Risorse > Glossario dei termini della sicurezza > Che cos'è la microsegmentazione

Che cos'è la microsegmentazione?

Che cos'è la microsegmentazione?

La microsegmentazione è nata come strumento per moderare il traffico tra i server (server-to-server) nello stesso segmento di rete. Si è poi trasformata per includere il traffico intra-segmento, di modo che il Server A possa dialogare con il Server B, o che l'Applicazione A possa comunicare con l'Host B, e così via, a condizione che l'identità della risorsa richiedente (server/applicazione/host/utente) corrisponda al permesso configurato per quella risorsa. 

Le policy e i permessi per la microsegmentazione possono essere basati sull'identità delle risorse, rendendola indipendente dall'infrastruttura sottostante, a differenza della segmentazione di rete, che dipende dagli indirizzi IP di rete. In tal modo, la microsegmentazione è un metodo ideale per creare raggruppamenti intelligenti dei carichi di lavoro, in base alle caratteristiche di ciascuno carico che comunica all'interno del data center. La microsegmentazione, un elemento essenziale della struttura di accesso alla rete zero trust (ZTNA), non dipende da reti che cambiano in modo dinamico, o dall'attività o dai requisiti tecnici imposti su di esse, perciò la sicurezza di rete è più robusta e affidabile. Inoltre, è molto più semplice da gestire: è possibile proteggere un segmento con poche policy basate sull'identità, piuttosto che con centinaia di regole basate sugli indirizzi.
 

Perché usare la microsegmentazione?

Le soluzioni di microsegmentazione basate su reti legacy dipendono dai firewall, che utilizzano gli indirizzi di rete per applicare le regole. Questa dipendenza dagli indirizzi di rete è problematica, poiché le reti cambiano di continuo, il che significa che le policy devono essere costantemente aggiornate con l'evoluzione di applicazioni e dispositivi. Gli aggiornamenti continui sono un'autentica sfida in un data center on-premise e ancor di più in ambienti cloud, e laddove gli indirizzi IP sono effimeri.

Gli approcci basati sugli indirizzi di rete per la segmentazione non sono in grado di identificare che cosa sta comunicando —l'identità del software, ad esempio — ma possono solo stabilire come si sta comunicando, ad esempio l'indirizzo IP, la porta o il protocollo da cui ha avuto origine la "richiesta". Finché le comunicazioni vengono considerate "sicure", vengono autorizzate anche se i team IT e di sicurezza non sanno esattamente che cosa sta comunicando. Inoltre, un'entità viene considerata affidabile una volta che si trova all'interno di una "zona sicura" della rete. Ma questo modello di fiducia è soggetto a violazioni ed è uno dei principali motivi dell'evoluzione della microsegmentazione.

La microsegmentazione è un modo per creare zone sicure, in modo che le aziende possano isolare tra loro i carichi di lavoro e assicurarli uno per uno. È pensata per consentire la suddivisione granulare del traffico al fine di offrire una maggiore resistenza agli attacchi.

Con la microsegmentazione, i team IT e di sicurezza possono adattare le impostazioni di sicurezza a diversi tipi di traffico, creando policy che limitano i flussi di rete e applicazioni tra i carichi di lavoro a quelli esplicitamente consentiti. In questo modello di sicurezza zero trust, un'azienda può impostare una policy che, ad esempio, afferma che i dispositivi medici possono dialogare solo tra loro. Se poi un dispositivo o un carico di lavoro si evolve, le policy di sicurezza e gli attributi si evolvono con esso.

Applicando le regole di segmentazione fino al livello di carico di lavoro o applicazione, l'IT è in grado di ridurre la superficie di attacco e, di conseguenza, il rischio che un aggressore si muova tra un carico di lavoro o applicazione compromessi ad altri.

 

Microsegmentazione non è sinonimo di segmentazione di rete

È abbastanza comune che i termini segmentazione e microsegmentazione di rete vengano utilizzati senza distinzione. In realtà, sono concetti totalmente diversi. Il termine segmentazione di rete si utilizza al meglio per il traffico da nord a sud, cioè il traffico che entra ed esce dalla rete. Con la segmentazione di rete, un'entità, ad esempio un utente, viene generalmente considerata affidabile una volta entrata in una zona specifica della rete. Il termine microsegmentazione viene utilizzato al meglio per il traffico da est a ovest, cioè il traffico che si muove su un data center o una rete sul cloud: server-to-server, application-to-server, ecc. Più semplicemente, la segmentazione di rete rappresenta le mura esterne di un castello, mentre la microsegmentazione rappresenta le guardie che sorvegliano ognuna delle porte interne del castello.

