• Collegamento a LinkedIn
  • Collegamento a Youtube
  • Collegamento a Facebook
Kinetikon S.r.l. - Torino - +39 011 0122340
Kinetikon
logo
  • Formazione per aziende
      • Formazione ICT
          • AI & Machine Learning Engineering
          • AI Literacy & Strategy
          • Backend Development
          • Business & Collaboration Platform
          • Cloud Native & Container Management
          • Cloud Platform Administration
          • Cybersecurity Fundamentals
          • Data & Business Intelligence
          • Database Management & Administration
          • Defensive Security & Operations
          • Digital Marketing
          • Frontend & Web Application Development
          • Governance & Compliance
          • IT Observability & Monitoring
          • Metodologie Agile & DevOps
          • Offensive Security & Penetration Testing
          • Project & IT Service Management
          • Strumenti e framework per lo sviluppo
          • System Network & Operations
        • Scarica il catalogo ICT & AI
      • Soft Skills for Tech People
          • Age Diversity Management
          • Comunicazione efficace per Team Tech
          • Cultura DE&I e Parità di Genere: strumenti per prepararsi alla certificazione UNI/PdR 125:2022
          • Cyber Crisis Communication
          • Gestione dello stress e sicurezza psicologica
          • La cultura del feedback nei team tech
          • Leadership Management
          • Product Mindset per Developer
          • Sviluppo strategico per team tech
        • Scarica il Catalogo – Soft Skill for Tech People
      • Formazione e-learning
        • Utilizzo consapevole dell’Intelligenza Artificiale
        • Cyber Security Awareness
        • Project Management Overview
        • Introduzione alla sostenibilità aziendale
        • Privacy & GDPR
        • Scarica il Catalogo dei corsi E-learning
      • Formazione certificata
        • Intelligenza Artificiale
          • Artificial Intelligence for Business Professional – AIBIZ
          • Generative AI for Business Professional
        • Cyber Security
          • CompTIA Security+
          • CompTIA PenTest+
          • CompTIA CySA+
        • Project & IT Service Management
          • ITIL® Foundation (Version 5)
          • ITIL® 4 Foundation
          • PRINCE2® – Foundation
          • PRINCE2® – Practitioner
          • ISIPM Base
          • Professional Scrum Product Owner I (PSPO I)
          • Professional Scrum Master I (PSM I)
          • Professional Scrum Master II (PSM II)
        • Scarica il Catalogo dei corsi con Certificazione
      • Sicurezza
          • Accordo Stato Regioni
          • Agenti Biologici e chimici
          • Agenti fisici
          • Antincendio
          • Attrezzi di sollevamento
          • BLSD
          • DPI
          • HACCP
          • LOTO
          • Mezzi di movimentazione
          • PES-PAV - PEI
          • Primo soccorso
          • RLS
          • Spazi confinati
        • Scarica il Catalogo – Salute e Sicurezza sul lavoro
  • Consulenza
      • Servizi IT
        • Penetration test
        • Fractional IT Manager
        • Consulenza gestionale per MSP e MSPP
        • Microsoft 365 & Security
        • Google Workspace Administration
      • Organizzativa
        • Project Management
        • Progettazione della formazione
        • Formazione Finanziata
      • Normativa
        • GDPR & DPO
        • ISO/IEC 27001
  • Info utili e Risorse
      • Contatti e info aziendali
        • Chi siamo
        • Contatti
        • Lavora con noi
      • Risorse Gratuite
        • Blog
  • Partnership e Accreditamenti
      • Partnership
        • Partner Accreditato PeopleCert
        • CertNexus Authorized Training Partner
        • CompTIA Authorized Delivery Partner
        • Red Hat Ready Business Partner
      • Accreditamenti
        • Ente accreditato dalla Regione Piemonte
        • Fondimpresa – Soggetto proponente qualificato
        • Fondirigenti – Soggetto proponente
        • Fondo Conoscenza – Soggetto Proponente
  • Menu Menu
Sei in: Home1 / News2 / Modello di sicurezza Zero Trust: i principi fondamentali
06 Marzo 2023

Modello di sicurezza Zero Trust: i principi fondamentali

Le aziende hanno, da sempre, legato il concetto di sicurezza informatica all’idea di perimetro: chiunque si trovi fuori dal perimetro aziendale è sospettabile, mentre chi è all’interno gode del beneficio del dubbio. L’assunzione che gli utenti interni siano naturalmente degni di fiducia è però sfociata in una serie di costosi data breach, in cui i malintenzionati hanno la libertà di fare ciò che vogliono, una volta superati il perimetro.

