What Is Microsegmentation?

Microsegmentation is a cybersecurity technique that allows organizations to better govern network access between resources (e.g., server-to-server/east-west traffic). By uniquely identifying each resource (e.g., server, application, host, user), your organization can configure permissions that provide fine-grained control of data traffic. When implemented using zero trust principles, microsegmentation enables you to stop lateral movement of threats, prevent workload compromise, and stop data breaches.

Microsegmentation vs. Network Segmentation

Microsegmentation Network Segmentation Microsegmentation, on the other hand, is best used for east-west traffic, or traffic that moves across the data center or cloud network—server-to-server, application-to-server, and so on. Simply put, network segmentation is like a castle’s outer walls and moat, whereas microsegmentation is like the guards standing at each of the castle’s interior doors. Network segmentation is best used for north-south traffic (i.e., the traffic that moves into and out of the network). With network segmentation, an entity, such as a user, is trusted once inside a designated zone of the network.

Microsegmentation Features

Some of the technical benefits of microsegmentation include: Centralized security controls and management across networks Segmentation policies that adapt automatically Gap-free protection

Business Benefits of Microsegmentation

Proactive network and IT security Microsegmentation removes security roadblocks common with traditional segmentation by creating application-aware policies that travel with all apps and services. As a result, potential data breaches are contained to affected assets, not the entire network. Some microsegmentation services even offer functionality that leverages automation to identify all communicating software, recommend zero trust policies, and let you apply them with one click. Reduced vulnerability Instead of static controls that rely on IP addresses, ports, and protocols, teams can cryptographically fingerprint each workload to provide consistent protection to workloads operating in an internal data center or the cloud. Fingerprinting decouples your workload security from IP address constructs to avoid issues with IP-based controls. Continuous risk assessment Microsegmentation lets you quantify risk exposure by automatically measuring the visible network attack surface to understand how many possible application communication pathways are in use. Some services even verify the identities of communicating software each time software requests a communication, which mitigates risk, supports regulatory compliance mandates, and provides visualized risk reports.

What is Zero Trust Segmentation?

A zero trust security model is based on principles of microsegmentation. Policy is applied to workloads, not network segments, allowing you to close off all trust to any resource at any location for which you can’t establish sufficient context. In a zero-trust model, for example - particularly one that's cloud-based - a company could determine that medical devices can only interact with other medical devices.

Risorse > Glossario dei termini della sicurezza > Che cos'è la microsegmentazione

Che cos'è la microsegmentazione?

La microsegmentazione è uno strumento nato per moderare il traffico tra i server (server-to-server) nello stesso segmento di rete. Si è poi trasformata per includere il traffico intra-segmento, così il Server A può dialogare con il Server B, o l'Applicazione A può comunicare con l'Host B e così via, a condizione che l'identità della risorsa richiedente (server/applicazione/host/utente) corrisponda all'autorizzazione configurata per quella risorsa.

Le policy e le autorizzazioni per la microsegmentazione possono essere basati sull'identità delle risorse; questo la rende indipendente dall'infrastruttura sottostante, a differenza della segmentazione della rete, che dipende dagli indirizzi IP di rete. La microsegmentazione è quindi il metodo ideale per creare raggruppamenti intelligenti di carichi di lavoro in base alle caratteristiche dei singoli carichi di lavoro che comunicano all'interno del data center. La microsegmentazione è un elemento essenziale dell'architettura di accesso alla rete zero trust (ZTNA) e non dipende dalle reti che cambiano in modo dinamico o dai requisiti aziendali e tecnici imposti su di esse, perciò la sicurezza che offrono è più solida e affidabile. Inoltre, è molto più semplice da gestire: è infatti possibile proteggere un segmento con poche policy basate sull'identità, piuttosto che con centinaia di regole dei firewall basate sugli indirizzi.

Perché usare la microsegmentazione?

Le soluzioni di microsegmentazione legacy sono basate sulla rete e dipendono dai firewall, i quali utilizzano gli indirizzi di rete per applicare le regole. Questa dipendenza dagli indirizzi di rete costituisce un problema, poiché le reti cambiano di continuo, e di conseguenza le policy devono essere costantemente aggiornate se applicazioni e dispositivi si spostano. Gli aggiornamenti continui sono una vera e propria sfida per i data center on-premise e ancor di più per gli ambienti multicloud e gli ambienti in cui gli indirizzi IP sono effimeri.

Gli approcci alla segmentazione basati sugli indirizzi di rete non sono in grado di identificare l'entità che sta comunicando, come ad esempio l'identità del software, e possono solo fornire informazioni sulle modalità di questa comunicazione, ad esempio l'indirizzo IP, la porta o il protocollo da cui la "richiesta" ha avuto origine. Tutte le comunicazioni considerate "sicure" vengono autorizzate, anche se i team IT e di sicurezza non conoscono esattamente l'entità che sta tentando di comunicare. Inoltre, basta che si trovino all'interno di una "zona sicura" sulla rete, e le entità vengano considerate attendibili. Questo modello di attendibilità può tuttavia portare a violazioni e, su una rete di tipo flat, può tradursi in un rischio maggiore di movimento laterale. È per queste ragioni che la microsegmentazione si è evoluta.

Uno dei vantaggi della microsegmentazione è che crea zone sicure in modo che le aziende possano isolare i carichi di lavoro l'uno dall'altro e proteggerli individualmente. È pensata per consentire la suddivisione granulare del traffico, al fine di offrire una maggiore resistenza agli attacchi informatici.

