Zscaler Data Protection Recognized as a 2023 Product of the Year by CRN

Find out more
Zpedia / Che cos'è la microsegmentazione?

Che cos'è la microsegmentazione?

La microsegmentazione è una tecnica di sicurezza informatica che consente alle organizzazioni di gestire al meglio l'accesso alla rete tra le risorse (ad esempio da server a server/traffico est-ovest). Identificando in modo univoco ogni singola risorsa (come server, applicazione, host o utente), l'organizzazione è in grado di configurare le autorizzazioni e di ottenere un controllo granulare sul traffico dati. Combinata con un approccio zero trust, la microsegmentazione aiuta a prevenire il movimento laterale delle minacce, la compromissione dei workload e le violazioni dei dati.

Leggi "Nozioni di base sulla microsegmentazione"

Perché la microsegmentazione è importante

La microsegmentazione consente all'IT di basare le policy e le autorizzazioni sull'identità delle risorse, ed è il metodo ideale per creare raggruppamenti intelligenti in base alle caratteristiche dei singoli workload che comunicano all'interno del data center. In combinazione con i controlli di accesso basati sul principio dei privilegi minimi, questa tecnica consente di proteggere al meglio le applicazioni e i dati critici di un'organizzazione, in quanto rafforza in modo significativo il profilo di sicurezza generale.

Inoltre, la microsegmentazione non si basa su reti che cambiano in modo dinamico o sui vincoli aziendali o tecnici imposti su queste ultime; ciò significa che è più robusta e affidabile per la sicurezza della rete. È infatti un componente fondamentale di un framework ZTNA (Zero Trust Network Access), un modello che ha dimostrato di riuscire a semplificare il controllo degli accessi.

Inoltre, è molto più semplice da gestire: è infatti possibile proteggere un segmento con poche policy basate sull'identità, invece che con centinaia di regole firewall basate sugli indirizzi.

Microsegmentazione e segmentazione della rete a confronto

Sebbene i concetti di segmentazione della rete e microsegmentazione vengano spesso utilizzati in modo intercambiabile, sono in realtà radicalmente diversi.

La segmentazione della rete è utile soprattutto per il traffico nord-sud (dentro e fuori da una rete). Le organizzazioni, in genere, creano segmenti di rete tramite VLAN o firewall, in cui i segmenti (zone) sono basati sulla regione geografica o sui livelli di rete esistenti: dati, applicazioni o rete. Con la segmentazione della rete, un'entità (come ad esempio un utente), una volta all'interno di una determinata zona, viene considerata attendibile.

La microsegmentazione, invece, si rivela particolarmente utile per il traffico est-ovest (attraverso il data center o la rete cloud: da server a server, da applicazione a server ecc.). In poche parole, la segmentazione della rete può essere paragonata alle mura esterne e al fossato di un castello, mentre la microsegmentazione alle guardie che sorvegliano le porte delle sale interne.

Come funziona la microsegmentazione

Le soluzioni di microsegmentazione creano zone sicure che consentono alle aziende di isolare i workload o le macchine virtuali e proteggerli singolarmente. Sono progettate per consentire una partizione granulare del traffico di rete, per fornire una maggiore resistenza agli attacchi informatici.

Nel nostro mondo iperconnesso, la microsegmentazione è diventata centrale in qualsiasi strategia di sicurezza moderna ed efficace. Sfruttando un approccio che include policy di microsegmentazione, i team IT e i responsabili della sicurezza sono in grado di adattare le impostazioni rispetto a diversi tipi di traffico, creando controlli che limitano i flussi di rete e di applicazioni tra i vari workload a quelli espressamente consentiti.

Applicando le regole di segmentazione a livello di workload o di applicazione, l'IT è in grado di ridurre la superficie di attacco e, di conseguenza, il rischio che un aggressore passi da un'applicazione o da un workload compromesso a un altro.

I casi d'uso della microsegmentazione

La microsegmentazione è fondamentale per rispondere con successo a diversi casi d'uso comuni nelle aziende, tra cui:

  • Migrazione al cloud: la microsegmentazione può accelerare e semplificare l'adozione del cloud, consentendo una connettività diretta e sicura per i workload cloud e garantendo comunicazioni sicure di questi ultimi all'interno dell'infrastruttura multicloud.
  • Fusioni e acquisizioni: la microsegmentazione semplifica le attività di integrazione che seguono le operazioni di fusione e acquisizione, consentendo l'accesso trasversale alle applicazioni su reti diverse senza connettere le reti stesse. Gli amministratori possono quindi definire un profilo di sicurezza universale per proteggere i workload tra diversi VPC, regioni e cloud pubblici.
  • Infrastruttura desktop virtuale: la microsegmentazione aiuta a proteggere la VDI fornita attraverso un'infrastruttura cloud, consentendo l'applicazione di precise policy di controllo degli accessi per applicazioni private e siti esplicitamente consentiti.
  • Segmentazione dei workload: la microsegmentazione offre alle organizzazioni un controllo granulare della connettività per i workload cloud in VPC/VNet, regioni o cloud pubblici diversi.

