center locale. Il perimetro era fisico e definibile. Se eri dentro l'edificio e connesso alla rete, eri attendibile.

Quel mondo non esiste più. Il cloud computing ha spostato applicazioni e dati fuori dal data center aziendale. Il lavoro remoto ha spostato gli utenti fuori dall'ufficio. Le policy bring-your-own-device hanno introdotto endpoint non gestiti. Appaltatori, partner e fornitori hanno bisogno di accedere ai sistemi interni da reti esterne. Il perimetro non si è solo espanso; si è dissolto.

Secondo l'IBM Cost of a Data Breach Report 2025, le credenziali compromesse rimangono il vettore di attacco iniziale più comune, rappresentando il 16% di tutte le violazioni. Quando un attaccante ottiene credenziali valide, le difese perimetrali diventano invisibili. L'attaccante è autenticato. In un modello tradizionale, questo significa attendibile. E attendibile significa senza restrizioni.

L'azienda di servizi finanziari della nostra storia iniziale aveva investito milioni nella sicurezza perimetrale. Firewall di nuova generazione, sistemi di prevenzione delle intrusioni, un SOC 24/7. Niente di tutto ciò ha contato perché l'attaccante era già dentro il perimetro con un'identità legittima. Una volta dentro, non ha incontrato nessuna ulteriore verifica, nessuna segmentazione, nessuna analisi comportamentale che mettesse in dubbio perché un dipendente della finanza stesse improvvisamente accedendo ai database dell'ingegneria alle 3 di notte di un sabato.

Cosa significa realmente Zero Trust

Il termine «zero trust» è stato coniato nel 2010 dall'analista di Forrester Research John Kindervag. L'intuizione centrale era ingannevolmente semplice: smettere di concedere fiducia implicita basata sulla posizione di rete. Invece, verificare ogni richiesta di accesso come se provenisse da una rete aperta e non attendibile.

Zero trust non è un prodotto. Non è un sostituto del firewall. È una filosofia architetturale costruita su tre principi fondamentali.

Verificare esplicitamente

Ogni richiesta di accesso deve essere autenticata e autorizzata sulla base di tutti i punti dati disponibili. Non solo nome utente e password. Identità, stato del dispositivo, posizione, la risorsa a cui si accede, l'ora del giorno e il pattern comportamentale della richiesta contribuiscono tutti alla decisione di accesso. Un utente che accede dal suo laptop abituale nella sua città abituale durante l'orario lavorativo presenta un profilo di rischio diverso rispetto alle stesse credenziali usate da un dispositivo non riconosciuto in un paese sconosciuto a mezzanotte.

Usare l'accesso con privilegi minimi

Concedere il livello minimo di accesso necessario per eseguire un compito specifico, per la durata minima necessaria. Un ingegnere che sta debuggando un problema di produzione ha bisogno di accesso in lettura a log specifici per una finestra temporale limitata, non di accesso amministratore permanente all'intero ambiente di produzione. Le policy di accesso just-in-time e just-enough-access sostituiscono i privilegi permanenti che persistono indefinitamente.

Assumere la violazione

Progettare ogni sistema con l'assunzione che un attaccante sia già dentro la rete. Questo cambia tutto su come si progettano le difese. Si segmenta la rete in micro-perimetri in modo che un endpoint compromesso non possa raggiungere sistemi non correlati. Si cifrano i dati in transito anche sulle reti interne. Si monitora il movimento laterale, l'escalation dei privilegi e il comportamento anomalo in modo continuo, non solo al perimetro.

Il framework NIST SP 800-207

Nell'agosto 2020, il National Institute of Standards and Technology ha pubblicato la Special Publication 800-207, il framework tecnico definitivo per l'architettura zero trust. Questo documento ha trasformato zero trust da una parola d'ordine di marketing in uno standard strutturato e implementabile.

Il NIST definisce l'architettura zero trust intorno a diversi componenti logici centrali.

Il Policy Engine prende la decisione di accesso. Valuta ogni richiesta rispetto alle policy organizzative, ai punteggi di rischio, ai feed di threat intelligence e ai dati contestuali per determinare se l'accesso deve essere concesso, negato o concesso con condizioni (come richiedere un'autenticazione rafforzata).

Il Policy Administrator esegue la decisione. Invia comandi al punto di applicazione per stabilire o terminare la sessione di accesso. Comunica con il policy engine per trasmettere la decisione e con il piano dati per configurare il percorso di comunicazione.

Il Policy Enforcement Point è il guardiano. Si posiziona tra l'utente e la risorsa, abilitando o bloccando le connessioni in base alle istruzioni del policy administrator. Immaginalo come la porta che si apre solo quando il policy engine dice sì.