Con la microsegmentazione, i team IT e di sicurezza possono adattare le configurazioni della sicurezza informatica a diverse tipologie di traffico, creando policy che limitano i flussi di rete e delle applicazioni tra i carichi di lavoro a quelli esplicitamente consentiti. In questo modello di sicurezza zero trust, un'azienda può impostare policy specifiche e, ad esempio, consentire ai dispositivi medici di comunicare solo con altri dispositivi medici. Inoltre, se un dispositivo endpoint o un carico di lavoro si muove, le policy e gli attributi di sicurezza si muovono con esso.

Applicando le regole di segmentazione fino al livello del carico di lavoro o dell'applicazione, l'IT è in grado di ridurre la superficie di attacco e, di conseguenza, il rischio che un aggressore si muova da un'applicazione o un carico di lavoro compromesso a un altro.

Microsegmentazione non è sinonimo di segmentazione di rete

È abbastanza comune che i termini segmentazione e microsegmentazione della rete vengano utilizzati in modo interscambiabile. In realtà, sono concetti totalmente diversi. Con segmentazione della rete ci si riferisce nello specifico al traffico nord-sud, cioè il traffico che entra ed esce dalla rete. Con la segmentazione della rete, un'entità, ad esempio un utente, viene generalmente considerata attendibile una volta entrata in una zona specifica della rete. Il termine microsegmentazione, invece, identifica il traffico est-ovest, cioè il traffico che si muove all'interno di un data center o una rete cloud, tra server, tra applicazioni e server, ecc. Più semplicemente, la segmentazione della rete rappresenta le mura esterne di un castello, mentre la microsegmentazione rappresenta le guardie che ne sorvegliano le porte interne.

I vantaggi della microsegmentazione

Minor numero di policy da gestire
Controlli e gestione centralizzati delle policy tra le reti
Policy di segmentazione che si adattano in automatico, indipendentemente dai cambiamenti dell'infrastruttura
Protezione senza punti ciechi, attraverso cloud, container, data center on-premise e ambienti cloud ibridi

Alcuni fornitori sono specializzati esclusivamente nella microsegmentazione. In ogni caso, la soluzione dovrebbe supportare i requisiti in costante crescita della "microsegmentazione" basata sull'identità (una segmentazione più granulare, basata su software, altrimenti definita segmentazione di rete zero trust) del traffico da est a ovest nei data center.

Neil MacDonald e Tom Croll, Gartner Market Guide Cloud Workload Protection, aprile 2020

Come la microsegmentazione facilita il business

Supporto per importanti iniziative di business

La microsegmentazione rimuove gli ostacoli alla sicurezza generati dagli approcci tradizionali o "legacy". Qualsiasi minaccia alla riservatezza, all'integrità o alla disponibilità di dati o sistemi costituisce un rischio che deve essere mitigato. La microsegmentazione crea policy basate sulle applicazioni, che viaggiano con tutte le applicazioni e i servizi, in modo che le potenziali compromissioni siano limitate alla risorsa colpita e non si estendano all'intera rete. Inoltre, alcuni servizi di microsegmentazione offrono funzionalità che identificano automaticamente tutti i software in comunicazione, suggeriscono policy zero trust e le applicano con un clic.

Protezione continua

Gli strumenti di sicurezza informatica, come i firewall, che si basano su indirizzi IP, porte e protocolli, non sono adatti a proteggere gli ambienti cloud. La natura dinamica del cloud rende inaffidabili questi controlli statici di sicurezza e accesso, perché possono cambiare in qualsiasi momento, o diverse volte al giorno. Persino in un data center on-premise gli aggressori sono in grado di aggirare facilmente i tradizionali controlli di sicurezza della rete, che risultano quindi meno efficaci per la protezione contro le violazioni.
Anziché utilizzare dei controlli statici, i team possono creare crittograficamente delle impronte digitali, o fingerprint, per ciascun carico di lavoro, e fornire così una protezione costante ai carichi di lavoro che operano in un data center interno o sul cloud. La creazione di impronte digitali separa la sicurezza dei carichi di lavoro dagli indirizzi IP ed evita i problemi legati ai controlli basati sugli IP. I team di sicurezza possono avere la certezza che solo i software verificati tramite impronta digitale possano comunicare, indipendentemente dalla posizione sulla rete.

Valutazione continua dei rischi

Con la microsegmentazione, è possibile misurare automaticamente la superficie di attacco visibile, per capire quanti possibili percorsi di comunicazione delle applicazioni sono in uso e quantificare l'esposizione al rischio. I servizi utilizzano inoltre algoritmi di machine learning per suggerire policy di sicurezza zero trust che riducono la possibilità di movimento laterale e la probabilità di violazione dei dati.
In base al principio dell'accesso a privilegi minimi, la microsegmentazione riduce l'accesso concesso all'interno della rete ad applicazioni, host e processi. Alcuni servizi sono inoltre in grado di verificare le identità dei software comunicanti ogni volta che questi richiedono una comunicazione. Questo approccio incentrato sul software mitiga i rischi, consente di garantire la conformità alle normative e fornisce report che semplificano la valutazione del rischio e consentono ai team di effettuare ricerche applicando con facilità filtri in base all'applicazione o all'host.

Accelera la trasformazione

Leader del Magic Quadrant di Gartner

Abilitare la forza lavoro ibrida

La protezione dai ransomware più efficace del mondo

Abilitazione di una filiale agile

Proteggere la distribuzione di ServiceNow

Libreria dei contenuti sullo zero trust

Libreria dei contenuti sullo zero trust

Libreria dei contenuti sullo zero trust

Carriere in Zscaler

Carriere in Zscaler

Carriere in Zscaler

Che cos'è la microsegmentazione?