01Prodotti02Ricerca03Interventi04Chi sono05Blog06Contattami
← Blog
4 min di letturaarchitecturecompliance

Zero Trust con budget limitato: M365 + Conditional Access

Zero Trust è diventata la buzzword della cybersecurity: ogni vendor ti dice che hai bisogno del suo prodotto per "implementare Zero Trust". La realtà è più scomoda per chi vende e più comoda per te: se usi già Microsoft 365 Business Premium - e la maggior parte delle PMI italiane lo fa - hai già gli strumenti per iniziare, senza un euro in più. Perché Zero Trust non è un prodotto da comprare: è una strategia, e una parte enorme della strategia è configurazione di cose che possiedi già.

Cos'è davvero Zero Trust (e cosa non è)

Il principio è semplice: non fidarti di nessuno, verifica sempre. Il termine fu coniato dall'analista John Kindervag (Forrester) intorno al 2010, e oggi il riferimento tecnico è il documento NIST SP 800-207, che ne definisce l'architettura. L'idea di fondo è che il perimetro è morto: con lavoro remoto, cloud e dispositivi personali, "essere dentro la rete" non significa più "essere fidato". Microsoft lo riassume in tre principi operativi: verifica esplicitamente (ogni accesso, ogni volta), usa il privilegio minimo (solo ciò che serve, quando serve), assumi la violazione (progetta come se l'attaccante fosse già dentro). E si applica su più fronti: il Zero Trust Maturity Model della CISA li organizza in cinque pilastri - identità, dispositivi, reti, applicazioni e dati - ricordando che Zero Trust è un percorso a livelli di maturità, non un interruttore.

L'identità è il nuovo perimetro

Se il perimetro non è più la rete, allora è l'identità: è lì che si gioca la partita. E il controllo singolo a più alto ritorno in assoluto è l'MFA: secondo i dati di Microsoft, l'autenticazione a più fattori blocca oltre il 99% degli attacchi automatizzati di compromissione degli account. Con un'avvertenza che lego al mio pezzo sugli infostealer: non tutta l'MFA è uguale. L'MFA via SMS è meglio di niente ma phishabile; le passkey e le chiavi FIDO2 sono resistenti al phishing. E nemmeno l'MFA basta se ti rubano il cookie di sessione - ecco perché serve legare la sessione a un dispositivo conforme, esattamente ciò che il Conditional Access permette di fare.

Come decide il Conditional Access
Segnaliutente · dispositivo · posizione · rischio
Valutazione policy
Decisioneconsenti · MFA · blocca
Ogni accesso è valutato in tempo reale, non una volta sola al primo login.
Il motore di Zero Trust su M365: i segnali entrano, una decisione esce, a ogni accesso.

Conditional Access: il cuore a spesa zero

Il Conditional Access in Entra ID (l'ex Azure AD) è il motore con cui si traduce Zero Trust in regole concrete. Permette politiche granulari, valutate a ogni accesso: MFA obbligatoria fuori dalla rete aziendale? Fatto. Accesso a SharePoint solo da dispositivi conformi? Fatto. Blocco degli accessi da Paesi dove non operi? Fatto. Blocco dell'autenticazione legacy - i vecchi protocolli che scavalcano l'MFA, il buco silenzioso di metà delle aziende? Fatto. Ogni politica si configura in pochi minuti e si applica subito.

Una configurazione tipica per una PMI

La base che imposto, in ordine di priorità: MFA per tutti, non negoziabile; blocco dell'autenticazione legacy (senza, l'MFA è teatro); device compliance via Intune, anche solo per verificare che Windows sia aggiornato e cifrato; blocco geografico dei Paesi in cui l'azienda non opera; accesso basato sul rischio calcolato da Identity Protection (login impossibili, indirizzi sospetti); e durata delle sessioni ridotta per le applicazioni sensibili. È un livello di sicurezza che cinque anni fa richiedeva investimenti enterprise, ottenuto con una licenza che l'azienda sta già pagando.

I cinque pilastri (modello CISA), a budget zero
Identità
MFA, Conditional Access, privilegio minimo
Dispositivi
conformità e gestione con Intune
Reti
niente "dentro la rete = fidato"
Applicazioni
accesso per-applicazione, non per-rete
Dati
classificazione e cifratura (Purview, BitLocker)
I cinque pilastri del modello CISA, e gli strumenti M365 che li coprono senza spesa aggiuntiva.

Gli errori da evitare

Tre, in particolare. Primo: trattarlo come un prodotto - non esiste "il" prodotto Zero Trust, esiste la disciplina di verificare sempre. Secondo: non bloccare l'autenticazione legacy - se lasci aperti i vecchi protocolli, l'attaccante semplicemente aggira l'MFA e tutto il resto è inutile. Terzo: voler fare tutto subito - il modello di maturità della CISA va da "tradizionale" a "ottimale" per gradi; parti dall'identità, che è il pilastro a più alto effetto, e costruisci da lì.

Una checklist per iniziare

  • MFA per tutti, possibilmente phishing-resistant (passkey), nessuna eccezione.
  • Blocca l'autenticazione legacy - è il prerequisito perché l'MFA conti davvero.
  • Conditional Access: device compliant, blocco geografico, policy basate sul rischio.
  • Sessioni più corte sulle applicazioni sensibili, legate a dispositivi conformi.
  • Privilegio minimo: rivedi chi è amministratore e perché.
  • Parti dall'identità, poi estendi a dispositivi, app e dati per gradi.

La conclusione

Zero Trust non è una voce di budget, è una strategia - e per la maggior parte delle PMI gli strumenti per attuarla sono già pagati, fermi e inutilizzati nel tenant M365. Il divario non è economico, è di configurazione e di disciplina. Non serve aspettare il prossimo investimento: MFA per tutti e blocco dell'autenticazione legacy si possono attivare questa settimana, e da soli spostano l'equilibrio più di qualsiasi prodotto tu possa comprare.

Hai bisogno di un parere esperto?

Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.

Parliamone
Resta aggiornato

Analisi su cybersecurity, vulnerability research e difesa concreta per le imprese. Niente spam: solo quando ho qualcosa che vale. Disiscrizione in un clic.

← PrecedenteInfostealer: il malware che svuota il tuo browser in trenta secondi