Il passo successivo è stato l’evoluzione verso strategie di sicurezza che si basano sull’identità delle persone: per accedere, gli utenti devono mostrare una metaforica carta d’identità, che determina se sono degni di fiducia e garantisce loro l’accesso all’intranet. Prodotti, servizi e sistemi per l’identity governance e l’IAM (identity access management) hanno iniziato a riempire il mercato per aiutare le aziende a rafforzare il perimetro.

L’idea di un perimetro solido e difensibile è però un’illusione nel mondo informatico di oggi, sempre più remoto e basato sul cloud, dove la superfice di attacco non è mai statica o inespugnabile. Per questo motivo, un nuovo concetto sta guadagnando sempre più approvazione: la sicurezza zero trust.

> Leggi anche: Cloud Security: “Zero Trust Network Access: princìpi, vantaggi e modelli di implementazione”

Che cos’è il modello zero trust – a fiducia zero

La fiducia è una vulnerabilità e, come tutte le vulnerabilità, va eliminata.
– John Kindervag.

Il modello di sicurezza zero trust, o a fiducia zero, è stato introdotto per la prima volta nel 2010 da John Kindervag e da allora è stato costantemente sviluppato e migliorato. Giganti del settore come Google e Akamai hanno iniziato ad adottare questo modello all’interno delle loro organizzazioni, prima di lanciare sul mercato prodotti e servizi per l’implementazione di una strategia zero trust.

A differenza dei modelli di sicurezza tradizionali, che si basano sui perimetri difensivi, nel modello a fiducia zero la verifica dell’autenticazione e dell’autorizzazione avvengono costantemente lungo la rete e per ogni transazione, bloccando di fatto movimenti superflui di applicazioni, sistemi e servizi. Questo garantisce la protezione dalle minacce interne e dalla compromissione degli account legittimi.

> Leggi anche: 5 controlli fondamentali per la sicurezza informatica delle PMI

In altre parole, il modello zero trust si basa sull’assunto “Fidarsi mai, verificare sempre”, che in termini informatici si traduce nel controllo granulare e costante di accessi, traffico, utenti, dispositivi e applicazioni.

Modello Zero Trust e Microsegementazione

Il modello zero trust nasce dall’esigenza di proteggere in modo puntuale e sicuro gli asset informatici. Entra qui in gioco il concetto di microsegmentazione, ovvero la suddivisione della rete in piccoli segmenti facilmente controllabili, in cui ogni segmento rappresenta una zona di sicurezza isolata dalle altre, con un accesso controllato e limitato solo ai dispositivi e agli utenti autorizzati.

In questo modo, si implementano facilmente i principio della minimizzazione degli accessi e del least privilege – cioè l’assegnazione dei permessi minimi necessari per svolgere una specifica azione o attività. Inoltre, la microsegmentazione consente di monitorare e analizzare in modo più preciso il traffico di rete, identificando e rispondendo in tempo reale alle minacce informatiche.

L’implementazione di una strategia di microsegmentazione all’interno di un modello Zero Trust è quindi fondamentale per garantire una maggiore sicurezza della rete.

I principi fondamentali del modello a fiducia zero

Abbiamo visto come la microsegmentazione è una condizione necessaria per il modelli zero tsust. Vediamo ora quali sono gli altri principi fondamentali e i requisiti minimi per l’implementazione del modello a fiducia zero:

  • Verifica costante delle identità: ogni utente, dispositivo o applicazione che accede alla rete deve essere verificato e autenticato in modo costante, indipendentemente dalla sua posizione o provenienza interna o esterna alla rete. In particolare, sarebbe consigliabile prendere in considerazione uno schema di autenticazione contestuale, che considera sia l’utente, sia il dispositivo su base costante.
  • Controllo degli accessi: il controllo degli accessi viene esercitato in modo granulare, limitando l’accesso unicamente alle risorse e alle applicazioni necessarie per svolgere il lavoro specifico dell’utente. In questo caso, la strategia zero trust dovrebbe includere uno schema di controllo degli accessi risk-aware che valuta il rischio associato con la richiesta di accesso.
  • Monitoraggio continuo: il monitoraggio della rete e del traffico di rete è costante, al fine di individuare eventuali attività sospette o anomale.
  • Protezione dei dati: i dati sono protetti da crittografia avanzata e da altri meccanismi di sicurezza, come i sistemi di rilevamento delle intrusioni. Si prendono in considerazioni schemi di crittografia leggeri che tengano conto dei dispositivi a risorse limitate nei sistemi cibernetici fisici.
  • Gestione degli incidenti: viene adottata una strategia di gestione degli incident informatici che prevede l’individuazione tempestiva degli attacchi, la mitigazione degli effetti e la ripresa delle operazioni normali.

