top of page
Untitled design (24).png

Zero Trust per le PMI non è più opzionale, soprattutto con l’adozione di Copilot

Architettura Zero Trust di Microsoft


Per questo mio primo articolo sul blog di NOMAD CYBER, ho deciso di affrontare un tema molto attuale: la necessità per le piccole e medie imprese di adottare un approccio strutturato alla sicurezza, reso oggi possibile grazie alla suite Microsoft 365 Business Premium e ai nuovi add-on di sicurezza e compliance.

In questo articolo esploreremo come implementare una vera architettura Zero Trust utilizzando Microsoft 365 Business Premium (insieme alle nuove Security & Compliance Suites).

Per anni, Zero Trust è stato percepito come una strategia riservata alle grandi aziende: complessa, costosa e fuori dalla portata delle PMI. Questo non è più vero.

Con Microsoft 365 Business Premium e i nuovi componenti aggiuntivi delle suite Defender e Purview, Microsoft ha reso il modello Zero Trust di livello enterprise accessibile alle organizzazioni fino a 300 utenti, senza la necessità di passare a una licenza E5.

Cercherò inoltre di dimostrare che, se il tuo tenant non è pronto per Zero Trust, non è pronto nemmeno per Copilot. Non perché Copilot crei nuovi problemi di sicurezza, ma perché li rende immediatamente evidenti.

Questo articolo approfondisce i 4 pilastri di Zero Trust, mappando i principi architetturali sulle funzionalità reali di Microsoft 365 già disponibili per le PMI, più un 5° pilastro dedicato a Copilot:

  • Pilastro 1 — L’identità è il nuovo perimetro

  • Pilastro 2 — Affidabilità del dispositivo e sicurezza degli endpoint

  • Pilastro 3 — Email, collaborazione e SaaS sono la superficie di attacco

  • Pilastro 4 — La protezione dei dati non è opzionale (Purview)

  • Pilastro 5 — Zero Trust nell’era di Microsoft Copilot


Zero Trust non è un prodotto

Microsoft definisce Zero Trust come un modello di sicurezza, non come un insieme di strumenti.

Si basa su tre principi non negoziabili:

  • Verificare esplicitamente

  • Applicare il principio del minimo privilegio

  • Presumere la compromissione

Microsoft 365 Business Premium è particolarmente efficace perché tutti i controlli di sicurezza sono identity-centric, cloud-native e integrati by design.


Pilastro 1 — L’identità è il nuovo perimetro

Se un attaccante compromette l’identità, tutto il resto diventa irrilevante.


Cosa offre Business Premium “out of the box”?

Microsoft 365 Business Premium include Microsoft Entra ID Plan P1, che abilita una solida base Zero Trust sull’identità:

  • Autenticazione Multi-Fattore (MFA) obbligatoria

  • Criteri di Conditional Access basati su:

    • Utente

    • Posizione

    • Stato del dispositivo

    • Applicazione

  • Blocco dei protocolli di autenticazione legacy

  • Single Sign-On (SSO) centralizzato per applicazioni SaaS

Questo elimina la maggior parte degli attacchi basati su password e impone una verifica esplicita a ogni tentativo di accesso.

Impatto Zero TrustL’accesso non è mai implicitamente affidabile: ogni accesso viene valutato in tempo reale.

La Microsoft Defender Suite per Business Premium eleva la protezione dell’identità a Entra ID P2, sbloccando:

  • Conditional Access basato sul rischio

  • Valutazione del rischio utente (credenziali compromesse)

  • Valutazione del rischio di accesso

  • Blocco automatico delle sessioni rischiose

  • Identity Governance

  • Access review

Si tratta di un’evoluzione critica: da policy statiche a una valutazione continua della fiducia, requisito fondamentale di Zero Trust.


Pilastro 2 — Affidabilità del dispositivo e sicurezza degli endpoint

Zero Trust presume che i dispositivi possano essere compromessi, anche se l’utente è legittimo.