La microsegmentazione va oltre la segmentazione tradizionale

La microsegmentazione offre un approccio alla sicurezza della rete dinamico e sensibile al contesto. Mentre la segmentazione della rete di tipo tradizionale si fonda su regole firewall statiche basate sugli indirizzi IP, la microsegmentazione lavora a livello di applicazione e in base all'identità dell'utente e degli attributi del dispositivo. Dato che le policy di microsegmentazione non sono legate a indirizzi IP specifici, si adattano più facilmente alle reti moderne, sia nei data center on-premise che negli ambienti multicloud.

Se da un lato la segmentazione tradizionale richiede aggiornamenti costanti delle regole, la microsegmentazione, invece, è in grado adattarsi dinamicamente ai cambiamenti della configurazione di rete, ai dispositivi mobili, agli utenti e all'evoluzione delle minacce. Tenendo conto del comportamento degli utenti, del contesto delle app e molto altro, la microsegmentazione fornisce un framework di sicurezza più robusto, flessibile ed efficace per gli ambienti IT di oggi.

Perché gli approcci di segmentazione legacy non funzionano

Gli approcci alla segmentazione basati sugli indirizzi di rete non sono in grado di identificare le entità che stanno comunicando, ad esempio non riescono a rilevare l'identità del software. Possono solo vedere il modo in cui la comunicazione ha luogo, ad esempio l'indirizzo IP, la porta o il protocollo da cui proviene la "richiesta". Ciò significa che le comunicazioni vengono consentite se sono considerate "sicure", anche se i team IT e di sicurezza non conoscono esattamente le entità che stanno cercando di comunicare.

Inoltre, una volta che un'entità si trova all'interno di una "zona sicura" sulla rete, viene automaticamente considerata attendibile, e questo accresce il rischio di subire violazioni e, in una rete piatta, il rischio di movimento laterale.

Caratteristiche e vantaggi della microsegmentazione

Alcuni dei vantaggi tecnici e delle caratteristiche della microsegmentazione includono:

  • Controlli centralizzati della sicurezza e gestione trasversale delle reti: dato che la microsegmentazione gestisce il traffico est-ovest anziché il traffico nord-sud, le policy rispondono efficacemente a qualsiasi tipo di traffico che si muove attraverso i segmenti che governano. Dato che le policy sono più definite, si ottiene una visibilità sull'attività di rete di gran lunga maggiore rispetto a quella fornita attraverso la segmentazione della rete.
  • Policy di segmentazione che si adattano automaticamente: le policy vengono applicate ai carichi di lavoro, e non all'hardware, quindi rimangono invariate, indipendentemente dalle modifiche apportate all'infrastruttura. Ciò significa che i team addetti alla sicurezza IT possono estendere un set di controlli ovunque, senza rischiare periodi di inattività.
  • Protezione senza lacune: le policy di sicurezza si applicano a cloud privati e pubblici, container, data center locali, ambienti cloud ibridi e sistemi operativi, perché la policy è specifica per il workload, non per il segmento di rete.
  • Audit più semplici: dato che la microsegmentazione identifica in modo univoco ciascuna risorsa, offre una visibilità significativamente migliore rispetto ad altri approcci, rendendo gli audit di conformità molto più rapidi e facili da condurre.

Alcuni fornitori sono specializzati esclusivamente nella microsegmentazione. In ogni caso, la soluzione dovrebbe supportare il requisito in costante crescita della microsegmentazione basata sull'identità (una segmentazione più granulare, basata su software, chiamata anche segmentazione di rete zero trust) del traffico est-ovest nei data center.

Neil MacDonald e Tom Croll, Gartner Market Guide to Cloud Workload Protection, aprile 2020

I vantaggi della microsegmentazione per le aziende

Sicurezza proattiva in ambito IT e di rete

La microsegmentazione rimuove gli ostacoli alla sicurezza tipici della segmentazione tradizionale, creando policy sensibili alle applicazioni che viaggiano insieme a tutte le app e i servizi. Di conseguenza, le potenziali violazioni dei dati sono limitate alle risorse interessate, e non all'intera rete. I servizi microsegmentazione più efficaci offrono funzionalità che sfruttano l'automazione per identificare tutti i software in comunicazione, consigliare policy zero trust e consentirne l'esecuzione in un solo clic.