Come accennato in precedenza, alla base del modello vi è il principio che non esiste un livello di fiducia predefinito all’interno della rete: in questo modo si è più naturalmente portati ad assumere che, prima o poi, l’azienda subirà un attacco. Si cerca quindi di adottare un approccio difensivo che, come abbiamo visto, richiede anche un monitoraggio costante dei dispositivi, dei dati e del traffico di rete. In altre parole: l’azienda dovrebbe assumere, in teoria, che un attacco informatico sia in corso in ogni momento, adottando così le misure di sicurezza necessarie per prevenire eventuali danni e proteggere le proprie risorse.

> Scopri anche il corso Cyber Security Awareness

Zero Trust implica un cambio di paradigma nella gestione della sicurezza informatica, che passa da un approccio reattivo a uno proattivo basato sulla protezione dei dati e delle risorse attraverso un controllo costante e granulare degli accessi, in contrapposizione alla protezione “perimetrale” della rete propria dei sistemi di sicurezza tradizionali. Nonostante gli evidenti benefici, questo approccio richiede un grande impegno da parte delle aziende nel processo di implementazione delle soluzioni tecnologiche avanzate necessarie per supportare un modello a fiducia zero.

In futuro, ci si aspetta che il modello si possa evolvere e adattare, per integrarsi sempre di più anche approcci metodologici quali DevSecOps, consentendo alle organizzazioni di implementare la sicurezza più rapidamente e in modo costante.

> Leggi anche: DevSecOps: principi e strumenti per la sicurezza integrata

Condividi questo articolo
  • Condividi su Facebook
  • Condividi su WhatsApp
  • Condividi su LinkedIn
  • Condividi attraverso Mail

Potrebbe interessanti anche:

  • Fondimpresa: Avviso 4/2026 – Competenza avanzate e sicurezza obbligatoria06/07/2026 - 09:35
  • Formazione obbligatoria NIS2: guida per aziende e HR30/06/2026 - 10:07
  • Fondimpresa: Avviso 3/2026 – Innovazione25/06/2026 - 08:56
  • Aggregatori IA per PMI: che cosa sono e come sceglierli23/06/2026 - 08:22
  • Learning Agility nei team tech: il segreto per l’upskilling15/06/2026 - 11:40
  • Le soft skill più richieste nel 2026: guida per HR nell’era dell’Intelligenza Artificiale nel settore IT09/06/2026 - 14:38
  • Automazione dei processi aziendali: Agenti IA vs. RPA03/06/2026 - 16:41

Iscriviti alla newsletter

Resta sempre aggiornato sulle ultime news del mondo IT e della formazione finanziata!

Scopri le altre tematiche:

  • Cloud (21)
  • Coding & Programming (20)
  • Cyber Security (46)
  • Data Analysis e Business Intelligence (11)
  • Eventi (1)
  • Fondimpresa (12)
  • Fondirigenti (3)
  • Formazione (26)
  • industria 4.0 (4)
  • Intelligenza Artificiale e Machine Learning (52)
  • ITSM (25)
  • LMS e E-learning (6)
  • News (214)
  • Project Management (12)
  • Red Hat (5)

KINETIKON S.R.L.

Via Verolengo 29/9 – 10149 Torino
Tel. +39 011 0122340
Fax +39 011 19213523

Via Asi Asse Attrezzato 11 – 03013 Ferentino (FR)
Tel. +39 0775 1741757

email: info@kinetikon.com
pec: kinetikon@pec.it

P. IVA 08061210012
Rea: 944416

La tua iscrizione non può essere convalidata.
La tua iscrizione è avvenuta correttamente.

Iscriviti alla newsletter

Informative: 

Privacy Policy
Cookie Policy

Politica per la Qualità

Codice Etico

Procedura Whistleblowing

Whistleblowing

Kinetikon è certificata ISO 9001

Azienda certificata ISO 9001
Certificato n° IT25-27302A

Chi siamo

Aiutiamo le aziende ad ottenere il meglio dal proprio ambiente IT. Attraverso lo sviluppo di competenze del personale e il potenziamento dei singoli componenti infrastrutturali, il tuo ambiente IT sarà pronto a scalare e ad innovare con te, a qualunque velocità o livello di complessità tu intenda andare.

© Copyright - KINETIKON s.r.l. - Capitale Sociale: 10.000 €
  • Collegamento a LinkedIn
  • Collegamento a Youtube
  • Collegamento a Facebook
Collegamento a: Container: la soluzione per la gestione dei microservizi Collegamento a: Container: la soluzione per la gestione dei microservizi Container: la soluzione per la gestione dei microserviziContainer: la soluzione per la gestione dei microservizi Collegamento a: Piattaforme di sviluppo low code e no code: vantaggi e casi d’uso Collegamento a: Piattaforme di sviluppo low code e no code: vantaggi e casi d’uso Piattaforme di sviluppo low code e no codePiattaforme di sviluppo low code e no code: vantaggi e casi d’uso Scorrere verso l’alto Scorrere verso l’alto Scorrere verso l’alto