Questi componenti lavorano insieme per valutare ogni richiesta di accesso in tempo reale. Un utente che richiede accesso a un database attiva una catena: il punto di applicazione intercetta la richiesta, il policy engine la valuta rispetto a identità, postura del dispositivo e segnali contestuali, e il policy administrator apre la connessione o la nega.

Ciò che rende il framework NIST pratico è che non prescrive tecnologie specifiche. Puoi implementare il policy engine con il tuo provider di identità esistente, il punto di applicazione con la tua infrastruttura di rete esistente e il policy administrator attraverso automazione e orchestrazione. Il framework è vendor-neutral per design.

Identità: il nuovo perimetro

In un'architettura zero trust, l'identità sostituisce la rete come confine di sicurezza primario. La domanda non è più «Questa richiesta viene dall'interno della rete aziendale?» È «Chi sta facendo questa richiesta, da quale dispositivo, in quale contesto, e ha una ragione legittima per accedere a questa risorsa specifica proprio ora?»

Questo cambiamento richiede una gestione robusta delle identità e degli accessi. L'autenticazione multifattore diventa non negoziabile, non come una comodità opzionale ma come una baseline obbligatoria. Secondo il Modello di Maturità Zero Trust della CISA, la MFA resistente al phishing (chiavi di sicurezza hardware, token FIDO2) è la fondazione del pilastro dell'identità. La MFA tradizionale basata su SMS è migliore delle sole password ma rimane vulnerabile al SIM swapping e all'intercettazione.

Oltre all'autenticazione, zero trust richiede autorizzazione continua. Una sessione che era legittima quando è iniziata potrebbe non rimanere tale. Se il dispositivo di un utente non supera un controllo di salute a metà sessione, se il suo comportamento devia dai pattern stabiliti, se la threat intelligence identifica il suo account in un dump di credenziali, il sistema deve essere in grado di revocare l'accesso in tempo reale, senza attendere la scadenza della sessione.

Qui è dove la governance delle identità si interseca con il rilevamento e risposta degli endpoint. Il dispositivo che richiede accesso è tanto importante quanto la persona che lo usa. Un laptop non aggiornato con antivirus disabilitato che si connette alla rete aziendale da una rete Wi-Fi compromessa non dovrebbe ricevere lo stesso accesso di un dispositivo completamente gestito e aggiornato su una connessione sicura, anche se le credenziali dell'utente sono identiche.

Implementare Zero Trust: una roadmap pratica

Passare dalla sicurezza perimetrale a zero trust è una trasformazione pluriennale per la maggior parte delle organizzazioni. Ecco un approccio per fasi che fornisce valore a ogni stadio.

Fase 1: Mappare la superficie di protezione

Prima di poter proteggere qualcosa, devi sapere cosa conta. La superficie di protezione è l'inverso della superficie di attacco: sono i dati, le applicazioni, gli asset e i servizi (DAAS) critici che la tua organizzazione non può permettersi di perdere. Dati dei clienti, sistemi finanziari, proprietà intellettuale, tecnologia operativa. Mappa ogni superficie di protezione e identifica chi ha bisogno di accedere a ciascuna e perché.

Fase 2: Rafforzare l'identità

Distribuisci MFA resistente al phishing su tutti gli account utente, partendo dagli account privilegiati e dall'accesso amministrativo. Implementa il single sign-on (SSO) con policy di accesso condizionale che valutano la postura del dispositivo e la posizione. Stabilisci una baseline del comportamento normale degli utenti per poter rilevare le anomalie. Rimuovi i privilegi permanenti e sostituiscili con provisioning di accesso just-in-time.

Fase 3: Segmentare la rete

Sostituisci le reti piatte con la microsegmentazione. Ogni superficie di protezione ottiene il proprio micro-perimetro con controlli di accesso dedicati. Un endpoint compromesso nel dipartimento marketing non dovrebbe poter raggiungere l'ambiente di elaborazione dei pagamenti. Le reti software-defined e i firewall di nuova generazione consentono la segmentazione senza riprogettazione fisica della rete.

Fase 4: Costruire il policy engine

Definisci e automatizza le policy di accesso per ogni superficie di protezione. Le policy devono valutare molteplici segnali: verifica dell'identità, conformità del dispositivo, posizione di rete, ora del giorno, sensibilità della risorsa e analisi comportamentale. Inizia con policy a granularità grossolana e affinale man mano che raccogli dati sui pattern di accesso.

Fase 5: Monitorare tutto

Zero trust assume la violazione. Questo significa monitoraggio continuo degli indicatori di compromissione, del movimento laterale e dell'escalation dei privilegi. Alimenta i log di ogni componente (provider di identità, agenti endpoint, sensori di rete, log applicativi) nel tuo SIEM e applica analisi comportamentale. L'obiettivo non è solo prevenire l'accesso non autorizzato ma rilevarlo e contenerlo quando la prevenzione fallisce.

