Cosa si intende per segmentazione della rete?

La segmentazione della rete consiste nella suddivisione di una rete in più sottoreti, ognuna con policy di sicurezza e protocolli specifici, nel tentativo di prevenire il movimento laterale. Rappresenta uno degli strumenti più utilizzati per ridurre la superficie di attacco di una rete e combattere gli attacchi informatici.

Scopri di più sulla segmentazione e vai oltre VLAN e firewall

Segmentazione della rete e microsegmentazione a confronto

Prima di andare avanti, è bene spiegare la differenza tra segmentazione della rete e microsegmentazione.

La segmentazione della rete è più indicata per il traffico nord-sud (verso l'esterno), mentre la microsegmentazione aggiunge un livello di protezione per il traffico est-ovest (da server a server, da app a server, da web a server e così via). Un'analogia comune paragona la segmentazione della rete al fossato e alle mura esterne di un castello, mentre la microsegmentazione può essere paragonabile alle guardie che controllano le porte di ogni sala interna del castello.

Perché utilizzare la segmentazione della rete?

La segmentazione costituisce una modalità di difesa proattiva, che offre vantaggi significativi rispetto alla sicurezza reattiva.

Con la sicurezza reattiva, i team devono prima analizzare una compromissione, quindi gestirne le conseguenze; questa è un'operazione macchinosa e costosa, e può comunque comportare la perdita di dati, problemi di conformità e danni all'immagine pubblica.

È impossibile da ignorare: le organizzazioni di tutto il mondo continuano a subire violazioni dei dati. Secondo Risk Based Security, solo nel 2021, 4145 organizzazioni hanno rivelato pubblicamente di aver subito violazioni che hanno esposto più di 22 miliardi di record.

Si tratta di un indicatore chiaro che invece di reagire agli attacchi, è necessario concentrarsi sulla prevenzione, affrontando i rischi potenziali e le vulnerabilità prima che queste ultime possano essere sfruttate. La segmentazione della rete è uno dei metodi più comuni attualmente adottati per rispondere a tale esigenza.

 

Tipi di segmentazione della rete

Tradizionalmente, ci sono sempre state due tipologie basilari di segmentazione della rete:

  • La segmentazione fisica, che utilizza firewall distinti, cavi, switch e connessioni a Internet per separare le parti di una rete. Si tratta della tipologia più costosa e meno scalabile.
  • La segmentazione virtuale, chiamata anche segmentazione logica, che in genere segmenta i flussi di traffico di rete utilizzando le VLAN (Virtual Local Area Network), che possono essere protette dallo stesso firewall.

Types of Network Segmentation

Traditionally, there have been two basic types of network segmentation:

  • Physical segmentation uses discrete firewalls, wiring, switches, and internet connections to separate parts of a computer network. This is the more expensive, less scalable type.
  • Virtual segmentation, also called logical segmentation, typically segments network traffic flows using virtual local area networks (VLANs), which can be protected by the same firewall.

Casi d'uso della segmentazione della rete

Qual è lo scopo della segmentazione della rete? In poche parole, ti consente di:

  • Interrompe il movimento laterale delle minacce esterne: segmentare le parti della rete all'interno del perimetro significa che, anche se il perimetro viene violato, i dati non vengono tutti immediatamente colpiti dalla minaccia.
  • Interrompe il movimento laterale delle minacce interne: segmentare i dati interni in base alla necessità di accesso (ad esempio per reparto) riduce il rischio di minacce interne, rendendo, ad esempio, i dati finanziari inaccessibili alle Risorse umane.
  • Separa la rete interna da quella degli ospiti: mantenendo gli ospiti in un segmento separato, distinto rispetto al resto della rete, è possibile continuare a offrire loro una connettività ottimale senza mettere a rischio i dispositivi e i dati interni.
  • Protegge i dati regolamentati e consente di mantenere la conformità: memorizzare i dati sensibili, come le informazioni sulle carte di pagamento, in un segmento ad accesso limitato, li proteggerà meglio da eventuali compromissioni e consentirà di rispettare le normative sui dati.

 

I vantaggi della segmentazione della rete

Qualunque sia lo schema utilizzato da un'organizzazione, una rete segmentata offre alcuni evidenti vantaggi rispetto a una rete piatta senza gerarchia o sottoreti. Questi vantaggi includono:

