Network Segmentation Definition

Network segmentation is the division of a network into multiple subnetworks—each with subnet-specific security policies and protocols—to attempt to prevent lateral movement. It’s one of the most widely used means of reducing a network's attack surface to combat cyberattacks. Read more .

Network Segmentation vs. Microsegmentation

Network segmentation is best used for north-south traffic, while microsegmentation adds a layer of protection for east-west traffic—server-to-server, app-to-server, web-to-server, and so on. A common analogy likens network segmentation to a castle’s moat and outer walls, whereas microsegmentation is the guards at the doors of each of the castle’s interior staterooms.

Types of Network Segmentation

Physical segmentation uses discrete firewalls, wiring, switches, and internet connections to separate parts of a network. This is the more expensive, less scalable type. Virtual segmentation , also called logical segmentation, typically segments network traffic flows using virtual local area networks (VLANs), which can be protected by the same firewall. Check more details here.

Benefits of Network Segmentation

Stronger cybersecurity for sensitive data Less difficulty meeting regulatory compliance requirements Simpler risk analysis and damage control Safer endpoints and users Reduced network congestion Read more .

Disadvantages of Network Segmentation

Excessive trust Misconfigurations Work-intensive management Complex controls Scalability issues Poor performance Read more .

Risorse > Glossario dei termini sulla sicurezza > Cosa si intende per segmentazione della rete

Cosa si intende per segmentazione della rete?

Le organizzazioni sono sotto costante attacco e, nonostante gli investimenti consistenti in una serie di difese informatiche, sono comunque vittime di violazioni. Secondo il Resoconto sul riepilogo delle violazioni dei dati alla fine del 2019, correlato alla sicurezza basata sui rischi, lo scorso anno è stato un altro anno da "maglia nera" per quanto concerne le attività di violazione dei dati, con 7.098 violazioni che hanno portato all'esposizione di oltre 15,1 miliardi di record.

Molte misure di sicurezza rientrano nella categoria "reattiva", il che significa che i team IT e di sicurezza indagano quando un dispositivo o una rete sono stati compromessi e mitigano eventuali ricadute derivanti dall'attacco. Tuttavia, le misure di sicurezza reattive sono complesse e costose, e richiedono ai team di eseguire un controllo continuo dei danni. Possono inoltre comportare gravi conseguenze, dalla non conformità rispetto alle normative, a problematiche nelle relazioni pubbliche.

Invece di reagire agli attacchi, molte organizzazioni adottano schemi proattivi, progettati per prevenirli, anticipare eventuali rischi o vulnerabilità e risolverli prima che possano essere sfruttati. Oltre agli stack hardware per la sicurezza nel data center o alla distribuzione della sicurezza fornita come servizio, le organizzazioni impiegano una varietà di tecniche che riducono il rischio e il metodo più utilizzato tra queste tecniche è la segmentazione della rete.

Come funziona la segmentazione della rete?

La segmentazione della rete consiste nel processo di suddivisione di una rete in più zone e nell'applicazione di protocolli di sicurezza a ciascuna zona, per gestire la sicurezza e la conformità. In genere, implica l'isolamento del traffico tra i segmenti di rete utilizzando reti locali virtuali (VLAN), dopodiché la sicurezza viene applicata tramite firewall per proteggere applicazioni e dati.

La segmentazione della rete (da non confondere con la microsegmentazione) è stata promossa come una soluzione che fornisce sicurezza senza degradare le prestazioni, poiché consente la creazione e la manutenzione di policy di diversi segmenti delle reti. Tuttavia, nel mondo di oggi costituito da reti complesse, distribuite su più cloud e data center, questo approccio potrebbe non essere più adatto.

Le sfide legate alla segmentazione della rete

Eccessiva attendibilità: la segmentazione della rete si basa sul presupposto che tutti all'interno della rete siano attendibili. Poiché è progettato principalmente per prevenire gli attacchi esterni, questo approccio può rendere le organizzazioni vulnerabili agli attacchi interni.

