Che cos'è la microsegmentazione? La microsegmentazione è una tecnica di sicurezza informatica che consente alle organizzazioni di gestire al meglio l'accesso alla rete tra le varie risorse (ad esempio, da server a server/traffico est-ovest). Identificando in modo univoco ogni risorsa (ad esempio, server, applicazione, host o utente), l'organizzazione è in grado di configurare delle autorizzazioni e di ottenere un controllo granulare del traffico dati. Se implementata secondo i principi dello zero trust, la microsegmentazione consente di prevenire il movimento laterale delle minacce, la compromissione dei carichi di lavoro e la violazione dei dati.

Leggi "Nozioni di base sulla microsegmentazione"

Microsegmentazione e segmentazione della rete a confronto

Sebbene i concetti di segmentazione della rete e microsegmentazione vengano spesso utilizzati in modo intercambiabile, sono in realtà radicalmente diversi.

Il termine segmentazione della rete descrive nello specifico il traffico nord-sud (ossia il traffico che entra ed esce dalla rete). Con la segmentazione della rete, un'entità, ad esempio un utente, una volta ottenuto l'accesso all'interno di una zona designata della rete, viene ritenuta attendibile.

La microsegmentazione, invece, indica il traffico est-ovest, ovvero il traffico che si muove attraverso il data center o la rete cloud, da server a server, da applicazione a server e così via. In poche parole, la segmentazione della rete può essere paragonata alle mura esterne e al fossato di un castello, mentre la microsegmentazione alle guardie che ne sorvegliano tutte le porte interne.

Come funziona la microsegmentazione

Le soluzioni di microsegmentazione creano zone sicure che consentono alle aziende di isolare i carichi di lavoro l'uno dall'altro e di proteggerli singolarmente. Sono progettate per consentire una partizione granulare (da qui "micro") del traffico di rete, per fornire una maggiore resistenza agli attacchi informatici.

Sfruttando un approccio che include delle policy di microsegmentazione, i team IT e addetti alla sicurezza sono in grado di adattare le impostazioni rispetto a diversi tipi di traffico, creando controlli che limitano i flussi di rete e di applicazioni tra carichi di lavoro a quelli espressamente consentiti.

Applicando le regole di segmentazione fino a livello di carico di lavoro o di applicazione, l'IT è in grado di ridurre la superficie di attacco e, di conseguenza, il rischio che un aggressore si muova da un carico di lavoro o un'applicazione compromessa a un'altra entità.

Perché gli approcci di segmentazione legacy non funzionano

Le soluzioni di segmentazione della rete legacy si basano sui firewall, che utilizzano gli indirizzi di rete per applicare le regole. Tuttavia, poiché le reti cambiano continuamente, le policy devono essere costantemente aggiornate con lo spostamento delle applicazioni e dei dispositivi; questa è una difficoltà per i data center on-premise, gli ambienti multicloud e gli ambienti in cui gli indirizzi IP sono effimeri.

Inoltre, gli approcci alla segmentazione basati sugli indirizzi di rete non sono in grado di identificare le entità che stanno comunicando, ad esempio non sono in grado di rilevare l'identità del software. Possono solo vedere il modo in cui la comunicazione sta avendo luogo, ad esempio l'indirizzo IP, la porta o il protocollo da cui proviene la "richiesta". Quindi, le comunicazioni vengono consentite a patto che siano considerate "sicure", anche se i team IT e di sicurezza non conoscono esattamente le entità che vogliono comunicare.

Inoltre, una volta che un'entità si trova all'interno di una "zona sicura" sulla rete, viene automaticamente ritenuta attendibile; questo aumenta il rischio di subire violazioni e, in una rete piatta, il rischio di movimento laterale.

Perché la microsegmentazione è importante

La microsegmentazione offre vantaggi unici, in quanto consente all'IT di basare le policy e le autorizzazioni sull'identità delle risorse. Per questo motivo, è il metodo ideale per creare raggruppamenti intelligenti in base alle caratteristiche dei singoli carichi di lavoro che comunicano all'interno del data center.

Inoltre, la microsegmentazione non si basa su reti dinamiche che cambiano continuamente e non è vincolata ai requisiti aziendali o tecnici imposti su queste ultime; questo significa che è più forte e più affidabile per la sicurezza della rete. È infatti una parte fondamentale di un'architettura ZTNA (Zero Trust Network Access), che si è dimostrata in grado di semplificare il controllo degli accessi.

Inoltre, è molto più semplice da gestire: è infatti possibile proteggere un segmento con poche policy basate sull'identità, invece che con centinaia di regole firewall basate sugli indirizzi.

