Zero Trust in breve — e cosa non è
Zero Trust non è un prodotto che si compra e si accende. È un pattern di architettura che presuppone ogni connessione — interna o esterna — ostile fino a prova contraria. Il modello poggia su tre principi formalizzati in NIST SP 800-207:
- Verificare esplicitamente. Ogni decisione di accesso si basa sul segnale più forte disponibile — identità utente, postura dispositivo, posizione, comportamento.
- Accesso al minimo privilegio. Giusto abbastanza accesso per giusto abbastanza tempo, mai ammissione di rete in stile VPN.
- Assumere la compromissione. Log e audit trail sono immutabili; i movimenti laterali sono segmentati.
Per gli strumenti di desktop remoto — che storicamente davano a un tecnico le chiavi di un parco clienti — è un cambio di paradigma, non un interruttore di funzione.
I cinque controlli Zero Trust applicati al desktop remoto
1. Token dispositivo legati all’hardware, non password utente
Username e password sono un singolo segreto. Se trapela, l’attaccante ha l’intero toolkit. Zero Trust sostituisce la password con un token dispositivo legato all’hardware emesso a un endpoint specifico — una chiave TPM 2.0 su Windows, Secure Enclave su Apple Silicon, o una chiave hardware FIDO2. Il token non può essere esportato né replayato da un’altra macchina.
Concretamente: uno strumento di desktop remoto zero-trust 2026 emette un certificato dispositivo a lunga durata all’enrollment iniziale, poi firma ogni avvio di sessione con la chiave privata hardware-backed. WinDesk lega il certificato host alla chiave di attestation del TPM — la metà privata non lascia mai il silicio. Se il portatile è rubato, l’attaccante ha un fermacarte.
2. Postura dispositivo continua, non login una tantum
Un login alle 09:00 non garantisce che il dispositivo sia sano alle 14:00. Gli strumenti zero-trust eseguono controlli di postura continui: la cifratura del disco è attiva? Il sistema è patchato? Sta girando EDR? L’impronta hardware corrisponde? In caso di fallimento postura, la sessione viene chiusa — non solo al login, ma a metà sessione.
Fornitori che lo fanno bene nel 2026: WinDesk (attestation TPM + verifica patch), TeamViewer Tensor (Conditional Access via Entra ID), e BeyondTrust Remote Support (motore postura BeyondInsight).
3. Elevazione just-in-time, non diritti admin permanenti
Il tecnico vede una macchina cliente; non dovrebbe essere Amministratore in automatico. Zero Trust impone l’elevazione just-in-time: il tecnico richiede admin per un’attività specifica, il cliente (o un supervisore) approva, l’elevazione viene loggata e scade automaticamente dopo l’azione.
Il pattern di produzione più semplice: il demone host gira come account servizio non-admin; il consenso UAC (Windows) o sudo (Mac/Linux) viene richiesto in diretta, con lo schermo cliente come prova dell’approvazione. L’audit trail cattura sia richiesta che approvazione.
4. Politiche di sessione granulari, non ammissione di rete
Vecchia scuola: aprire un VPN, diventare interno. Desktop remoto zero-trust: ogni azione nella sessione viene valutata da policy. Questo tecnico può vedere lo schermo di questo cliente? Sì. Può trasferire file? Solo la cartella che il cliente ha trascinato nella finestra di sessione. Può reindirizzare una stampante? Sì. Può elevarsi ad admin? Solo con approvazione cliente.
Implementarlo richiede un motore policy in-sessione. WinDesk usa un capability token che l’host valuta a ogni chiamata RPC — clipboard, trasferimento file, audio, input injection sono concedibili indipendentemente.
5. Audit trail immutabile con alert anomalia
Il quinto pilastro è il noioso — ma quello che interessa di più gli auditor. Ogni avvio di sessione, ogni elevazione, ogni trasferimento file, ogni input injection deve atterrare in un log write-once. Il log deve essere interrogabile in secondi, esportabile in formati industriali (CEF, JSON, syslog), e integrato con SIEM. Bonus per alerting di anomalia: un tecnico che normalmente accede a 10 host in UE aprendo improvvisamente 50 sessioni APAC alle 03:00 dovrebbe avvisare qualcuno.
WinDesk emette eventi strutturati a un endpoint SIEM-ready; il cliente mantiene le chiavi della propria copia log.
