ZTNA: sostituire la VPN aziendale
con Zero Trust Network Access

Maggio 2026: due settimane che hanno cambiato la percezione delle VPN

Tra il 13 e il 22 maggio 2026, l’ACN (Agenzia per la Cybersicurezza Nazionale) e i CSIRT regionali hanno pubblicato in rapida sequenza alert per due classi di prodotti che presidiano oggi il perimetro di moltissime PMI italiane: i concentratori VPN e gli edge firewall. Il 13–15 maggio è arrivato l’alert CSIRT-ITA AL04/260513 su Fortinet — due vulnerabilità critiche e una alta in FortiSandbox, FortiOS e FortiAuthenticator, con RCE (Remote Code Execution) non autenticate. Pochi giorni dopo, Cisco ha rilasciato patch d’emergenza per la CVE-2026-20182, nel servizio vdaemon dei controller Cisco SD-WAN. Il 21 maggio ACN ha segnalato anche una vulnerabilità critica in Cisco Secure Workload, con accesso remoto non autenticato al ruolo di Site Admin.

Sono incidenti diversi nel dettaglio ma con un denominatore comune: l’attaccante riesce a parlare con un’appliance esposta su Internet e ne ottiene il controllo, prima ancora che entrino in gioco le credenziali utente, la MFA o le policy di Conditional Access. Per chi gestisce la sicurezza di una PMI è il momento giusto per fare la domanda strategica: ha ancora senso difendere il perimetro con concentratori VPN che richiedono di essere raggiungibili dal mondo intero, o conviene cambiare paradigma?

Il limite strutturale della VPN tradizionale

La VPN (Virtual Private Network) è stata progettata per un mondo in cui il perimetro aziendale coincideva con la sede fisica: pochi utenti remoti, pochi gestori da fuori sede, pochi accessi straordinari. In quel modello la VPN è un’estensione della rete interna — chi è autenticato è «dentro» e può vedere tutto. È esattamente quello che oggi non vogliamo più.

• Esposizione obbligatoria su Internet. Il concentratore VPN deve essere raggiungibile da qualunque IP per permettere agli utenti di connettersi. Ogni vulnerabilità non patchata diventa una porta sul perimetro.
• Accesso di rete, non applicativo. Una volta dentro, l’utente — o l’attaccante — vede l’intero segmento di rete. La micro-segmentazione si può costruire, ma è complessa, costosa e raramente fatta nelle PMI.
• Verifica una sola volta, all’ingresso. L’autenticazione VPN avviene al login: una volta stabilita la sessione, il contesto non viene riverificato. Se il dispositivo viene compromesso a sessione attiva, la VPN non se ne accorge.
• Finestra di patching critica. Fortinet, Cisco, SonicWall e altri vendor pubblicano alert con cadenza ricorrente. Tra la disclosure e la patch effettiva nelle PMI passano giorni o settimane: è la finestra in cui gli attaccanti sanno esattamente dove colpire.

Cos’è ZTNA: dal perimetro di rete all’identità

ZTNA (Zero Trust Network Access) è il modello di accesso remoto che traduce in pratica il principio Zero Trust: «mai fidarsi, sempre verificare». Le differenze rispetto alla VPN non sono cosmetiche, sono strutturali.

• 1Accesso alla singola applicazione, non alla rete. L’utente non riceve un IP di rete interna. Riceve la possibilità di parlare con la singola applicazione che gli è stata pubblicata, e basta. Se viene compromesso, l’attaccante non vede il resto del perimetro interno.
• 2Verifica continua, non una sola volta. Ogni richiesta viene valutata in tempo reale su identità (MFA, posizione, comportamento), dispositivo (gestito, conforme, livello di rischio Defender) e contesto. Se il dispositivo cambia stato — perde la conformità, viene compromesso, esce dalla geografia consentita — l’accesso viene revocato immediatamente via Continuous Access Evaluation (CAE).
• 3Niente concentratore esposto su Internet. Le applicazioni interne sono pubblicate al servizio ZTNA tramite connettori che parlano in uscita verso il cloud: nessuna porta aperta sul firewall perimetrale, nessuna appliance pubblica da patchare in emergenza.
• 4Identity-centric, non network-centric. Il controllo non è più «sei dentro o sei fuori dalla rete». È «chi sei, da che dispositivo, da dove, in quale momento, con quale rischio». L’identità diventa il perimetro effettivo.

