Zero Trust: non fidarsi mai, verificare sempre
CYBERSECURITY E RESILIENZA DIGITALE
Zero Trust: non fidarsi mai, verificare sempre
Il concetto di Zero Trust sta rivoluzionando la sicurezza informatica. In parole semplici, significa che nessun utente o dispositivo viene considerato automaticamente affidabile, nemmeno se fa parte della rete aziendale. Ogni volta che qualcuno tenta di accedere a una risorsa – che sia un’applicazione, un database o un file – il sistema verifica la sua identità e i suoi permessi prima di concedere l’accesso. Inoltre, questa verifica non avviene solo al momento del login iniziale, ma continuamente durante la sessione: se qualcosa cambia (per esempio l’IP di provenienza o lo stato di sicurezza del dispositivo), l’accesso può essere revocato finché l’utente non si riautentica.
Zero Trust nasce dalla necessità di proteggere dati e servizi in un mondo senza un “perimetro” definito. Con il cloud, lo smart working e i dispositivi mobili, i vecchi firewall perimetrali non bastano più. Zero Trust assume che la rete sia sempre a rischio e “chiude a chiave” ogni porta: solo chi ha la chiave giusta (credenziali + ulteriori fattori di autenticazione) e l’autorizzazione ottiene l’accesso, e solo alle risorse strettamente necessarie (principio del privilegio minimo). Un paragone pratico: anziché avere un edificio dove basta entrare dalla porta principale per girare liberamente in tutti gli uffici, con Zero Trust ogni porta di ogni stanza ha la sua serratura e controllo accessi.
Questo modello migliora anche la resilienza: se un hacker ruba le credenziali di un impiegato, con Zero Trust non riuscirà comunque ad accedere ad altri sistemi oltre a quelli per cui quell’impiegato era autorizzato, e potrebbe incontrare barriere ulteriori (ad esempio dover superare un’autenticazione a più fattori che non possiede). Implementazioni Zero Trust efficaci riducono quindi i movimenti laterali degli attaccanti dentro la rete. Non a caso, il governo USA ha emanato linee guida affinché tutte le agenzie adottino architetture Zero Trust nei prossimi anni.
Per iniziare un percorso Zero Trust, molte aziende cominciano mappando le risorse critiche e impostando controlli di accesso rigorosi su di esse. Ad esempio, i server contenenti dati sensibili vengono isolati in segmenti di rete appositi (microsegmentazione) accessibili solo tramite gateway autenticati. Ogni dipendente utilizza una VPN Zero Trust o sistemi di autenticazione contestuale per accedere alle applicazioni interne, anche quando è in ufficio (come fa Google nel suo modello BeyondCorp). Così si elimina la differenza tra “dentro la rete” e “fuori dalla rete”: tutto è “fuori” finché non dimostri chi sei.
Zero Trust non riguarda solo la tecnologia, ma anche la mentalità aziendale: fidarsi è bene, non fidarsi è meglio. Questa filosofia porta a esaminare con attenzione ogni richiesta di accesso e ad attribuire permessi con parsimonia. Il risultato finale è una postura di sicurezza più robusta, pronta ad affrontare minacce avanzate, perché presume la violazione e pone rimedi attivi in ogni punto di ingresso.
Bibliografia:
Kaspersky – “Cos’è la sicurezza Zero Trust?” (2023), spiegazione in italiano del paradigma Zero Trust (ogni utente è inaffidabile fino a prova contraria, verifica continua delle autorizzazioni).
IBM – “Zero Trust in modern networks” (2024), conferma adozione diffusa (2/3 delle organizzazioni implementano Zero Trust) e spinta normativa (ordine esecutivo USA 2021).
Forrester – Whitepaper Zero Trust (2019), documento originale che coniò il termine Zero Trust e i suoi principi fondamentali.