Risorse > Glossario dei termini sulla sicurezza > Cosa si intende per segmentazione dei carichi di lavoro cloud

Cosa si intende per segmentazione dei carichi di lavoro cloud?

Cosa si intende per segmentazione dei carichi di lavoro cloud? 

La segmentazione dei carichi di lavoro cloud consiste nel processo con base cloud volto ad applicare la protezione basata sull'identità ai carichi di lavoro, senza che sia necessario apportare modifiche architetturali alla rete.

 

La microsegmentazione è fondamentale

La microsegmentazione è nata come un metodo per moderare il traffico tra i server nello stesso segmento di rete. In seguito, si è evoluta con l'inclusione del traffico tra segmenti, in modo che il Server A possa dialogare con il Server B o che l'Applicazione A possa comunicare con l'Host B, e così via, a condizione che l'identità della risorsa richiedente (server/applicazione/host/utente) corrisponda all'autorizzazione configurata per quella risorsa. 

Le soluzioni legacy di microsegmentazione sono basate sulla rete e dipendono dai firewall, che utilizzano gli indirizzi di rete per applicare le regole. Questa dipendenza dagli indirizzi di rete incrementa la complessità delle operazioni, poiché le reti cambiano costantemente e, di conseguenza, le policy devono essere continuamente aggiornate quando le applicazioni e i dispositivi si spostano. Gli aggiornamenti continui costituiscono una vera e propria sfida in un data center, e lo sono ancor di più negli ambienti cloud e dove gli indirizzi IP sono effimeri.

Gli approcci alla segmentazione basati sugli indirizzi di rete non sono in grado di identificare che cosa sta comunicando, come l'identità del software, ma possono solo stabilire il modo in cui queste entità comunicano, ad esempio l'indirizzo IP, la porta o il protocollo da cui ha avuto origine la "richiesta". Tutte le comunicazioni considerate "sicure" vengono autorizzate, anche se l'IT non sa con esattezza cosa sta tentando di comunicare. Inoltre, una volta che un'entità si trova all'interno di una rete, viene considerata automaticamente attendibile, e questa attendibilità potrebbe essere sfruttata dagli utenti malintenzionati per spostarsi lateralmente all'interno del cloud o del data center. 

Questo approccio legacy crea la cosiddetta rete piatta (flat network). Questa struttura consente un accesso con privilegi eccessivi sfruttando percorsi non protetti, e permette agli aggressori di muoversi lateralmente e di compromettere i carichi di lavoro negli ambienti cloud e nei data center. Tuttavia, il costo, la complessità e il tempo necessari per eseguire la segmentazione della rete utilizzando dei firewall virtuali legacy, vanificano il vantaggio che ne deriverebbe in termini di sicurezza. 

Questo modello di attendibilità basato sulla rete può portare a subire violazioni, e questa è una delle principali ragioni per cui la microsegmentazione si è evoluta. 

La microsegmentazione è un modo per estendere la protezione direttamente al carico di lavoro dell'applicazione, in modo che le aziende possano controllare più efficacemente le comunicazioni tra i carichi di lavoro e proteggerle individualmente. È progettata per consentire un controllo granulare del traffico ed eliminare la superficie di attacco della rete.

Con la microsegmentazione, i team IT possono adattare le impostazioni di sicurezza a diversi tipi di applicazione, creando policy che limitano i flussi di rete e delle applicazioni tra i carichi di lavoro a quelli espressamente consentiti. In questo modello di sicurezza zero trust, un'azienda può, ad esempio, impostare una policy che stabilisca che una particolare applicazione in esecuzione su un host può comunicare solo con un'altra applicazione in esecuzione su altri host; ad esempio, tutti i software relativi alle procedure PCI possono essere microsegmentati per controllare rigorosamente l'ambiente PCI e ridurne l'estensione. E se un dispositivo o un carico di lavoro si sposta, le policy e gli attributi di sicurezza si sposteranno con esso.

Applicando le regole di segmentazione al carico di lavoro o all'applicazione, l'IT può ridurre il rischio che un utente malintenzionato si sposti da un'applicazione o un carico di lavoro compromesso a un'altra entità violata. 