Adozione nel mondo reale: dove si trova il settore

Zero trust non è più teorico. Nel maggio 2021, il presidente Biden ha firmato l'Executive Order 14028, richiedendo a tutte le agenzie federali statunitensi di adottare l'architettura zero trust. Il Dipartimento della Difesa ha pubblicato la propria strategia zero trust nel novembre 2022, stabilendo una scadenza al 2027 per l'implementazione completa su tutte le reti militari.

Il settore privato sta seguendo. Secondo Gartner, entro il 2027, il 70% dei nuovi deployment di accesso remoto sarà servito da zero trust network access (ZTNA) piuttosto che da servizi VPN tradizionali. Le organizzazioni che implementano architetture zero trust riducono il costo medio di una violazione dei dati del 43% rispetto a quelle che non lo fanno, secondo IBM.

Questa adozione è guidata tanto dall'economia quanto dalla sicurezza. Mantenere un perimetro tradizionale attraverso ambienti cloud, forze lavoro remote ed ecosistemi di partner è sempre più costoso e complesso. Zero trust riduce il raggio d'impatto di qualsiasi singola compromissione, il che riduce direttamente i costi di risposta agli incidenti, le sanzioni normative e il danno reputazionale.

Il ruolo di cloud security engineer è cresciuto come risposta diretta a questo cambiamento. Man mano che le organizzazioni migrano i carichi di lavoro su AWS, Azure e GCP, hanno bisogno di ingegneri che comprendano come implementare i principi zero trust in ambienti cloud-native dove il perimetro di rete tradizionale non esiste affatto.

Errori comuni nell'implementazione di Zero Trust

Trattare zero trust come un acquisto di prodotto. I fornitori ti venderanno «soluzioni zero trust». Nessun singolo prodotto fornisce zero trust. È un'architettura che coordina controlli di identità, rete, endpoint, applicazione e dati. Un fornitore può fornire componenti; tu devi fornire la strategia.

Partire dalla rete invece che dall'identità. La microsegmentazione è importante, ma fornisce valore limitato se gli attaccanti possono ancora muoversi liberamente usando credenziali compromesse. Parti dall'identità. Implementa correttamente MFA, accesso condizionale e gestione dei privilegi prima. Poi aggiungi i controlli di rete.

Ignorare l'esperienza utente. Se zero trust rende il lavoro legittimo significativamente più difficile, i dipendenti troveranno soluzioni alternative. Shadow IT, credenziali condivise e controlli di sicurezza disabilitati emergono quando la sicurezza crea frizione eccessiva. Le migliori implementazioni zero trust sono invisibili agli utenti durante le operazioni normali e introducono sfide solo quando i segnali di rischio si alzano.

Non monitorare dopo l'implementazione. Zero trust non è «configura e dimentica». Richiede ottimizzazione continua delle policy, monitoraggio costante di nuovi pattern di attacco e rivalutazione regolare delle superfici di protezione man mano che il business evolve. Il principio di assumere la violazione significa che stai sempre cercando prove che le tue difese siano state aggirate.

Cosa significa Zero Trust per la tua carriera

Comprendere l'architettura zero trust non è più opzionale per i professionisti della cybersecurity. È una competenza fondamentale. Architetti di sicurezza che progettano ambienti zero trust, ingegneri dell'identità che implementano autenticazione resistente al phishing, analisti SOC che monitorano reti microsegmentate e responsabili della conformità che verificano l'aderenza al NIST 800-207 sono tutti in crescente domanda.

Se stai costruendo una carriera nella cybersecurity, la conoscenza di zero trust ti differenzia dai candidati che comprendono solo la sicurezza perimetrale legacy. Studia il framework NIST. Costruisci un ambiente di laboratorio dove sperimentare con provider di identità, policy di accesso condizionale e segmentazione della rete. Comprendi come i principi zero trust si applicano negli ambienti cloud dove il perimetro di rete tradizionale non esiste.

L'azienda di servizi finanziari dall'inizio di questo articolo alla fine ha ricostruito la sua architettura di sicurezza intorno ai principi zero trust. La VPN è stata sostituita dal ZTNA. Ogni richiesta di accesso passa ora attraverso un policy engine che valuta identità, salute del dispositivo e contesto comportamentale. La segmentazione della rete garantisce che le credenziali compromesse in un dipartimento non possano raggiungere i dati di un altro. Il progetto ha richiesto 22 mesi. Il successivo tentativo di phishing delle credenziali è stato contenuto a una singola applicazione con accesso in sola lettura, rilevato entro 4 minuti e terminato automaticamente.

Questa è la promessa della sicurezza zero trust. Non che le violazioni non accadranno mai, ma che quando accadranno, il raggio d'impatto si misura in minuti e megabyte piuttosto che in mesi e terabyte.