Cosa si intende per segmentazione della rete?

Segmentazione della rete e microsegmentazione a confronto

Prima di proseguire, spieghiamo la differenza tra segmentazione della rete e microsegmentazione.

La segmentazione della rete è più indicata per il traffico nord-sud, mentre la microsegmentazione aggiunge un livello di protezione per il traffico est-ovest (da server a server, da app a server, da web a server e così via). Un'analogia comune paragona la segmentazione della rete al fossato e alle mura esterne di un castello, mentre la microsegmentazione alle guardie che controllano le porte delle sale interne.

Perché utilizzare la segmentazione della rete?

La segmentazione della rete è una forma di difesa proattiva, non reattiva, che offre alcuni vantaggi importanti. La difesa reattiva, ovvero l'esecuzione di indagini e il controllo dei danni solo a violazione già avvenuta, è solitamente costosa e può comunque comportare perdita di dati, problemi di conformità e danni alla reputazione.

La difesa proattiva, ovvero la prevenzione, cerca di affrontare i potenziali rischi e le vulnerabilità prima che possano essere sfruttati. La segmentazione della rete è uno dei metodi più comuni attualmente adottati per rispondere a tale esigenza.

Tipi di segmentazione della rete

Tradizionalmente, ci sono sempre state due tipologie basilari di segmentazione della rete:

• La segmentazione fisica utilizza diversi firewall, cablaggi, switch e connessioni Internet per separare le parti di una rete di computer. Si tratta della tipologia più costosa e meno scalabile.
• La segmentazione virtuale, chiamata anche segmentazione logica, che in genere segmenta i flussi di traffico di rete utilizzando le VLAN (Virtual Local Area Network), che possono essere protette dallo stesso firewall.

Casi d'uso della segmentazione della rete

Ma quindi, qual è la funzione della segmentazione della rete? In breve, è progettata per aiutarti a:

• Bloccare il movimento laterale delle minacce esterne: in una rete segmentata, una violazione in un dato segmento non rappresenta una minaccia immediata per i dati presenti in un altro segmento.
• Interrompere il movimento laterale delle minacce interne: segmentare l'accesso in base alle esigenze aziendali (ad esempio rendendo i dati finanziari inaccessibili alle risorse umane) riduce il rischio di attacchi interni.
• Separare le reti interne e quelle guest: mantenere gli utenti guest in un segmento separato consente di offrire loro la connettività senza mettere a rischio i dispositivi e i dati interni.
• Proteggere i dati regolamentati e preservare la conformità: archiviare i dati sensibili in un segmento ad accesso limitato li proteggerà al meglio e aiuterà a ottemperare alle normative sui dati.

I vantaggi della segmentazione della rete

Qualunque sia lo schema utilizzato da un'organizzazione, una rete segmentata offre alcuni evidenti vantaggi rispetto a una rete piatta senza gerarchia o sottoreti. Le soluzioni includono:

• Dati sensibili protetti da una sicurezza informatica più efficace: questo vantaggio comprende la prevenzione delle violazioni (movimento nord-sud), un controllo più rigoroso degli accessi e controlli di sicurezza specifici per ogni segmento.
• Semplificare la conformità alle normative: limitare chi può accedere a determinati dati e dove questi dati possono passare semplifica la conformità e le operazioni di audit per adempiere a normative come PCI DSS ed RGPD.
• Semplificazione dell'analisi del rischio e della gestione dei danni: se i criminali informatici non sono in grado di muoversi liberamente su tutta la rete, è più facile individuare le loro tecniche e identificare i punti deboli nella sicurezza.
• Incrementare la sicurezza di endpoint e utenti: se le minacce non possono diffondersi con facilità tra i vari segmenti, da un lato che gli utenti finali e gli endpoint saranno più sicuri, e dall'altro anche i segmenti stessi godranno di una protezione maggiore dalle minacce che derivano dagli endpoint.
• Ridurre la congestione della rete: l'attività in un segmento non limiterà un'altra parte della rete. Ad esempio, l'utilizzo del Wi-Fi da parte dei clienti non rallenterà le transazioni con le carte di credito.

Le best practice della segmentazione della rete

Ecco 5 best practice da seguire per implementare e mantenere una segmentazione efficiente della rete:

1. Non effettuare una segmentazione eccessiva

Se da un lato una segmentazione eccessiva può ridurre la visibilità complessiva sulla rete e renderne difficile la gestione, dall'altro una segmentazione insufficiente lascia che la superficie di attacco rimanga estesa e compromette il livello di sicurezza.

2. Eseguire verifiche periodiche

La segmentazione della rete migliorerà la sicurezza solo se vengono effettuati audit continui dei segmenti, per individuare le vulnerabilità, gli aggiornamenti e la presenza di autorizzazioni rigorose. Quando avrai la certezza di non avere vulnerabilità sfruttabili nell'ambiente, sarai un passo avanti rispetto agli hacker.