  • Dati sensibili protetti da una sicurezza informatica più efficace: questo vantaggio comprende la prevenzione delle violazioni (movimento nord-sud), un controllo più rigoroso degli accessi e controlli di sicurezza specifici per ogni segmento.
  • Minori difficoltà nel soddisfare i requisiti di conformità: limitando chi può accedere a determinati dati e i luoghi in cui i dati possono passare, è possibile agevolare l'attestazione della conformità e le verifiche dell'ottemperanza alle normative di settore e governative, come PCI DSS e RGPD.
  • Semplificazione dell'analisi del rischio e della gestione dei danni: se i criminali informatici non sono in grado di muoversi liberamente su tutta la rete, è più facile individuare le loro tecniche e identificare i punti deboli nella sicurezza.
  • Endpoint e utenti più sicuri: in una rete segmentata, sia gli utenti finali che i dispositivi sono più sicuri, perché le minacce non possono diffondersi facilmente sugli endpoint e, al tempo stesso, i segmenti sono protetti dagli attacchi che partono da questi dispositivi.
  • Riduzione della congestione della rete: l'attività che si verifica in un segmento non danneggia indirettamente un'altra parte della rete. Ad esempio, in un negozio di rivendita al dettaglio, l'utilizzo del Wi-Fi da parte dei clienti non rallenterà le transazioni con le carte di credito.

Le best practice della segmentazione della rete

Per implementare e mantenere un modello di segmentazione della rete efficace, ecco cinque best practice da seguire:

1. Non effettuare una segmentazione eccessiva

All'inizio, molte organizzazioni tendono a effettuare una segmentazione eccessiva delle loro reti. Ciò può ridurre la visibilità complessiva sulla rete e rendere la gestione ancora più difficile. Al contempo è anche importante non ridurre eccessivamente la segmentazione, altrimenti la superficie di attacco potrebbe rimanere troppo estesa, danneggiando il profilo di sicurezza.

2. Eseguire verifiche periodiche

La segmentazione è ottima per migliorare la sicurezza della rete, ma è efficace solo se abbinata a un controllo costante per verificare che le vulnerabilità siano azzerate, che le autorizzazioni siano limitate e che gli aggiornamenti siano installati. In particolare, la verifica dei segmenti assicura che non vi siano gap sfruttabili nella copertura e che qualsiasi rischio associato alla rete sia stato mitigato, per far sì che l'azienda anticipi sempre gli aggressori.

3. Applicare il principio dei privilegi minimi

L'accesso a privilegi minimi determina il successo della gestione generale degli accessi, ed è fondamentale quando si effettua la segmentazione della rete. Applicando questo principio a tutti i segmenti della rete, garantisci agli utenti, agli amministratori di rete e al team di sicurezza che l'accesso sarà consentito solo quando necessario. Questo è il motivo per cui l'accesso a privilegi minimi è fondamentale per l'approccio ZTNA.

4. Limitare l'accesso di terzi

L'accesso di utenti terzi comporta già di per sé un rischio elevato, ed è importante autorizzarlo solo quando è strettamente necessario, soprattutto se lo si concede a diversi segmenti della rete. La segmentazione riduce il rischio complessivo associato alla rete, ma questo non equivale a concedere l'autorizzazione a terzi in modo indiscriminato senza considerare l'effetto sul profilo di sicurezza.

5. Estendere l'automazione il più possibile

La segmentazione della rete offre all'organizzazione una serie di preziose opportunità per estendere l'automazione. Oltre ai vantaggi dell'automazione in generale, come l'aumento della visibilità, la riduzione del tempo medio di correzione (MTTR) e il miglioramento della sicurezza, l'automazione della segmentazione della rete consente di identificare e classificare rapidamente nuove risorse e dati, e rappresenta quindi un'altra best practice nell'ambito della segmentazione.

 

Gli svantaggi della segmentazione della rete

Ciò che è evidente è che, nelle architetture di rete complesse di oggi, che sono distribuite su più cloud e data center, i vecchi modelli di segmentazione basati su firewall e VLAN presentano alcuni gravi limiti.

I firewall tradizionali hanno un difetto che è in totale contrasto con l'obiettivo della segmentazione: creano reti piatte che consentono facili spostamenti laterali. Cercare di compensare questa situazione è quasi impossibile dal punto di vista operativo. Nonostante tutte le loro funzionalità aggiuntive, i firewall di nuova generazione continuano a collocare gli utenti sulla rete per farli accedere alle applicazioni. Le VLAN presentano lo stesso limite.

Un approccio tradizionale porta ai seguenti problemi:

  • Attendibilità eccessiva: dato che la segmentazione tradizionale basata su firewall è progettata per prevenire gli attacchi esterni, l'azienda resta comunque vulnerabile alle minacce interne.
  • Errori di configurazione: nelle architetture moderne è facile configurare le VLAN in modo errato, specialmente se si utilizzano provider di servizi cloud terzi e non è possibile modificare l'infrastruttura in modo autonomo.
  • Gestione laboriosa: l'introduzione di nuovi dispositivi, app o modifiche implica la necessità di aggiornare le regole dei firewall, e anche le attività più banali, come la scansione delle vulnerabilità, richiedono più risorse.
  • Controlli complessi: i metodi tradizionali non offrono controlli granulari, e di conseguenza è più complesso definire le policy di segmentazione per i lavoratori da remoto, i partner, i clienti e così via.
  • Problemi di scalabilità: per gestire la crescita della rete, è necessario creare segmenti più piccoli o aggiornare quelli esistenti, con il conseguente incremento dei costi per la scalabilità e la manutenzione.
  • Prestazioni scadenti: l'aggiunta di altri dispositivi di rete (ad esempio, firewall e router) ha un effetto negativo che danneggia le prestazioni complessive della rete.