Le caratteristiche della microsegmentazione

Ecco alcuni dei vantaggi tecnici della microsegmentazione:

  • Controlli di sicurezza e gestione centralizzati su tutte le reti: poiché la microsegmentazione gestisce il traffico est-ovest anziché quello nord-sud, le policy sono valide per tutto il traffico che passa attraverso i segmenti che governano. Inoltre, poiché queste ultime sono più definite, si ottiene una visibilità di gran lunga maggiore sull'attività di rete, rispetto a quella fornita dalla segmentazione della rete.
  • Policy di segmentazione che si adattano automaticamente: le policy vengono applicate ai carichi di lavoro, e non all'hardware, quindi rimangono invariate, indipendentemente dalle modifiche apportate all'infrastruttura. Ciò significa che i team addetti alla sicurezza IT possono estendere un set di controlli ovunque, senza rischiare periodi di inattività.
  • Protezione senza lacune: le policy di sicurezza coprono cloud, container, data center on-premise e ambienti cloud ibridi, perché la policy è specifica per il carico di lavoro, e non per il segmento di rete; questo consente di risolvere tutte le potenziali vulnerabilità nella copertura della sicurezza.

Alcuni fornitori sono specializzati esclusivamente nella microsegmentazione. In ogni caso, la soluzione dovrebbe supportare il requisito in costante crescita della microsegmentazione basata sull'identità (una segmentazione più granulare, basata su software, chiamata anche segmentazione di rete zero trust) del traffico est-ovest nei data center.

Neil MacDonald e Tom Croll, Gartner Market Guide to Cloud Workload Protection, aprile 2020

I vantaggi della microsegmentazione per le aziende

Sicurezza proattiva in ambito IT e di rete

La microsegmentazione rimuove gli ostacoli alla sicurezza tipici della segmentazione tradizionale, creando policy a livello di applicazione che si spostano con tutte le app e i servizi. Di conseguenza, le potenziali violazioni dei dati sono limitate alle risorse interessate, non all'intera rete. Alcuni servizi di microsegmentazione offrono persino funzionalità che sfruttano l'automazione per identificare tutti i software in comunicazione, consigliare policy zero trust e consentirne l'applicazione in un solo clic.

Vulnerabilità ridotta

Invece di utilizzare controlli statici basati sugli indirizzi IP, sulle porte e sui protocolli, i team possono creare crittograficamente delle impronte digitali per ciascun carico di lavoro e fornire una protezione uniforme per i carichi di lavoro presenti in un data center interno o sul cloud. La creazione di impronte digitali svincola la sicurezza dei carichi di lavoro dai costrutti degli indirizzi IP, consentendo così di evitare i problemi tipici dei controlli di questo tipo.

Valutazione continua del rischio

La microsegmentazione consente di quantificare l'esposizione al rischio misurando in automatico la superficie di attacco visibile della rete, per capire quanti sono i percorsi di comunicazione delle applicazioni in uso. Alcuni servizi controllano anche le identità dei software ogni volta che viene richiesta una comunicazione, attenuando i rischi, supportando gli obblighi di conformità alle normative e fornendo report visivi per comprendere il rischio.

La segmentazione zero trust

Come già accennato, il modello di sicurezza zero trust si basa sui principi della microsegmentazione. La policy viene applicata ai carichi di lavoro, non ai segmenti di rete, in modo da permettere l'accesso granulare a qualsiasi risorsa e in qualsiasi posizione se non è possibile stabilire un contesto sufficiente per la connessione.

Ad esempio, con un modello zero trust, e in particolare in modalità cloud, un'azienda potrebbe impostare una policy per stabilire che i dispositivi medici possono comunicare solo con altri dispositivi medici. Se un dispositivo endpoint o un carico di lavoro dovesse spostarsi, le policy e gli attributi di sicurezza si sposterebbero con esso, in tempo reale.

Molti provider di servizi di sicurezza sul cloud promettono di offrire lo zero trust con base cloud, ma è una promessa che non sono in grado di mantenere. Solo un provider offre una sicurezza zero trust completa sul cloud, in grado di proteggere la rete, le applicazioni e i dati sensibili dalle sofisticate minacce informatiche di oggi.

Cosa può fare Zscaler

Zscaler Workload Segmentation (ZWS) è una soluzione creata da zero per automatizzare e semplificare il processo di microsegmentazione in qualsiasi ambiente cloud o data center. Grazie a policy facili da comprendere, basate sull'identità e applicabili in un solo clic, è possibile migliorare la sicurezza consentendo a ZWS di rivelare il rischio e proteggere i carichi di lavoro senza apportare modifiche alla rete o alle applicazioni.

Zscaler Workload Segmentation sfrutta tecnologie basate sull'identità software, fornendo una protezione senza lacune, con policy che si adattano automaticamente ai cambiamenti ambientali. Eliminare la superficie di attacco della rete adottando al contempo un'efficace protezione zero trust non è mai stato così semplice.

Vuoi vedere da vicino come funziona Zscaler Workload Segmentation? Visita la pagina dei prodotti per richiedere una dimostrazione personalizzata.

Risorse consigliate