Conformità dei dispositivi con Microsoft Intune

Business Premium include Microsoft Intune, che consente di:

  • Gestire Windows, macOS, iOS e Android

  • Applicare criteri di conformità:

    • Crittografia del disco

    • Versione del sistema operativo

    • Secure Boot

    • Antivirus attivo

  • Usare Conditional Access per:

    • Consentire l’accesso solo da dispositivi conformi

    • Proteggere il BYOD con App Protection Policies (MAM)


Impatto Zero Trust

Le decisioni di accesso si basano su identità + stato di salute del dispositivo, non sulla posizione di rete.


Endpoint Detection & Response (EDR)

Business Premium include Microsoft Defender for Business, che offre:

  • Antivirus di nuova generazione

  • Rilevamento comportamentale

  • Protezione da ransomware

  • Investigazione e remediation automatizzate

Questo supporta direttamente il principio “assume breach”, individuando le minacce anche dopo che l’accesso è stato concesso.


Sicurezza avanzata degli endpoint con Defender Suite

L’aggiunta della Defender Suite aggiorna gli endpoint a Defender for Endpoint Plan 2, introducendo:

  • Advanced Threat Hunting

  • Live Response

  • Retention estesa della telemetria

  • Conditional Access basato sull’endpoint

A questo punto, il livello di protezione endpoint è funzionalmente equivalente a quello delle architetture Zero Trust enterprise.


Pilastro 3 — Email, collaborazione e SaaS sono la superficie di attacco

Phishing e abuso di OAuth rimangono i principali vettori di accesso iniziale.


Business Premium

Include nativamente:

  • Defender for Office 365 Plan 1

  • Protezione antiphishing e antimalware

  • Safe Links e Safe Attachments


Defender Suite: quando Zero Trust diventa proattivo

La Defender Suite aggiunge:

  • Defender for Office 365 Plan 2

  • Automated Investigation & Response (AIR)

  • Attack simulation training

  • Defender for Cloud Apps:

    • Scoperta di Shadow IT

    • Valutazione del rischio SaaS

    • Controllo sull’uso dell’AI generativa


Impatto Zero Trust

La fiducia viene valutata non solo per utenti e dispositivi, ma anche per applicazioni e comportamenti.


Pilastro 4 — La protezione dei dati non è opzionale (Purview)

Zero Trust non si ferma all’accesso: i dati devono rimanere protetti anche dopo che l’accesso è stato concesso.


Cosa include Business Premium

  • Sensitivity labels

  • Crittografia di email e file

  • Policy DLP di base

Questo abilita già una protezione persistente dei dati, concetto chiave di Zero Trust.


Andare oltre con la Purview Suite

La Microsoft Purview Suite per Business Premium abilita:

  • DLP avanzato su endpoint e SaaS

  • Insider Risk Management

  • Communication Compliance

  • eDiscovery (Premium) e Audit (Premium)

  • Governance dei dati AI e Copilot

Aspetti critici soprattutto nei settori regolamentati e nell’era dell’AI generativa.


Mappatura delle capacità Zero Trust

  • Verifica dell’identità → Entra ID P1 / P2

  • Affidabilità del dispositivo → Intune + Defender

  • Rilevamento delle minacce → Defender XDR

  • Controllo delle applicazioni SaaS → Defender for Cloud Apps

  • Protezione dei dati → Purview


Pilastro 5 — Zero Trust nell’era di Microsoft Copilot

Perché Copilot cambia completamente il discorso sulla sicurezza

Microsoft 365 Copilot non introduce nuovi dati nel tenant, ma introduce un modo radicalmente nuovo di accedere a quelli esistenti.

Copilot opera secondo il principio dell’accesso semantico:

  • Interroga Microsoft Graph

  • Rispetta identità e permessi dell’utente

  • Espone contenuti tra email, file, chat, meeting e documenti

Qualsiasi over-permission, debolezza sull’identità o mancanza di governance dei dati diventa immediatamente visibile — e vulnerabile.

Copilot non può essere trattato come “una funzionalità in più”:è un amplificatore. Zero Trust diventa un prerequisito, non una best practice.