ZTNA: un modo migliore per ottenere la segmentazione

La scalabilità, la flessibilità e la portata del cloud sono sempre più fondamentali per le aziende, e molte strategie pure di sicurezza della rete (come la segmentazione tradizionale) diventano impraticabili. È invece necessario un modello che non faccia affidamento sulla rete interna, con tutti i suoi rischi e le sue complessità.

Oggi, sono emersi nuovi approcci basati sullo ZTNA (Zero Trust Network Access), un'architettura costruita in base al concetto che nessun utente o dispositivo debba essere intrinsecamente considerato attendibile. Le policy di accesso si basano invece sul principio dei privilegi minimi, che prende in considerazione l'identità e il contesto, con fattori come il dispositivo, la posizione, l'applicazione e il contenuto.

Lo ZTNA collega gli utenti direttamente alle applicazioni su base uno a uno, senza mai collocarli sulla rete, eliminando di conseguenza il movimento laterale. Ciò consente di ottenere la segmentazione in un modo radicalmente diverso e più efficace, che risulterebbe impossibile con le VPN e i firewall legacy.

 

Vantaggi dello ZTNA rispetto alla segmentazione tradizionale

Rispetto alla segmentazione tradizionale, lo ZTNA:

  • Fornisce un accesso adattativo, sensibile all'identità e preciso, senza fornire l'accesso alla rete, ed elimina l'attendibilità implicita, sostituendola con quella esplicita basata sull'identità.
  • Non richiede alcuna connessione alla rete, quindi le applicazioni interne (indirizzi IP) non vengono mai esposte a Internet, e di conseguenza la superficie di attacco e il rischio vengono ridotti.
  • Offre una segmentazione tra utente e app tramite policy di accesso granulari applicate sul cloud, anziché richiedere la configurazione di policy di accesso e regole firewall.
  • Migliora la flessibilità, l'agilità e la scalabilità, riducendo al contempo la necessità di ricorrere a firewall interni. Lo ZTNA può essere fornito come servizio cloud o come software gestito on-premise.
  • Consente l'accesso sicuro alle applicazioni per i dispositivi non gestiti e i partner esterni, mantenendo gli utenti fuori dalla rete e riducendo al minimo il rischio di proliferazione dei malware.

Zscaler e la segmentazione della rete

Zscaler Private Access™ è la piattaforma ZTNA più distribuita al mondo. Applicando il principio dei privilegi minimi, offre agli utenti una connettività sicura e diretta alle applicazioni private, senza sia necessario accedere alla rete.

Che ci si trovi nella fase di pianificazione o si stia utilizzando un modello di segmentazione tradizionale che si sta rivelando datato, con il nostro supporto è possibile ottenere una segmentazione avanzata sfruttando lo ZTNA. Ecco come iniziare:

  1. Sostituisci le VPN e i firewall con Zscaler Private Access per ridurre la superficie di attacco ed eliminare il movimento laterale con la segmentazione da utente ad app.
  2. Implementa la segmentazione da app ad app per applicare l'approccio ZTNA ai carichi di lavoro e alle applicazioni cloud negli ambienti ibridi e multicloud (tra cloud).
  3. Infine, implementa la microsegmentazione tra processi/basata sull'identità per la comunicazione all'interno di un cloud (est-ovest).

Desideri saperne di più? Visita la nostra pagina su Zscaler Private Access.

Risorse consigliate

  • Guida di mercato di Gartner allo ZTNA del 2022

  • What Is Zero Trust Network Access?

    Read the article
  • Guida all'adozione di un servizio ZTNA per gli architetti di rete

  • Porta la potenza dello ZTNA on-premise

  • Tecnologie ZTNA: cosa sono e come sceglierle

FAQs

What Is a Network Segment?

A network segment (less commonly called a security zone) is an isolated or separated part of a network. Segments can have their own security policies, access control lists (ACLs), and protocols, providing more granular control and protection.

What Is a Good Reason to Segment a Network?

One of the primary reasons to segment a network is to limit the potential scope of a security breach. Network segments keep threats isolated, preventing lateral movement and minimizing the attack surface.

What Is a Collision Domain?

A collision domain is a network segment where multiple devices share one data pathway. When two or more devices try to use the pathway simultaneously, the resulting “collisions” can slow down the network, and typically require dedicated management to avoid.