Complessità: la segmentazione della rete richiede che un'organizzazione conosca e comprenda tutte le risorse che comunicano su ciascuna delle proprie reti. Dopodiché, devono definire le zone idonee, in base alle esigenze aziendali e di conformità. Quindi devono iniziare il lavoro effettivo di distribuzione delle VLAN. La probabilità di incorrere in un errore di configurazione di una VLAN, durante la distribuzione, è molto elevata, a causa della complessità delle attuali architetture di rete, in particolare con la maggior parte delle organizzazioni che utilizza ambienti multicloud che non possiede e che, spesso, non è in grado di modificare l'infrastruttura su cui viene amministrata la rete.

Gestione: in un ambiente di rete moderno, gli indirizzi cambiano continuamente, gli utenti si connettono con più dispositivi, utilizzando una varietà di reti, e vengono introdotte costantemente nuove applicazioni. Questi ambienti dinamici creano molte problematiche di gestione, quali la definizione manuale delle policy, la revisione, la modifica e la gestione delle eccezioni. Inoltre, ogni modifica delle policy richiede un aggiornamento di tutte le regole del firewall e la natura della segmentazione della rete richiede la distribuzione di risorse aggiuntive, andando a complicare ulteriormente le attività di sicurezza, come la scansione delle vulnerabilità.

Controlli: la segmentazione della rete non dispone di controlli precisi, pertanto è complicato segmentare l'accesso su vari livelli, come per lavoratori da remoto, lavoratori temporanei, partner e così via.

Scalabilità: per gestire la crescita della rete, la segmentazione della rete richiede alle organizzazioni di creare segmenti più piccoli o di aggiornare i segmenti esistenti, con il conseguente aumento dei costi di scalabilità e manutenzione.

Prestazioni: l'aggiunta di risorse, inclusi più firewall, a una rete ha un impatto negativo sulle prestazioni complessive.

Un metodo migliore rispetto alla segmentazione

Lo ZTNA (Zero Trust Network Access ) è un framework definito da Gartner e basato sul concetto dello zero trust, che si traduce in "zero attendibilità". In un'architettura zero trust, nessun dispositivo viene considerato automaticamente attendibile e l'accesso viene concesso in base a privilegi definiti da policy.

Invece di un approccio alla sicurezza incentrato sulla rete, che si sta rivelando poco pratico nel mondo del cloud, lo ZTNA adotta un approccio da utente ad applicazione. Consente l'accesso alle applicazioni, senza fornire l'accesso alla rete, utilizzando la segmentazione nativa delle applicazioni per garantire che, una volta che gli utenti vengono autorizzati, l'accesso alle applicazioni sia concesso su base individuale. Gli utenti autorizzati hanno accesso solo ad applicazioni specifiche, anziché all'intera rete, offrendo pertanto un controllo molto più granulare e nessun rischio di movimento laterale.

Vantaggi dello ZTNA rispetto alla segmentazione della rete

Lo ZTNA fornisce un accesso adattivo, preciso e in grado di riconosce l'identità, senza fornire l'accesso alla rete. Elimina la concezione di posizione della rete come posizione di vantaggio e rimuove l'attendibilità (trust) eccessiva implicita, sostituendola con una forma esplicita basata sull'identità.
Lo ZTNA non richiede una connessione di rete, quindi non vi è alcuna esposizione delle applicazioni interne (indirizzi IP) a Internet, riducendo il rischio di attacco.
Invece di configurare regole di accesso e regole per i firewall, le policy di accesso granulari, applicate nel cloud, forniscono una segmentazione a livello del percorso da utente ad app.
Lo ZTNA può essere fornito come servizio cloud e, in alcuni casi, può essere esteso come software on-premise (gestito mediante servizio). La distribuzione su cloud migliora la flessibilità, l'agilità e la scalabilità, nonché riduce la necessità di apparecchi firewall interni.
Le organizzazioni si affidano allo ZTNA per consentire ai dispositivi non gestiti e ai partner esterni di accedere in modo sicuro alle applicazioni, riducendo al minimo la minaccia di diffusione dei malware, mantenendo gli utenti lontani dalla rete.

Accelera la trasformazione

Leader del Magic Quadrant di Gartner

Abilitare la forza lavoro ibrida

La protezione dai ransomware più efficace del mondo

Abilitazione di una filiale agile

Proteggere la distribuzione di ServiceNow

Libreria dei contenuti sullo zero trust

Libreria dei contenuti sullo zero trust

Libreria dei contenuti sullo zero trust

Carriere in Zscaler

Carriere in Zscaler

Carriere in Zscaler

Cosa si intende per segmentazione della rete?