UNITesi
Università Politecnica delle Marche

Starting from NIST SP 800-207 reference architecture, a Zero Trust implementation is realized using open-source and commercial solutions, demonstrating feasibility for organizations with budget constraints and legacy systems. The approach is pragmatic: pure implementations prove incompatible with operational realities characterized by legacy systems, business continuity requirements, and performance constraints. The exposition begins with traditional technologies and Zero Trust adoption drivers, introduces the reference theory, then proceeds to implementation through network segmentation, layered VMs, and SIEM integration. A mini-SOC is deployed on Linux VM equipped with 4 complementary services (ARPwatch, p0f, tcpdump, Snort) sharing design patterns and modular structure. Additionally, the evolution from nftables firewall to integrated platform (OPNsense) is addressed for centralized management, captive portal, and configuration automation. Furthermore, legacy system integration with modern SIEM is examined in detail, analyzing technical limitations and viable technologies: these devices, untrusted by default and never fully Zero Trustcompliant, remain permanently quarantined. Essential is the development of a modern web application as enterprise reference architecture, implementing complete mediation of all requests compliant with NIS2 and ISO/IEC 27001. The ecosystem is completed with multi-layer fingerprinting systems: endpoint-level to verify device posture, and browser-level to track client-side metadata, adapting to BYOD scenarios. Together with ARPwatch and p0f, they form a stratified system covering the entire stack from network infrastructure to application layer. Zero Trust architecture validation occurs by generating benign traffic (web bot simulation) and malicious traffic (automated penetration testing). The entire ecosystem constitutes an isolated and replicable cyber range, usable for continuous training, security assessment, and validation of ZTA policies before production deployment. The most realistic scenario, a Man-in-theMiddle attack in its most sophisticated implementation (Certification Authority private key exfiltration) is detected by the developed infrastructure, demonstrating the effectiveness of the core principle: "Never Trust, Always Verify".

Partendo dal riferimento NIST SP 800-207, si realizza un’architettura Zero Trust utilizzando tecnologie open-source e soluzioni commerciali, dimostrando l’implementabilità anche per organizzazioni con vincoli di budget e sistemi legacy. L’approccio è di tipo pragmatico: implementazioni pure risultano incompatibili con realtà operative caratterizzate da sistemi legacy, esigenze di business continuity e vincoli di performance. L’esposizione parte dalle tecnologie tradizionali e dagli impulsi per l’adozione Zero Trust, introduce la teoria di riferimento, quindi procede all’implementazione con segmentazione di rete, macchine virtuali stratificate e integrazione SIEM. Si realizza un mini SOC su macchina virtuale Linux, equipaggiata con 4 servizi complementari (ARPwatch, p0f, tcpdump, Snort) che condividono design pattern e struttura modulare. Si affronta inoltre l’evoluzione da firewall nftables a piattaforma integrata (OPNsense) per gestione centralizzata, captive portal e automazione delle configurazioni. Proseguendo, si affronta in dettaglio la questione delle macchine obsolete e la loro integrazione con SIEM moderni, analizzandone i limiti tecnici e le tecnologie utilizzabili: questi dispositivi, untrusted per default e mai pienamente Zero Trust-compliant, sono permanentemente in quarantena. Fondamentale è lo sviluppo di un’applicazione web moderna come architettura di riferimento per sistemi enterprise, implementando mediazione completa di tutte le richieste conforme a NIS2 e ISO/IEC 27001. L’ecosistema si completa con sistemi di impronta digitale (fingerprint) multi-livello: a livello endpoint per verificare la postura dei dispositivi, e a livello browser per tracciare metadati lato client adattandosi anche a scenari BYOD. Insieme ad ARPwatch e p0f, formano un sistema stratificato che copre l’intero stack dall’infrastruttura di rete fino al layer applicativo. La validazione dell’architettura Zero Trust avviene generando traffico benevolo (simulato via bot web) e malevolo (test di penetrazione automatizzati). L’intero ecosistema costituisce un cyber range isolato e replicabile, utilizzabile per training continuo, security assessment e validazione di policy ZTA prima del deployment in produzione. Lo scenario più realistico, un attacco Uomo nel Mezzo nella sua implementazione più sofisticata (esfiltrazione della chiave privata dall’Ente Certificatore) viene rilevato dall’infrastruttura sviluppata, dimostrando l’efficacia del principio cardine: "Never Trust, Always Verify".