Microsoft Entra Private Access: ZTNA dentro Microsoft 365

Microsoft Entra Private Access è la componente ZTNA della suite Microsoft Global Secure Access. Per le PMI italiane che già usano Microsoft 365 e Microsoft Entra ID è il punto di ingresso più naturale a un modello ZTNA, perché si integra con strumenti già in casa: Conditional Access, Intune (compliance dispositivi), Microsoft Defender for Endpoint (livello di rischio in tempo reale), Continuous Access Evaluation.

In pratica, l’architettura è semplice. Un agent Microsoft Global Secure Access viene installato sui dispositivi degli utenti (Windows, macOS, iOS, Android). Le applicazioni interne — file server, ERP, applicazioni web aziendali, sessioni RDP — vengono pubblicate al servizio cloud Microsoft tramite connettori privati che parlano in uscita. Quando un utente vuole raggiungere un’applicazione, il traffico passa dall’agent al cloud Microsoft, che applica le policy Conditional Access correnti (verificando MFA, dispositivo, posizione, rischio) e — solo se tutte sono soddisfatte — inoltra la connessione alla singola app. L’utente non vede mai la rete sottostante: solo le app a cui è autorizzato in quel momento.

Cosa cambia per la PMI: dismissione progressiva, non big bang

Una migrazione ZTNA non è uno «strappo» — è un percorso a fasi che convive con la VPN attuale per il tempo necessario. Lo schema operativo che proponiamo ai nostri clienti è in sei step.

• 1Inventario applicativo. Mappare le applicazioni interne raggiunte oggi tramite VPN: file server, ERP, gestionali, RDP, intranet, sviluppo. Per ogni applicazione, identificare gli utenti che ne hanno bisogno e da quali scenari (sede secondaria, smart working, fornitore esterno).
• 2Postura identità. Verificare che Microsoft Entra ID sia configurato con MFA phishing-resistant (FIDO2, passkey, Windows Hello), che i dispositivi siano gestiti via Intune o equivalente, e che le policy Conditional Access coprano gli scenari critici. Senza queste basi, ZTNA non aggiunge sicurezza.
• 3Pilota su un gruppo limitato. Pubblicare 2–3 applicazioni via Entra Private Access per un gruppo di utenti pilota (es. team IT, helpdesk). Testare verifica continua, esperienza utente, alert su anomalie, gestione delle eccezioni.
• 4Estensione progressiva. Pubblicare via ZTNA le altre applicazioni per gruppi di utenti via via più ampi. La VPN resta attiva in parallelo per gli scenari non ancora migrati (legacy, accessi straordinari, fornitori). L’importante è ridurre il numero di applicazioni che la VPN deve esporre.
• 5Dismissione del concentratore VPN. Quando tutte le applicazioni utente sono raggiungibili via ZTNA, il concentratore VPN può essere spento o riservato a casi residui (gestione di apparati di rete, accessi straordinari documentati). La superficie d’attacco esposta su Internet si riduce in modo significativo, e la finestra di patching smette di essere un’urgenza ricorrente.
• 6Governance continua. Monitorare gli accessi ZTNA, rivedere le policy Conditional Access con cadenza periodica, integrare gli alert nel SIEM aziendale, aggiornare l’inventario applicativo quando nascono nuovi servizi interni. Il modello Zero Trust non è uno stato finale, è un processo. Servizi di cybersecurity.

ZTNA, NIS2 e ISO 27001

Per le PMI italiane soggette a NIS2 o impegnate nella certificazione ISO/IEC 27001, ZTNA non è solo una scelta tecnica: è un acceleratore di conformità. Sul fronte NIS2, copre requisiti chiave dell’art. 21 del D.Lgs. 138/2024: controllo degli accessi, autenticazione forte, segmentazione e gestione delle vulnerabilità. Sul fronte ISO 27001:2022, risponde direttamente a A.5.15 (Access control), A.5.17 (Authentication information), A.8.2 (Privileged access rights) e A.8.20 (Networks security).

Microsoft Entra Private Access è inoltre certificato ISO/IEC 27001, 27017, 27018 e SOC 2 — utilizzabile in scenari con controlli di conformità documentati senza dover gestire l’infrastruttura sottostante.

Come AtWorkStudio affianca la migrazione

In AtWorkStudio progettiamo e gestiamo soluzioni di gestione identità e ZTNA per PMI italiane: assessment della postura di accesso, hardening Microsoft Entra ID e Conditional Access, pubblicazione delle applicazioni interne via Entra Private Access, dismissione progressiva del concentratore VPN, integrazione con SIEM e governance continua. Operiamo da Piacenza, siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, qualificati ACN per i servizi cloud SaaS, membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.