Copilot e Zero Trust: cosa cambia davvero

Copilot si basa completamente su:

  • Fiducia sull’identità (Entra ID)

  • Confini di autorizzazione (SharePoint, Teams, OneDrive)

  • Affidabilità del dispositivo (Conditional Access)

  • Classificazione e protezione dei dati (Purview)

Se uno di questi pilastri è debole, Copilot lo esporrà immediatamente.

La domanda Zero Trust cambia da:

“L’utente può accedere a questa risorsa?”

a:

“Copilot dovrebbe riassumere, correlare e ragionare su tutto ciò a cui l’utente può tecnicamente accedere?”

Zero Trust sull’identità diventa Zero Trust per Copilot

Con Copilot:

  • MFA non è più opzionale

  • Conditional Access non è più “nice to have”

  • Le policy basate sul rischio diventano fondamentali

Un’identità compromessa con Copilot non è più solo una mailbox violata, ma:

  • Una inbox riassunta

  • Una knowledge base SharePoint sintetizzata

  • Una vista contestuale delle conversazioni interne

Con Entra ID P1 hai già un’autenticazione forte. Con Entra ID P2 (tramite Defender Suite) abiliti la valutazione del rischio in tempo reale per:

  • Bloccare Copilot durante accessi rischiosi

  • Richiedere dispositivi conformi

  • Limitare automaticamente l’accesso quando il rischio aumenta


Principio Zero Trust rafforzato: Verificare esplicitamente ogni prompt di Copilot.


Affidabilità del dispositivo: Copilot non deve girare ovunque

Copilot può essere utilizzato da:

  • App desktop

  • Web

  • Mobile

  • Dispositivi personali

Senza Conditional Access basato sul dispositivo, Copilot può essere usato da endpoint non gestiti, aumentando enormemente il rischio di esfiltrazione dei dati.

Con Intune + Conditional Access puoi:

  • Consentire Copilot solo da dispositivi conformi o gestiti

  • Applicare regole più restrittive in scenari BYOD

  • Combinare conformità del dispositivo e rischio utente


Principio Zero Trust rafforzato: Non fidarti mai del dispositivo, validalo sempre.


La governance dei dati è il vero piano di controllo di Copilot

Molti progetti Copilot falliscono qui.

Copilot non bypassa i permessi, ma espone immediatamente quelli sbagliati:

  • Siti SharePoint sovra-condivisi

  • Permessi Teams troppo piatti

  • Strutture legacy

  • Mancanza di etichette di sensibilità

Business Premium consente già:

  • Sensitivity labels

  • Crittografia

  • DLP di base

La Purview Suite diventa invece strategica perché introduce:

  • DLP avanzato su endpoint, SaaS e interazioni AI

  • Insider Risk Management per accessi anomali guidati da Copilot

  • Audit (Premium) per tracciare l’uso dei dati

  • Communication Compliance

  • Controlli di sicurezza per l’AI

Purview passa così da strumento di compliance a layer di enforcement Zero Trust per l’AI.


Principio Zero Trust rafforzato: Presumere la compromissione, soprattutto con l’assistenza dell’AI.


Copilot, Defender e il principio “Assume Breach”

Con Copilot, la velocità è tutto.

Un utente compromesso può:

  • Scoprire più rapidamente progetti sensibili

  • Riassumere conversazioni confidenziali

  • Identificare documenti critici in pochi secondi

La Defender Suite mitiga questo rischio aggiungendo:

  • Identity Threat Detection

  • Endpoint Detection & Response avanzato

  • Analisi comportamentale SaaS

Consentendo ai team di sicurezza di individuare e bloccare gli abusi rapidamente, anche dopo che l’accesso è stato concesso.


Considerazione finale

Zero Trust non è più solo per le grandi aziende.

Con Microsoft 365 Business Premium e le suite Defender + Purview, anche le PMI possono:

  • Passare dalla sicurezza perimetrale a quella centrata sull’identità

  • Applicare la verifica continua

  • Proteggere i dati in un mondo guidato da Copilot

  • Ottenere risultati di sicurezza quasi equivalenti a E5, senza il costo E5


A cura di Denis Sacchi, una delle penne di NOMAD CYBER.



 
 
 

Commenti

bottom of page