Risorse > Glossario dei termini della sicurezza > Che cos'è la microsegmentazione

Che cos'è la microsegmentazione?

Che cos'è la microsegmentazione?

La microsegmentazione è uno strumento nato per moderare il traffico tra i server (server-to-server) nello stesso segmento di rete. Si è poi trasformata per includere il traffico intra-segmento, così il Server A può dialogare con il Server B, o l'Applicazione A può comunicare con l'Host B e così via, a condizione che l'identità della risorsa richiedente (server/applicazione/host/utente) corrisponda all'autorizzazione configurata per quella risorsa. 

Le policy e le autorizzazioni per la microsegmentazione possono essere basati sull'identità delle risorse; questo la rende indipendente dall'infrastruttura sottostante, a differenza della segmentazione della rete, che dipende dagli indirizzi IP di rete. La microsegmentazione è quindi il metodo ideale per creare raggruppamenti intelligenti di carichi di lavoro in base alle caratteristiche dei singoli carichi di lavoro che comunicano all'interno del data center. La microsegmentazione è un elemento essenziale dell'architettura di accesso alla rete zero trust (ZTNA) e non dipende dalle reti che cambiano in modo dinamico o dai requisiti aziendali e tecnici imposti su di esse, perciò la sicurezza che offrono è più solida e affidabile. Inoltre, è molto più semplice da gestire: è infatti possibile proteggere un segmento con poche policy basate sull'identità, piuttosto che con centinaia di regole dei firewall basate sugli indirizzi.
 

Perché usare la microsegmentazione?

Le soluzioni di microsegmentazione legacy sono basate sulla rete e dipendono dai firewall, i quali utilizzano gli indirizzi di rete per applicare le regole. Questa dipendenza dagli indirizzi di rete costituisce un problema, poiché le reti cambiano di continuo, e di conseguenza le policy devono essere costantemente aggiornate se applicazioni e dispositivi si spostano. Gli aggiornamenti continui sono una vera e propria sfida per i data center on-premise e ancor di più per gli ambienti multicloud e gli ambienti in cui gli indirizzi IP sono effimeri.

Gli approcci alla segmentazione basati sugli indirizzi di rete non sono in grado di identificare l'entità che sta comunicando, come ad esempio l'identità del software, e possono solo fornire informazioni sulle modalità di questa comunicazione, ad esempio l'indirizzo IP, la porta o il protocollo da cui la "richiesta" ha avuto origine. Tutte le comunicazioni considerate "sicure" vengono autorizzate, anche se i team IT e di sicurezza non conoscono esattamente l'entità che sta tentando di comunicare. Inoltre, basta che si trovino all'interno di una "zona sicura" sulla rete, e le entità vengano considerate attendibili. Questo modello di attendibilità può tuttavia portare a violazioni e, su una rete di tipo flat, può tradursi in un rischio maggiore di movimento laterale. È per queste ragioni che la microsegmentazione si è evoluta.

Uno dei vantaggi della microsegmentazione è che crea zone sicure in modo che le aziende possano isolare i carichi di lavoro l'uno dall'altro e proteggerli individualmente. È pensata per consentire la suddivisione granulare del traffico, al fine di offrire una maggiore resistenza agli attacchi informatici.

Con la microsegmentazione, i team IT e di sicurezza possono adattare le configurazioni della sicurezza informatica a diverse tipologie di traffico, creando policy che limitano i flussi di rete e delle applicazioni tra i carichi di lavoro a quelli esplicitamente consentiti. In questo modello di sicurezza zero trust, un'azienda può impostare policy specifiche e, ad esempio, consentire ai dispositivi medici di comunicare solo con altri dispositivi medici. Inoltre, se un dispositivo endpoint o un carico di lavoro si muove, le policy e gli attributi di sicurezza si muovono con esso.

Applicando le regole di segmentazione fino al livello del carico di lavoro o dell'applicazione, l'IT è in grado di ridurre la superficie di attacco e, di conseguenza, il rischio che un aggressore si muova da un'applicazione o un carico di lavoro compromesso a un altro.
 

