Vuoi vedere da vicino come funziona Zscaler Workload Segmentation? Visita la pagina dei prodotti per richiedere una dimostrazione personalizzata.
Sebbene i concetti di segmentazione della rete e microsegmentazione vengano spesso utilizzati in modo intercambiabile, sono in realtà radicalmente diversi.
Il termine segmentazione della rete descrive nello specifico il traffico nord-sud (ossia il traffico che entra ed esce dalla rete). Con la segmentazione della rete, un'entità, ad esempio un utente, una volta ottenuto l'accesso all'interno di una zona designata della rete, viene ritenuta attendibile.
La microsegmentazione, invece, indica il traffico est-ovest, ovvero il traffico che si muove attraverso il data center o la rete cloud, da server a server, da applicazione a server e così via. In poche parole, la segmentazione della rete può essere paragonata alle mura esterne e al fossato di un castello, mentre la microsegmentazione alle guardie che ne sorvegliano tutte le porte interne.
Le soluzioni di microsegmentazione creano zone sicure che consentono alle aziende di isolare i carichi di lavoro l'uno dall'altro e di proteggerli singolarmente. Sono progettate per consentire una partizione granulare (da qui "micro") del traffico di rete, per fornire una maggiore resistenza agli attacchi informatici.
Sfruttando un approccio che include delle policy di microsegmentazione, i team IT e addetti alla sicurezza sono in grado di adattare le impostazioni rispetto a diversi tipi di traffico, creando controlli che limitano i flussi di rete e di applicazioni tra carichi di lavoro a quelli espressamente consentiti.
Applicando le regole di segmentazione fino a livello di carico di lavoro o di applicazione, l'IT è in grado di ridurre la superficie di attacco e, di conseguenza, il rischio che un aggressore si muova da un carico di lavoro o un'applicazione compromessa a un'altra entità.
Le soluzioni di segmentazione della rete legacy si basano sui firewall, che utilizzano gli indirizzi di rete per applicare le regole. Tuttavia, poiché le reti cambiano continuamente, le policy devono essere costantemente aggiornate con lo spostamento delle applicazioni e dei dispositivi; questa è una difficoltà per i data center on-premise, gli ambienti multicloud e gli ambienti in cui gli indirizzi IP sono effimeri.
Inoltre, gli approcci alla segmentazione basati sugli indirizzi di rete non sono in grado di identificare le entità che stanno comunicando, ad esempio non sono in grado di rilevare l'identità del software. Possono solo vedere il modo in cui la comunicazione sta avendo luogo, ad esempio l'indirizzo IP, la porta o il protocollo da cui proviene la "richiesta". Quindi, le comunicazioni vengono consentite a patto che siano considerate "sicure", anche se i team IT e di sicurezza non conoscono esattamente le entità che vogliono comunicare.
Inoltre, una volta che un'entità si trova all'interno di una "zona sicura" sulla rete, viene automaticamente ritenuta attendibile; questo aumenta il rischio di subire violazioni e, in una rete piatta, il rischio di movimento laterale.
La microsegmentazione offre vantaggi unici, in quanto consente all'IT di basare le policy e le autorizzazioni sull'identità delle risorse. Per questo motivo, è il metodo ideale per creare raggruppamenti intelligenti in base alle caratteristiche dei singoli carichi di lavoro che comunicano all'interno del data center.
Inoltre, la microsegmentazione non si basa su reti dinamiche che cambiano continuamente e non è vincolata ai requisiti aziendali o tecnici imposti su queste ultime; questo significa che è più forte e più affidabile per la sicurezza della rete. È infatti una parte fondamentale di un'architettura ZTNA (Zero Trust Network Access), che si è dimostrata in grado di semplificare il controllo degli accessi.
Inoltre, è molto più semplice da gestire: è infatti possibile proteggere un segmento con poche policy basate sull'identità, invece che con centinaia di regole firewall basate sugli indirizzi.
Ecco alcuni dei vantaggi tecnici della microsegmentazione:
Neil MacDonald e Tom Croll, Gartner Market Guide to Cloud Workload Protection, aprile 2020
La microsegmentazione rimuove gli ostacoli alla sicurezza tipici della segmentazione tradizionale, creando policy a livello di applicazione che si spostano con tutte le app e i servizi. Di conseguenza, le potenziali violazioni dei dati sono limitate alle risorse interessate, non all'intera rete. Alcuni servizi di microsegmentazione offrono persino funzionalità che sfruttano l'automazione per identificare tutti i software in comunicazione, consigliare policy zero trust e consentirne l'applicazione in un solo clic.
Invece di utilizzare controlli statici basati sugli indirizzi IP, sulle porte e sui protocolli, i team possono creare crittograficamente delle impronte digitali per ciascun carico di lavoro e fornire una protezione uniforme per i carichi di lavoro presenti in un data center interno o sul cloud. La creazione di impronte digitali svincola la sicurezza dei carichi di lavoro dai costrutti degli indirizzi IP, consentendo così di evitare i problemi tipici dei controlli di questo tipo.
La microsegmentazione consente di quantificare l'esposizione al rischio misurando in automatico la superficie di attacco visibile della rete, per capire quanti sono i percorsi di comunicazione delle applicazioni in uso. Alcuni servizi controllano anche le identità dei software ogni volta che viene richiesta una comunicazione, attenuando i rischi, supportando gli obblighi di conformità alle normative e fornendo report visivi per comprendere il rischio.
Come già accennato, il modello di sicurezza zero trust si basa sui principi della microsegmentazione. La policy viene applicata ai carichi di lavoro, non ai segmenti di rete, in modo da permettere l'accesso granulare a qualsiasi risorsa e in qualsiasi posizione se non è possibile stabilire un contesto sufficiente per la connessione.
Ad esempio, con un modello zero trust, e in particolare in modalità cloud, un'azienda potrebbe impostare una policy per stabilire che i dispositivi medici possono comunicare solo con altri dispositivi medici. Se un dispositivo endpoint o un carico di lavoro dovesse spostarsi, le policy e gli attributi di sicurezza si sposterebbero con esso, in tempo reale.
Molti provider di servizi di sicurezza sul cloud promettono di offrire lo zero trust con base cloud, ma è una promessa che non sono in grado di mantenere. Solo un provider offre una sicurezza zero trust completa sul cloud, in grado di proteggere la rete, le applicazioni e i dati sensibili dalle sofisticate minacce informatiche di oggi.
Zscaler Workload Segmentation (ZWS) è una soluzione creata da zero per automatizzare e semplificare il processo di microsegmentazione in qualsiasi ambiente cloud o data center. Grazie a policy facili da comprendere, basate sull'identità e applicabili in un solo clic, è possibile migliorare la sicurezza consentendo a ZWS di rivelare il rischio e proteggere i carichi di lavoro senza apportare modifiche alla rete o alle applicazioni.
Zscaler Workload Segmentation sfrutta tecnologie basate sull'identità software, fornendo una protezione senza lacune, con policy che si adattano automaticamente ai cambiamenti ambientali. Eliminare la superficie di attacco della rete adottando al contempo un'efficace protezione zero trust non è mai stato così semplice.
Vuoi vedere da vicino come funziona Zscaler Workload Segmentation? Visita la pagina dei prodotti per richiedere una dimostrazione personalizzata.
La microsegmentazione zero trust per il cloud ibrido
Visita la pagina webZscaler Workload Segmentation
Consulta la scheda tecnicaMicrosegmentazione zero trust: si basa tutto sui dati
Leggi il blogZscaler Private Access
Visita la nostra pagina web