Che cos'è la microsegmentazione?
Definizione di microsegmentazione
La microsegmentazione è una tecnica di sicurezza informatica che consente alle organizzazioni di amministrare meglio l'accesso alla rete tra le varie risorse (ad esempio, da server a server/traffico est-ovest). Identificando in modo univoco ogni risorsa (ad esempio, server, applicazione, host, utente), l'organizzazione è in grado di configurare delle autorizzazioni e di ottenere un controllo granulare del traffico dati. Se implementata secondo i principi dello zero trust, la microsegmentazione consente di bloccare il movimento laterale delle minacce, impedire la compromissione dei carichi di lavoro e bloccare le violazioni dei dati.
Microsegmentazione e segmentazione della rete a confronto
Sebbene i concetti di segmentazione della rete e microsegmentazione vengano spesso utilizzati in modo intercambiabile, sono in realtà radicalmente diversi.
Il termine segmentazione della rete descrive nello specifico il traffico nord-sud (ossia il traffico che entra ed esce dalla rete). Con la segmentazione della rete, un'entità, ad esempio un utente, una volta ottenuto l'accesso all'interno di una zona designata della rete, viene ritenuta attendibile.
La microsegmentazione, invece, indica il traffico est-ovest, ovvero il traffico che si muove attraverso il data center o la rete cloud, da server a server, da applicazione a server e così via. In poche parole, la segmentazione della rete può essere paragonata alle mura esterne e al fossato di un castello, mentre la microsegmentazione alle guardie che ne sorvegliano tutte le porte interne.
Come funziona la microsegmentazione
Le soluzioni di microsegmentazione creano zone sicure che consentono alle aziende di isolare i carichi di lavoro l'uno dall'altro e di proteggerli singolarmente. Sono progettate per consentire una partizione granulare (da qui "micro") del traffico di rete, per fornire una maggiore resistenza agli attacchi informatici.
Sfruttando un approccio che include delle policy di microsegmentazione, i team IT e addetti alla sicurezza sono in grado di adattare le impostazioni rispetto a diversi tipi di traffico, creando controlli che limitano i flussi di rete e di applicazioni tra carichi di lavoro a quelli espressamente consentiti.
Applicando le regole di segmentazione fino a livello di carico di lavoro o di applicazione, l'IT è in grado di ridurre la superficie di attacco e, di conseguenza, il rischio che un aggressore si muova da un carico di lavoro o un'applicazione compromessa a un'altra entità.
Perché gli approcci di segmentazione legacy non funzionano
Le soluzioni di segmentazione della rete legacy si basano sui firewall, che utilizzano gli indirizzi di rete per applicare le regole. Tuttavia, poiché le reti cambiano continuamente, le policy devono essere costantemente aggiornate con lo spostamento delle applicazioni e dei dispositivi; questa è una difficoltà per i data center on-premise, gli ambienti multicloud e gli ambienti in cui gli indirizzi IP sono effimeri.
Inoltre, gli approcci alla segmentazione basati sugli indirizzi di rete non sono in grado di identificare le entità che stanno comunicando, ad esempio non sono in grado di rilevare l'identità del software. Possono solo vedere il modo in cui la comunicazione sta avendo luogo, ad esempio l'indirizzo IP, la porta o il protocollo da cui proviene la "richiesta". Quindi, le comunicazioni vengono consentite a patto che siano considerate "sicure", anche se i team IT e di sicurezza non conoscono esattamente le entità che vogliono comunicare.
Inoltre, una volta che un'entità si trova all'interno di una "zona sicura" sulla rete, viene automaticamente ritenuta attendibile; questo aumenta il rischio di subire violazioni e, in una rete piatta, il rischio di movimento laterale.
Perché la microsegmentazione è importante?
La microsegmentazione è unica, in quanto consente all'IT di basare le policy e le autorizzazioni sull'identità delle risorse. Per questo motivo, è il metodo ideale per creare raggruppamenti intelligenti in base alle caratteristiche dei singoli carichi di lavoro che comunicano all'interno del data center.
Inoltre, la microsegmentazione non si basa su reti dinamiche che cambiano continuamente e non è vincolata ai requisiti aziendali o tecnici imposti su queste ultime; questo significa che è più forte e più affidabile per la sicurezza della rete. È infatti una parte fondamentale di un'architettura ZTNA (Zero Trust Network Access), che si è dimostrata in grado di semplificare il controllo degli accessi.
Inoltre, è molto più semplice da gestire: è infatti possibile proteggere un segmento con poche policy basate sull'identità, invece che con centinaia di regole firewall basate sugli indirizzi.