Architettura zero-trust: sistema di identificazione e monitoraggio degli eventi

ROSSI, ANDREA
2024/2025

Abstract

Starting from NIST SP 800-207 reference architecture, a Zero Trust implementation is realized using open-source and commercial solutions, demonstrating feasibility for organizations with budget constraints and legacy systems. The approach is pragmatic: pure implementations prove incompatible with operational realities characterized by legacy systems, business continuity requirements, and performance constraints. The exposition begins with traditional technologies and Zero Trust adoption drivers, introduces the reference theory, then proceeds to implementation through network segmentation, layered VMs, and SIEM integration. A mini-SOC is deployed on Linux VM equipped with 4 complementary services (ARPwatch, p0f, tcpdump, Snort) sharing design patterns and modular structure. Additionally, the evolution from nftables firewall to integrated platform (OPNsense) is addressed for centralized management, captive portal, and configuration automation. Furthermore, legacy system integration with modern SIEM is examined in detail, analyzing technical limitations and viable technologies: these devices, untrusted by default and never fully Zero Trustcompliant, remain permanently quarantined. Essential is the development of a modern web application as enterprise reference architecture, implementing complete mediation of all requests compliant with NIS2 and ISO/IEC 27001. The ecosystem is completed with multi-layer fingerprinting systems: endpoint-level to verify device posture, and browser-level to track client-side metadata, adapting to BYOD scenarios. Together with ARPwatch and p0f, they form a stratified system covering the entire stack from network infrastructure to application layer. Zero Trust architecture validation occurs by generating benign traffic (web bot simulation) and malicious traffic (automated penetration testing). The entire ecosystem constitutes an isolated and replicable cyber range, usable for continuous training, security assessment, and validation of ZTA policies before production deployment. The most realistic scenario, a Man-in-theMiddle attack in its most sophisticated implementation (Certification Authority private key exfiltration) is detected by the developed infrastructure, demonstrating the effectiveness of the core principle: "Never Trust, Always Verify".
2024
2026-02-13
Zero Trust architecture: Identification system and event monitoring
Partendo dal riferimento NIST SP 800-207, si realizza un’architettura Zero Trust utilizzando tecnologie open-source e soluzioni commerciali, dimostrando l’implementabilità anche per organizzazioni con vincoli di budget e sistemi legacy. L’approccio è di tipo pragmatico: implementazioni pure risultano incompatibili con realtà operative caratterizzate da sistemi legacy, esigenze di business continuity e vincoli di performance. L’esposizione parte dalle tecnologie tradizionali e dagli impulsi per l’adozione Zero Trust, introduce la teoria di riferimento, quindi procede all’implementazione con segmentazione di rete, macchine virtuali stratificate e integrazione SIEM. Si realizza un mini SOC su macchina virtuale Linux, equipaggiata con 4 servizi complementari (ARPwatch, p0f, tcpdump, Snort) che condividono design pattern e struttura modulare. Si affronta inoltre l’evoluzione da firewall nftables a piattaforma integrata (OPNsense) per gestione centralizzata, captive portal e automazione delle configurazioni. Proseguendo, si affronta in dettaglio la questione delle macchine obsolete e la loro integrazione con SIEM moderni, analizzandone i limiti tecnici e le tecnologie utilizzabili: questi dispositivi, untrusted per default e mai pienamente Zero Trust-compliant, sono permanentemente in quarantena. Fondamentale è lo sviluppo di un’applicazione web moderna come architettura di riferimento per sistemi enterprise, implementando mediazione completa di tutte le richieste conforme a NIS2 e ISO/IEC 27001. L’ecosistema si completa con sistemi di impronta digitale (fingerprint) multi-livello: a livello endpoint per verificare la postura dei dispositivi, e a livello browser per tracciare metadati lato client adattandosi anche a scenari BYOD. Insieme ad ARPwatch e p0f, formano un sistema stratificato che copre l’intero stack dall’infrastruttura di rete fino al layer applicativo. La validazione dell’architettura Zero Trust avviene generando traffico benevolo (simulato via bot web) e malevolo (test di penetrazione automatizzati). L’intero ecosistema costituisce un cyber range isolato e replicabile, utilizzabile per training continuo, security assessment e validazione di policy ZTA prima del deployment in produzione. Lo scenario più realistico, un attacco Uomo nel Mezzo nella sua implementazione più sofisticata (esfiltrazione della chiave privata dall’Ente Certificatore) viene rilevato dall’infrastruttura sviluppata, dimostrando l’efficacia del principio cardine: "Never Trust, Always Verify".
SPALAZZI, LUCA
BONIFAZI, GIANLUCA
File in questo prodotto:
File Dimensione Formato  
Tesi_Magistrale_Andrea_Rossi_PDFA2B.pdf

accesso aperto

Descrizione: Documento di Tesi conforme allo standard PDF/A-2B (validato con veraPDF 1.28.2). Controllo integrità SHA256: e1596df12e059f3858323bbb2db7c8f23ed440ae2deb0f1e3d13abd5fc17701a
Dimensione 9.15 MB
Formato Adobe PDF
Visualizza/Apri
9.15 MB Adobe PDF Visualizza/Apri

I documenti in UNITESI sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.12075/25529