Qual è il principio centrale?

Mai fidarsi, sempre verificare. La sicurezza perimetrale tradizionale assumeva che utenti e sistemi all'interno della rete fossero affidabili; Zero Trust assume la rete come ostile e richiede che ogni richiesta, indipendentemente dall'origine, sia autenticata, autorizzata e valutata in continuo secondo contesto come identità, postura del dispositivo, posizione e comportamento.

In cosa differisce da una VPN?

Le VPN concedono accesso ampio alla rete dopo l'autenticazione, esponendo intere subnet. ZTNA concede accesso applicativo tramite un Policy Decision Point che rivaluta ogni richiesta, verifica la postura del dispositivo e limita il movimento laterale. Soluzioni: Zscaler, Cloudflare Access, Tailscale, Cisco Duo Network Gateway.

Cos'è NIST SP 800-207?

Pubblicazione speciale NIST del 2020 sull'architettura Zero Trust. Definisce componenti (Policy Engine, Policy Administrator, Policy Enforcement Point), principi e modelli di deployment. Le agenzie federali USA devono allinearvisi tramite OMB M-22-09.

È un percorso pluriennale, non un prodotto. Inventaria asset, identità, flussi. Rafforza l'identità (MFA, conditional access). Distribuisci ZTNA. Aggiungi microsegmentazione. Strumenta con telemetria. Itera. CISA, NIST e Microsoft offrono modelli di maturità.

Modello Zero Trust Spiegato

Perché È Importante

Il modello tradizionale castle-and-moat presupponeva perimetri forti attorno a reti interne fidate. Quel presupposto è crollato sotto la pressione di cloud, lavoro remoto, BYOD e supply chain integrate. Una volta che gli attaccanti superano il perimetro, spesso tramite phishing o credenziali rubate, il movimento laterale verso obiettivi di valore diventa banale.

Zero Trust affronta questo trattando ogni richiesta come non fidata. Grandi incidenti come SolarWinds, Microsoft Storm-0558 e innumerevoli eventi ransomware mostrano come gli attacchi basati su identità e movimento laterale aggirino le difese perimetrali. È direttiva federale USA (OMB M-22-09) e approccio raccomandato in tutti i settori.

Principi Centrali (NIST SP 800-207)

Principi Zero Trust

Centrato sull'Identità

Verifica Continua

Privilegio Minimo

Assumere il Compromesso

Cifrare Tutto

Tutte le fonti dati e i servizi sono considerati risorse.
Ogni comunicazione è protetta indipendentemente dalla posizione.
L'accesso è concesso per sessione, non persistente.
L'accesso è determinato da policy dinamica.
L'azienda monitora integrità e postura di tutti gli asset.
Autenticazione e autorizzazione sono dinamiche e applicate rigorosamente prima dell'accesso.
La telemetria viene raccolta e usata per migliorare la postura.

Architettura di Riferimento

Componenti Zero Trust

Utente/Dispositivo

Punto di Applicazione

Motore di Policy

Risorsa

Telemetria Continua

Componente	Ruolo
Subject	Utente o servizio
PEP	Policy Enforcement Point
PE	Motore di policy
PA	Amministratore di policy
Resource	Bersaglio protetto

Pilastri (CISA)

Identità: MFA resistente al phishing, IAM moderno, JIT
Dispositivi: postura, MDM, EDR
Reti: microsegmentazione, traffico interno cifrato
Applicazioni: dev sicuro, mTLS, runtime protection
Dati: classificazione, cifratura, DLP

ZTNA vs VPN

ztna-vs-vpn.txt

Text

VPN legacy:
- Accesso ampio alla rete dopo auth
- Single point of failure
- Rischio movimento laterale
- Spesso ignara della postura

ZTNA:
- Accesso solo a livello applicativo
- Valutazione continua della policy
- Postura e identità richieste per sessione
- Default-deny con allow espliciti

Roadmap

Inventario: asset, identità, app, flussi dati
Fondamenta identità: SSO, MFA ovunque, conditional access
Fiducia del dispositivo: gestiti/conformi
Accesso applicativo: ZTNA davanti ad app a rischio
Microsegmentazione: limitare il traffico est-ovest
Protezione dati: classificazione e cifratura policy-based
Telemetria & analytics: SIEM/XDR
Iterare

Idee Sbagliate Comuni

Concetti Correlati

Nel Bootcamp

Come insegniamo Zero Trust

Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Zero Trust. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 8: Operazioni di Sicurezza Avanzate

Argomenti correlati che padroneggerai:Risposta agli IncidentiDFIRThreat HuntingVolatility

Scopri come lo insegniamo

360+ ore di formazione esperta • CompTIA Security+ incluso

Blog

Guide alla carriera

Glossario

Certificazioni

Confronti

Strumenti

Autori

Formazione aziendale

Assumi i nostri talenti

Zero Trust