Le caratteristiche della microsegmentazione
Ecco alcuni dei vantaggi tecnici della microsegmentazione:
- Controlli di sicurezza e gestione centralizzati su tutte le reti: poiché la microsegmentazione gestisce il traffico est-ovest anziché quello nord-sud, le policy sono valide per tutto il traffico che passa attraverso i segmenti che governano. Inoltre, poiché queste ultime sono più definite, si ottiene una visibilità di gran lunga maggiore sull'attività di rete, rispetto a quella fornita dalla segmentazione della rete.
- Policy di segmentazione che si adattano automaticamente: le policy vengono applicate ai carichi di lavoro, e non all'hardware, quindi rimangono invariate, indipendentemente dalle modifiche apportate all'infrastruttura. Ciò significa che i team addetti alla sicurezza IT possono estendere un set di controlli ovunque, senza rischiare periodi di inattività.
- Protezione senza lacune: le policy di sicurezza coprono cloud, container, data center on-premise e ambienti cloud ibridi, perché la policy è specifica per il carico di lavoro, e non per il segmento di rete; questo consente di risolvere tutte le potenziali vulnerabilità nella copertura della sicurezza.
I vantaggi della microsegmentazione per le aziende
Sicurezza IT e della rete proattiva
La microsegmentazione rimuove gli ostacoli alla sicurezza tipici della segmentazione tradizionale, creando policy a livello di applicazione che viaggiano con tutte le app e i servizi. Di conseguenza, le potenziali violazioni dei dati sono limitate alle risorse interessate, e non all'intera rete. Alcuni servizi di microsegmentazione offrono persino funzionalità che sfruttano l'automazione per identificare tutti i software in comunicazione, consigliare policy zero trust e consentirne l'applicazione in un solo clic.
Vulnerabilità ridotta
Invece di utilizzare controlli statici basati sugli indirizzi IP, sulle porte e sui protocolli, i team possono creare crittograficamente delle impronte digitali per ciascun carico di lavoro e fornire una protezione uniforme per i carichi di lavoro presenti in un data center interno o sul cloud. La creazione di impronte digitali svincola la sicurezza dei carichi di lavoro dai costrutti degli indirizzi IP, e consente così di evitare i problemi legati ai controlli di questo tipo.
Valutazione continua del rischio
La microsegmentazione consente di quantificare l'esposizione al rischio misurando in automatico la superficie di attacco visibile della rete, per capire quanti sono i percorsi di comunicazione delle applicazioni in uso. Alcuni servizi controllano anche le identità dei software ogni volta che viene richiesta una comunicazione, attenuando i rischi, supportando gli obblighi di conformità alle normative e fornendo report visivi per comprendere il rischio.
La segmentazione zero trust
Come già accennato, il modello di sicurezza zero trust si basa sui principi della microsegmentazione. La policy viene applicata ai carichi di lavoro, non ai segmenti di rete, in modo da impedire totalmente l'assegnazione di attendibilità a tutte le risorse per cui non è possibile stabilire un contesto sufficiente, indipendentemente dalla posizione.
Ad esempio, con un modello zero trust, e in particolare in modalità cloud, un'azienda potrebbe impostare una policy per stabilire che i dispositivi medici possono comunicare solo con altri dispositivi medici. Se un dispositivo endpoint o un carico di lavoro dovesse spostarsi, le policy e gli attributi di sicurezza si sposterebbero con esso, in tempo reale.
Molti provider di servizi di sicurezza sul cloud promettono di offrire lo zero trust con base cloud, ma è una promessa che non sono in grado di mantenere. Solo un provider offre una sicurezza zero trust completa sul cloud, in grado di proteggere la rete, le applicazioni e i dati sensibili dalle sofisticate minacce informatiche di oggi.
Cosa può fare Zscaler
Zscaler Workload Segmentation (ZWS) è una soluzione creata da zero per automatizzare e semplificare il processo di microsegmentazione, in qualsiasi ambiente cloud o data center. Grazie a policy facili da comprendere, basate sull'identità e applicabili in un solo clic, è possibile migliorare la sicurezza consentendo a ZWS di rivelare il rischio e proteggere i carichi di lavoro senza apportare modifiche alla rete o alle applicazioni.
Con Zscaler Workload Segmentation, eliminare la superficie di attacco della rete, adottando al contempo un'efficace protezione zero trust, è semplicissimo.
Visita la nostra pagina sul prodotto per scoprire come ZWS può aiutare la tua azienda.
Differenza tra microsegmentazione e segmentazione di rete
Leggi il blog
Razionalizzare il piano di segmentazione zero trust
Leggi il blog
Che cos'è l'identità dell'applicazione e perché è importante?
Leggi il blog
Segmentazione zero trust su cloud e data center
Consulta la scheda tecnica