Inoltre, utilizzando un approccio zero trust con base cloud per proteggere le connessioni tra utenti e applicazioni con le policy aziendali e senza collocarli sulla rete aziendale, un approccio noto come ZTNA (Zero Trust Network Access), è possibile incrementare il livello di sicurezza nei cloud pubblici e nei data center.

Applicando le regole di segmentazione al carico di lavoro o all'applicazione, l'IT può ridurre il rischio che un utente malintenzionato si sposti da un'applicazione o un carico di lavoro compromesso a un'altra entità violata.

Ann Bednarz, Network World

La segmentazione dei carichi di lavoro cloud secondo Zscaler

Zscaler Workload Segmentation (ZWS) semplifica la microsegmentazione, automatizzando la creazione e la gestione delle policy e proteggendo le applicazioni e i carichi di lavoro nel cloud e nel data center.

Con un solo clic, ZWS individua il rischio a cui è sottoposta un'organizzazione e applica ai carichi di lavoro una protezione basata sull'identità, senza la necessità di apportare modifiche alla rete. La sua tecnologia basata sull'identità del software offre una protezione senza lacune, con policy che si adattano automaticamente ai cambiamenti ambientali. In breve, ZWS semplifica l'eliminazione della superficie di attacco della rete. 

ZWS inizia a mappare la topologia della comunicazione delle applicazioni utilizzando il machine learning, con un processo che richiede circa 72 ore (un significativo miglioramento rispetto ai mesi necessari per eseguirlo manualmente). Una volta completata questa procedura, Zscaler può misurare i percorsi di rete totali disponibili e i percorsi effettivamente richiesti dalle applicazioni aziendali. In genere, è necessaria solo una frazione dei percorsi totali. Tutti i percorsi di comunicazione non necessari possono essere eliminati, e in questo modo si riduce la superficie di attacco.

Per abilitare la microsegmentazione basata sull'identità, a ogni dispositivo e software viene assegnata un'identità univoca e immutabile basata su decine di proprietà della risorsa stessa. Le identità si estendono a livello dei processi secondari, in modo che Zscaler possa identificare in modo univoco anche i singoli script Java JAR e Python. La creazione e la gestione dell'identità sono completamente automatizzate per semplificare le operazioni. 

Zscaler verifica in tempo reale le identità dei software in comunicazione. Questo approccio zero trust impedisce la comunicazione di software non autorizzato e dannoso. Gli attacchi di piggybacking, che utilizzano le regole approvate del firewall, diventeranno quindi solo un lontano ricordo del passato. L'identità è il segreto per ottenere operazioni più semplici e fornire una protezione più efficace rispetto a quella ottenuta con i tradizionali controlli di sicurezza della rete.

Dato che le identità dei software comunicanti sono altamente specifiche, Zscaler semplifica il numero di policy necessarie per proteggere un segmento. Come indicato in precedenza, la nostra piattaforma crea non più di sette policy per ogni segmento, che stabiliscono esattamente quali applicazioni e dispositivi possono comunicare tra loro. Inoltre, poiché le policy di segmentazione sono create utilizzando l'identità del software, anche se la rete sottostante cambia, esse non vengono influenzate in alcun modo. Se il sistema non è in grado di verificare l'identità univoca di ciò che sta tentando di comunicare, la comunicazione viene impedita.

Con Zscaler Workload Segmentation è possibile creare segmenti e associarvi le relative policy in pochi minuti.

 

Guardalo in azione

Richiedi una dimostrazione per scoprire in che modo Zscaler Workload Segmentation migliora la sicurezza

Zero trust in un clic

Consulta la scheda tecnica
Zero trust in un clic

Differenza tra microsegmentazione e segmentazione di rete

Leggi il blog
Differenza tra microsegmentazione e segmentazione di rete

Goulston & Storrs incrementa la sicurezza dei dati dei clienti grazie a Zscaler Workload Segmentation

Leggi il caso di studio
Goulston & Storrs incrementa la sicurezza dei dati dei clienti grazie a Zscaler Workload Segmentation