Vulnerabilità ridotta

Invece di utilizzare controlli statici basati sugli indirizzi IP, sulle porte e sui protocolli, i team possono creare crittograficamente delle impronte digitali per ciascun carico di lavoro e fornire una protezione uniforme per i carichi di lavoro presenti in un data center interno o sul cloud. La creazione di impronte digitali svincola la sicurezza dei carichi di lavoro dai costrutti degli indirizzi IP, consentendo così di evitare i problemi tipici dei controlli di questo tipo.

Valutazione continua del rischio

La microsegmentazione consente di quantificare l'esposizione al rischio misurando in automatico la superficie di attacco visibile della rete, per capire quanti sono i percorsi di comunicazione delle applicazioni in uso. Alcuni servizi controllano anche le identità dei software ogni volta che viene richiesta una comunicazione, attenuando i rischi, supportando gli obblighi di conformità alle normative e fornendo report visivi per comprendere il rischio.

Le best practice per una microsegmentazione di successo

Come si fa quindi a concretizzare questi vantaggi? Le linee guida saranno diverse a seconda del settore, degli obblighi normativi e altro, ma alcune best practice generali dovrebbero far parte di qualsiasi piano di microsegmentazione di successo:

  • Creare policy di accesso dettagliate e granulari con privilegi minimi in base alla sensibilità a livello di applicazione, alle identità degli utenti e agli attributi del dispositivo, limitando l'accesso solo alle risorse necessarie a un utente o entità.
  • Integrare sistemi di gestione delle identità e degli accessi (IAM) per garantire che le policy siano in linea con i ruoli e le autorizzazioni degli utenti.
  • Implementare procedure continue e in tempo reale di monitoraggio e audit del traffico di rete e applicazione delle policy per rilevare anomalie o violazioni.
  • Utilizzare strumenti automatizzati per implementare e adattare le policy in risposta ai cambiamenti nella configurazione della rete o nel profilo di sicurezza.
  • Eseguire controlli di sicurezza periodici e test di penetrazione e conservare una documentazione dettagliata, per garantire che le policy siano sempre efficaci e ottimali per la risoluzione dei problemi e i report in conformità alle normative.

La segmentazione zero trust

Un modello di sicurezza zero trust si fonda sui principi della microsegmentazione. La policy viene applicata ai workload, non ai segmenti di rete, in modo da poter controllare in modo granulare l'accesso a qualsiasi risorsa e in qualsiasi posizione in mancanza di un contesto sufficiente a stabilire la connessione.

Ad esempio, con un modello zero trust, e in particolare in modalità cloud, un'azienda potrebbe impostare una policy per stabilire che i dispositivi medici possono comunicare solo con altri dispositivi medici. Se un dispositivo endpoint o un carico di lavoro dovesse spostarsi, le policy e gli attributi di sicurezza si sposterebbero con esso, in tempo reale.

Molti provider di servizi di sicurezza sul cloud promettono di offrire lo zero trust con base cloud, ma è una promessa che non sono in grado di mantenere. È solo uno il provider che può offrire una sicurezza zero trust completa e nativa del cloud, in grado di proteggere la rete, le applicazioni e i dati sensibili dalle sofisticate minacce informatiche di oggi.

Cosa può fare Zscaler

Zscaler Workload Communications offre un approccio moderno alla protezione delle applicazioni e dei workload sul cloud. Sfruttando una connettività cloud zero trust sicura per i workload, consente di eliminare la superficie di attacco della rete, bloccare il movimento laterale delle minacce, evitare la compromissione dei workload e prevenire la perdita dei dati sensibili.

Workload Communications utilizza la piattaforma Zscaler Zero Trust Exchange™ per proteggere i workload cloud, consentendo all'organizzazione di bloccare gli accessi malevoli implementando una sicurezza basata sull'attendibilità esplicita, che considera elementi come identità, profili di rischio, posizione e analisi comportamentale.

La prevenzione delle minacce con l'ispezione SSL profonda intensifica la potenza delle difese informatiche. Inoltre, sfruttando la protezione informatica fornita sul cloud, le policy di sicurezza risultano più facili da configurare, gestire e mantenere. Eliminare la superficie di attacco della rete adottando al contempo un'efficace protezione zero trust non è mai stato così semplice.

Desideri scoprire in prima persona come funziona Zscaler Workload Communications? Visita la nostra pagina sul prodotto per richiedere una dimostrazione personalizzata.

Risorse consigliate

FAQs

Che cos'è un workload?