Una matrice acquirente 2026
La shortlist degli strumenti che prendono zero trust sul serio oggi:
| Strumento | Token HW-bound | Postura continua | Elevazione JIT | Policy granulare | Audit + SIEM |
|---|---|---|---|---|---|
| WinDesk | TPM / Secure Enclave | ✓ | ✓ | ✓ | ✓ |
| TeamViewer Tensor | con Entra/Okta | ✓ (Conditional Access) | ✓ | ✓ | ✓ |
| BeyondTrust Remote Support | proprietario | ✓ | ✓ | ✓ | ✓ |
| AnyDesk Custom Client | parziale | parziale | parziale | parziale | parziale |
| RustDesk Pro | no | no | no | parziale | autocostruito |
| Splashtop SOS | parziale | no | parziale | parziale | parziale |
| Microsoft RDP (default) | no | no | no | no | richiede forwarder SIEM |
L’asticella è alta. Per la maggior parte delle PMI svizzere il divario tra « usiamo TeamViewer Classic » e « siamo zero trust » è un progetto di migrazione consapevole, non una checkbox.
Roadmap d’implementazione per una PMI
Un percorso pragmatico in sei passi per un’azienda svizzera di 50–500 dipendenti:
- Inventario dell’uso attuale di desktop remoto. Chi si connette a cosa, da dove, con quale strumento? Un Excel basta; uno strumento IAM è eccessivo a questo stadio.
- Sostituire account tecnici condivisi con account nominali. Il guadagno zero-trust più economico — basta credenziali condivise
support@miaazienda. - Distribuire MFA hardware. YubiKey 5C NFC per la flotta tecnici, autenticazione di classe passkey. Sostituire TOTP dove possibile.
- Scegliere uno strumento zero-trust-capable e fare un pilota di 4 settimane. Vedi la matrice sopra; iniziare dai clienti a più alto rischio (studi legali svizzeri, medico, finanza).
- Collegare i log audit al vostro SIEM. Anche una piccola istanza Splunk/Wazuh batte nessuna aggregazione. WinDesk emette eventi strutturati; TeamViewer Tensor richiede il connettore SIEM come add-on.
- Scrivere il runbook di compromissione. Ogni strumento zero-trust attiva prima o poi un alert. Documentare in anticipo: chi risponde, come la sessione viene uccisa, come il dispositivo viene resettato.
Budget: una PMI svizzera con 10 tecnici implementa i passi 1–6 con CHF 5–15k di tooling e 4–8 settimane di progetto. Non scala enterprise; nemmeno gratis.
E RDP, allora?
RDP Windows nativo è l’elefante nella stanza. È ovunque, gratis, e quasi totalmente inadatto all’uso zero-trust su internet pubblico:
- Nessun legame token hardware lato client
- Nessuna policy di sessione granulare oltre « l’utente ha accesso » / « l’utente non ha accesso »
- I controlli di postura richiedono integrazione separata Conditional Access / Intune
- Il logging audit richiede idraulica Windows Event Forwarding
Per uso LAN interno dietro una policy Conditional Access ben segmentata, RDP va bene. Per supporto esposto internet di macchine clienti, è una passività. L’articolo alternative RDP 2026 approfondisce cosa sostituirlo.
Riferimenti conformità
Se l’auditor chiede « è zero trust », indirizzatelo a:
- NIST SP 800-207 — il riferimento canonico dell’architettura zero-trust
- NIST SP 800-46 — guida telelavoro aziendale e sicurezza accesso remoto
- CIS Controls v8 #6 + #14 — gestione account/accesso + consapevolezza sicurezza
- ISO/IEC 27001:2022 A.5.15 + A.6.7 — controllo accessi + lavoro remoto
- BSI IT-Grundschutz OPS.1.2.5 — Fernwartung (baseline federale tedesca)
- LPD revisionata art. 8 + attese di residenza dati svizzere
In Svizzera l’auditor si preoccupa specialmente di residenza dati (server in CH o UE) ed esposizione CLOUD Act (nessun hop server US). La maggior parte degli strumenti basati US fallisce il secondo test, indipendentemente da quanti controlli zero-trust pubblicizzino.
Prossimi passi consigliati
- Confrontare fianco a fianco gli strumenti zero-trust-capable sulla tabella di confronto WinDesk
- Leggere il post best practice sicurezza desktop remoto 2026 per i controlli tecnici in dettaglio
- Per la conformità svizzera, vedi la guida GDPR supporto remoto
- Provare WinDesk gratis — token TPM-bound, controlli postura, export SIEM funzionano nel Free; elevazione just-in-time richiede Pro.
Zero trust non è un buzzword 2026. È la prossima baseline. Gli strumenti che non consegnano questi controlli non sono « indietro » — stanno vendendo il modello di rischio di ieri. Scegliete di conseguenza.