Homepage
Torna alla panoramica

Zero Trust

Il Zero Trust è un concetto di sicurezza basato sul principio "never trust, always verify". Nessun utente, nessun dispositivo e nessuna applicazione viene considerato automaticamente affidabile, nemmeno quando si trova già nella rete interna. Invece di affidarsi alla classica sicurezza perimetrale, che considera sicuro tutto ciò che si trova all'interno della rete aziendale, il Zero Trust richiede una verifica esplicita dell'identità, dello stato del dispositivo e del contesto ad ogni tentativo di accesso.

Il meccanismo centrale del Zero Trust è l'autenticazione continua e il principio del privilegio minimo. Ogni accesso viene valutato dinamicamente in base a fattori come identità dell'utente, configurazione del dispositivo, posizione e modelli di comportamento. Tecnologie come l'autenticazione a più fattori, il Conditional Access e la microsegmentazione garantiscono che gli utenti possano accedere solo alle risorse di cui hanno effettivamente bisogno per il loro specifico compito.

Uno scenario di utilizzo tipico sono le aziende con molti dipendenti sul campo che accedono quotidianamente ai dati aziendali da dispositivi e luoghi diversi. Anche gli enti scolastici che gestiscono tablet e laptop su più sedi scolastiche traggono vantaggio dall'approccio Zero Trust, poiché i dispositivi ottengono accesso ai sistemi sensibili solo quando sono configurati in modo dimostrabilmente sicuro. Enti pubblici e istituzioni utilizzano inoltre il concetto per soddisfare in modo strutturato requisiti normativi come la direttiva NIS2 o il GDPR.

Un vantaggio fondamentale del Zero Trust è la riduzione del raggio d'azione in caso di attacco. Anche se un dispositivo o un account utente viene compromesso, il rigido controllo degli accessi impedisce agli aggressori di muoversi lateralmente nella rete e di accedere ad ulteriori risorse. Questo rende il Zero Trust una delle strategie più efficaci contro scenari di minaccia moderni come ransomware o attacchi interni.

L'implementazione del Zero Trust inizia a livello di dispositivo, poiché solo i dispositivi finali che risultano conformi alle policy di sicurezza definite ottengono accesso ai dati aziendali. Come questo possa essere attuato in modo coerente in una infrastruttura IT conforme al GDPR viene descritto in dettaglio seguendo il link.