Microsegmentazione non è sinonimo di segmentazione di rete

È abbastanza comune che i termini segmentazione e microsegmentazione della rete vengano utilizzati in modo interscambiabile. In realtà, sono concetti totalmente diversi. Con segmentazione della rete ci si riferisce nello specifico al traffico nord-sud, cioè il traffico che entra ed esce dalla rete. Con la segmentazione della rete, un'entità, ad esempio un utente, viene generalmente considerata attendibile una volta entrata in una zona specifica della rete. Il termine microsegmentazione,  invece, identifica il traffico est-ovest, cioè il traffico che si muove all'interno di un data center o una rete cloud, tra server, tra applicazioni e server, ecc. Più semplicemente, la segmentazione della rete rappresenta le mura esterne di un castello, mentre la microsegmentazione rappresenta le guardie che ne sorvegliano le porte interne.

 

I vantaggi della microsegmentazione

  • Minor numero di policy da gestire
  • Controlli e gestione centralizzati delle policy tra le reti
  • Policy di segmentazione che si adattano in automatico, indipendentemente dai cambiamenti dell'infrastruttura
  • Protezione senza punti ciechi, attraverso cloud, container, data center on-premise e ambienti cloud ibridi
Alcuni fornitori sono specializzati esclusivamente nella microsegmentazione. In ogni caso, la soluzione dovrebbe supportare i requisiti in costante crescita della "microsegmentazione" basata sull'identità (una segmentazione più granulare, basata su software, altrimenti definita segmentazione di rete zero trust) del traffico da est a ovest nei data center.
Neil MacDonald e Tom Croll, Gartner Market Guide Cloud Workload Protection, aprile 2020

Come la microsegmentazione facilita il business

Supporto per importanti iniziative di business

  • La microsegmentazione rimuove gli ostacoli alla sicurezza generati dagli approcci tradizionali o "legacy". Qualsiasi minaccia alla riservatezza, all'integrità o alla disponibilità di dati o sistemi costituisce un rischio che deve essere mitigato. La microsegmentazione crea policy basate sulle applicazioni, che viaggiano con tutte le applicazioni e i servizi, in modo che le potenziali compromissioni siano limitate alla risorsa colpita e non si estendano all'intera rete. Inoltre, alcuni servizi di microsegmentazione offrono funzionalità che identificano automaticamente tutti i software in comunicazione, suggeriscono policy zero trust e le applicano con un clic.

Protezione continua

  • Gli strumenti di sicurezza informatica, come i firewall, che si basano su indirizzi IP, porte e protocolli, non sono adatti a proteggere gli ambienti cloud. La natura dinamica del cloud rende inaffidabili questi controlli statici di sicurezza e accesso, perché possono cambiare in qualsiasi momento, o diverse volte al giorno. Persino in un data center on-premise gli aggressori sono in grado di aggirare facilmente i tradizionali controlli di sicurezza della rete, che risultano quindi meno efficaci per la protezione contro le violazioni. 
     
  • Anziché utilizzare dei controlli statici, i team possono creare crittograficamente delle impronte digitali, o fingerprint, per ciascun carico di lavoro, e fornire così una protezione costante ai carichi di lavoro che operano in un data center interno o sul cloud. La creazione di impronte digitali separa la sicurezza dei carichi di lavoro dagli indirizzi IP ed evita i problemi legati ai controlli basati sugli IP. I team di sicurezza possono avere la certezza che solo i software verificati tramite impronta digitale possano comunicare, indipendentemente dalla posizione sulla rete.

Valutazione continua dei rischi

  • Con la microsegmentazione, è possibile misurare automaticamente la superficie di attacco visibile, per capire quanti possibili percorsi di comunicazione delle applicazioni sono in uso e quantificare l'esposizione al rischio. I servizi utilizzano inoltre algoritmi di machine learning per suggerire policy di sicurezza zero trust che riducono la possibilità di movimento laterale e la probabilità di violazione dei dati.

     

  • In base al principio  dell'accesso a privilegi minimi, la microsegmentazione riduce l'accesso concesso all'interno della rete ad applicazioni, host e processi. Alcuni servizi sono inoltre in grado di verificare le identità dei software comunicanti ogni volta che questi richiedono una comunicazione. Questo approccio incentrato sul software mitiga i rischi, consente di garantire la conformità alle normative e fornisce report che semplificano la valutazione del rischio e consentono ai team di effettuare ricerche applicando con facilità filtri in base all'applicazione o all'host.

Differenza tra microsegmentazione e segmentazione di rete

Leggi il blog
leggi il blog

Razionalizzare il piano di segmentazione zero trust

Leggi il blog
blog microsegmentazione

Che cos'è l'Identità applicazione e perché è importante?

Leggi il blog

Segmentazione zero trust su cloud e data center

Consulta la scheda tecnica
Segmentazione zero trust su cloud e data center