 

Vantaggi chiave della microsegmentazione basata sull'identità

  • Minor numero di policy da gestire
  • Gestione centralizzata delle policy su tutte le reti
  • Policy che si adattano automaticamente indipendentemente dai cambiamenti nell'infrastruttura
  • Protezione continua attraverso data center su cloud, container, on-premise e ambienti ibridi sul cloud
Alcuni fornitori sono specializzati esclusivamente nella microsegmentazione. In ogni caso, la soluzione dovrebbe supportare i requisiti in costante crescita della "microsegmentazione" basata sull'identità (una segmentazione più granulare, basata su software, altrimenti definita segmentazione di rete zero trust) del traffico da est a ovest nei data center.
Neil MacDonald e Tom Croll, Gartner Market Guide Cloud Workload Protection, aprile 2020

Come la microsegmentazione facilita il business

Supporto per importanti iniziative di business

  • La microsegmentazione rimuove i blocchi di sicurezza provocati da approcci tradizionali o "legacy". Qualsiasi minaccia a riservatezza, integrità o disponibilità dei dati o sistemi è un rischio per le aziende, e deve essere ridotto. La microsegmentazione crea policy in funzione delle applicazioni, che viaggiano con tutte le applicazioni e servizi, il che significa che le potenziali compromissioni vengono limitate alla risorsa colpita, non all'intera rete. Inoltre, alcuni servizi di microsegmentazione sono in grado di identificare automaticamente tutti i software comunicanti, consigliare policy zero trust e applicarle con un solo clic.

Protezione continua

  • Gli strumenti di sicurezza che dipendono da indirizzi IP, porte e protocolli non sono adatti a proteggere gli ambienti sul cloud. La natura dinamica del cloud rende inaffidabili questi controlli statici di sicurezza e accesso, poiché possono cambiare in qualsiasi momento, o diverse volte, in un dato giorno. Anche in un ambiente data center on-premise, gli aggressori possono facilmente aggirare i tradizionali controlli di sicurezza di rete, rendendone meno efficace la protezione di fronte alle violazioni.

     

  • Piuttosto che utilizzare controlli statici, i team possono rilevare crittograficamente le impronte digitali di ciascun carico di lavoro, per fornire una protezione costante ai carichi di lavoro presenti in un data center interno o sul cloud. La rilevazione delle impronte digitali svincola la sicurezza dei carichi di lavoro dalle strutture degli indirizzi IP e, perciò, evita problemi legati ai controlli basati su IP. I team di sicurezza possono avere la certezza che viene consentita la comunicazione solo ai software verificati tramite impronta digitale, indipendentemente dalla posizione della rete.

Valutazione continua dei rischi

  • Con la microsegmentazione, è possibile misurare automaticamente la superficie di attacco visibile per capire quanti percorsi possibili di comunicazione delle applicazioni sono in uso e per quantificare l'esposizione ai rischi. I servizi utilizzano inoltre l'apprendimento automatico per consigliare policy di sicurezza zero trust che riducono la probabilità di violazione dei dati.

     

  • In base al principio di accesso meno privilegiato, la microsegmentazione riduce l'accesso concesso all'interno della rete ad applicazioni, host e processi. Alcuni servizi sono inoltre in grado di verificare le identità dei software comunicanti, ogni volta che questi richiedono una comunicazione. Questo approccio basato su software riduce i rischi, supporta gli obblighi di ottemperanza alle norme e offre report visualizzabili sui rischi, i quali consentono ai team di applicare facilmente filtri per applicazione od host.

Differenza tra microsegmentazione e segmentazione di rete

Leggi il blog
leggi il blog

Razionalizzare il piano di segmentazione zero trust

Leggi il blog
blog microsegmentazione

Che cos'è l'Identità applicazione e perché è importante?

Leggi il blog

Segmentazione zero trust su cloud e data center

Consulta la scheda tecnica
Segmentazione zero trust su cloud e data center