Zero trust architecture

Da un po' si sente parlare di Zero trust architecture o ZTA. Glauco Rampogna mi scrive "Una nuova buzzword è "Zero Trust"; in 2 soldini "non fidarti del device solo per il solo fatto di averlo nella tua rete". Per questo mi segnala la pagina del NCCOE, che sta producendo alcune guide:
- https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture.

Il riferimento di base è comunque la SP 800-207 "Zero Trust Architecture" del NIST:
- https://csrc.nist.gov/publications/detail/sp/800-207/final.

In sostanza: "Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms that move defenses from static, network-based perimeters to focus on users, assets, and resources". Mi pare di poter tradurre dicendo che la sicurezza basata sulla protezione della rete non è più sufficiente, visto che gli apparati, oggi, si connettono in tali e tanti modi che la rete non può più essere presidiata efficacemente. Ci sarà sempre bisogno di firewall, ma non sono più sufficienti.

Per aiutarmi ancora a capire, Glauco mi segnala questo articolo dal titolo "From Zero to One Hundred: Demystifying zero trust and its implications on enterprise people, process, and technology":
- https://queue.acm.org/detail.cfm?id=3561799.

Io faccio parte di quelli che pensano che ZTA sia un nuovo nome per la cybersecurity, a sua volta un nuovo nome per la sicurezza informatica. Attenzione però che il problema della permeabilità delle reti è reale, solo che le tecnologie per la sicurezza sono le stesse e il nuovo nome invita "solo" a ricordare che vanno utilizzate bene.