Un workload è un processo, una risorsa o un insieme di questi due elementi (ad esempio comunicazioni, elaborazione, gestione, esecuzione) relativo a un'applicazione e al suo utilizzo. Nel cloud, i workload comprendono anche le applicazioni stesse. L'analisi e la gestione dei workload sono aspetti fondamentali per individuare e risolvere le vulnerabilità, proteggere i dati e i punti di accesso, implementare l'autenticazione e la crittografia e monitorare e mitigare le potenziali minacce.

Qual è un esempio di microsegmentazione?

Ecco un semplice esempio di microsegmentazione: supponiamo che un'azienda debba microsegmentare la propria architettura cloud ibrida per isolare e proteggere le risorse critiche (ad esempio database, server, workstation). Ogni segmento ha controlli di accesso, firewall e sistemi di rilevamento delle intrusioni che consentono di limitare il movimento laterale e ridurre il raggio di azione di una violazione. Se un hacker compromettesse l'endpoint di un utente, avrebbe accesso solo al segmento di quell'endpoint, non ai dati sensibili o all'infrastruttura critica.

Quali sono gli svantaggi della microsegmentazione?

L'implementazione e la gestione della microsegmentazione possono essere complesse, soprattutto nelle reti grandi e dinamiche. Inoltre, se la rete e l'architettura di sicurezza non sono sufficientemente scalabili, la complessità dell'instradamento e l'ispezione del traffico ai confini dei segmenti possono influire sulle prestazioni.Per superare questi problemi, è fondamentale investire nel fornitore e negli strumenti giusti, in base al tipo di workload e ai relativi requisiti.

Perché c'è bisogno della microsegmentazione?

Nel complesso panorama digitale di oggi, per riuscire a proteggere le risorse critiche, le organizzazioni hanno bisogno della microsegmentazione. I microsegmenti isolati in reti e infrastrutture di sicurezza più ampie consentono un controllo granulare sulla comunicazione tra i vari segmenti di rete; questo contribuisce a limitare il movimento laterale, a ridurre la superficie di attacco e a contenere le violazioni. Con la diffusione del lavoro da remoto, dell'IoT e del cloud, la microsegmentazione offre controllo e un livello di sicurezza più forti dove la sicurezza tradizionale basata sul perimetro non è sufficiente.

Chi ha bisogno di segmentare le reti o gli ambienti?

La microsegmentazione è particolarmente importante per le organizzazioni che trattano i dati sensibili o gestiscono infrastrutture critiche o soggette a normative (come HIPAA e RGPD), tra cui quelle operanti nei settori della sanità, della finanza, della pubblica amministrazione, dell'e-commerce e altre; ma al di là del settore o della dimensione, qualsiasi organizzazione può trarne beneficio. La microsegmentazione aiuta a potenziare la sicurezza, a rafforzare l'integrità dei dati e a ridurre al minimo il raggio di azione delle violazioni.

La microsegmentazione riduce i costi?

La microsegmentazione può aiutare le organizzazioni a ridurre sia le spese in conto capitale che quelle operative. Rendendo l'infrastruttura più sicura, questo approccio aiuta a prevenire le violazioni dei dati e i periodi di inattività, consentendo risparmi sulle potenziali perdite finanziarie associate agli incidenti di sicurezza. Inoltre, permette di semplificare la gestione della rete, riduce la necessità di ricorrere a ingenti investimenti per l'hardware e abbatte i costi amministrativi, con un conseguente risparmio sulle spese operative.

Perché la microsegmentazione è la chiave dello lo zero trust?

Una microsegmentazione efficace consente di applicare un accesso granulare con privilegi minimi, una componente fondamentale di un approccio zero trust, limitando il potenziale movimento laterale delle minacce e riducendo la superficie di attacco complessiva. Dato che ogni singola connessione deve essere verificata prima di essere consentita, è molto più difficile per gli aggressori accrescere i propri privilegi. Questo approccio è in linea con lo zero trust e rafforza la sicurezza in un modo non ottenibile attraverso le difese perimetrali tradizionali basate sull'attendibilità presunta.

Qual è la differenza tra firewall e microsegmentazione?

In senso generale, i firewall sono una tecnologia di sicurezza perimetrale, mentre la microsegmentazione è una strategia di sicurezza interna. Se da un lato i firewall si concentrano sul controllo del traffico in entrata o in uscita da una rete, la microsegmentazione divide la rete in segmenti isolati e applica policy di sicurezza granulari, spesso a livello di singolo workload o dispositivo. La microsegmentazione verifica il traffico tra questi segmenti, limitando il movimento laterale e fornendo un controllo capillare sull'accesso alle risorse, soprattutto negli ambienti complessi e incentrati sul cloud.