3. Applicare il principio dei privilegi minimi

Applicando il principio dei privilegi minimi a tutti i segmenti della rete, puoi garantire a utenti, amministratori di rete e team di sicurezza che l'accesso verrà consentito solo se necessario. Questo è il motivo per cui l'accesso a privilegi minimi è fondamentale per il modello ZTNA.

4. Limitare l'accesso di terzi

Concedere l'accesso a terzi è rischioso, ed è importante farlo solo se necessario, soprattutto se viene concesso per più segmenti. Valutare attentamente le nuove autorizzazioni che vengono concesse risulta fondamentale per preservare un buon livello di sicurezza della rete.

5. Estendere l'automazione il più possibile

L'automazione, oltre ad avere vantaggi a livello generale, come l'incremento della visibilità, il miglioramento della sicurezza e la riduzione del tempo medio di correzione (MTTR), se applicata alla segmentazione della rete consente di identificare e classificare rapidamente nuove risorse e dati, e rappresenta quindi un'altra best practice nell'ambito della segmentazione.

Gli svantaggi della segmentazione della rete

Nelle complesse architetture di rete di oggi distribuite tra più ambienti cloud e data center, i modelli datati di segmentazione (basati su firewall, VLAN e perimetri di rete) presentano alcuni importanti limiti.

I firewall tradizionali hanno un difetto in totale contrasto con l'obiettivo stesso della segmentazione: creano infatti reti piatte che consentono facili spostamenti laterali. Cercare di compensare per questa problematica è un'operazione incredibilmente complessa dal punto di vista operativo. Persino i firewall di nuova generazione continuano a collocare gli utenti sulla rete per l'accesso alle applicazioni, e anche le VLAN hanno questa limitazione.

Un approccio tradizionale porta ai seguenti problemi:

• Attendibilità eccessiva: dato che la segmentazione tradizionale basata su firewall è progettata per prevenire gli attacchi esterni, l'azienda resta comunque vulnerabile alle minacce interne.
• Errori di configurazione: nelle architetture moderne è facile configurare le VLAN in modo errato, specialmente se si utilizzano provider di servizi cloud terzi e non è possibile modificare l'infrastruttura in modo autonomo.
• Gestione laboriosa: l'introduzione di nuovi dispositivi, app o modifiche implica la necessità di aggiornare le regole dei firewall, e anche le attività più banali, come la scansione delle vulnerabilità, richiedono più risorse.
• Controlli complessi: i metodi tradizionali non offrono controlli granulari, e di conseguenza è più complesso definire le policy di segmentazione per i lavoratori da remoto, i partner, i clienti e così via.
• Problemi di scalabilità: per gestire la crescita della rete, è necessario creare segmenti più piccoli o aggiornare quelli esistenti, con il conseguente incremento dei costi per la scalabilità e la manutenzione.
• Prestazioni scadenti: l'aggiunta di altri dispositivi di rete (ad esempio, firewall e router) ha un effetto negativo che danneggia le prestazioni complessive della rete.

ZTNA: un modo migliore per ottenere la segmentazione

La scalabilità, la flessibilità e la portata del cloud sono sempre più fondamentali per le aziende, e molte strategie "pure" di sicurezza della rete (come la segmentazione tradizionale) risultano ormai impraticabili. È invece necessario un modello che non faccia affidamento sulla rete interna, carica di rischi e complessità.

Lo ZTNA (Zero Trust Network Access) è un framework basato sul concetto che nessun utente o dispositivo sia intrinsecamente attendibile. Le policy di accesso si devono invece basare sul principio dei privilegi minimi, che prende in considerazione l'identità e il contesto attraverso la valutazione di fattori come il dispositivo, la posizione, l'applicazione e il contenuto.

Lo ZTNA collega gli utenti direttamente alle applicazioni su base uno a uno, senza mai collocarli sulla rete, eliminando di conseguenza il movimento laterale. Ciò consente di ottenere la segmentazione in un modo radicalmente diverso e più efficace, che risulterebbe impossibile con le VPN e i firewall legacy.

Per scoprire di più sul mercato dello ZTNA, le tendenze e i suggerimenti in questo campo, consulta la Guida di mercato di Gartner® per lo Zero Trust Network Access.

Vantaggi dello ZTNA rispetto alla segmentazione tradizionale

Rispetto alla segmentazione tradizionale, lo ZTNA:

• Fornisce un accesso adattativo, sensibile all'identità e preciso, senza fornire l'accesso alla rete, ed elimina l'attendibilità implicita, sostituendola con quella esplicita basata sull'identità.
• Non richiede alcuna connessione alla rete, quindi le applicazioni interne (e gli indirizzi IP) non vengono mai esposte a Internet, riducendo di conseguenza la superficie di attacco e i rischi.
• Offre una segmentazione tra utente e app tramite policy di accesso granulari applicate sul cloud, anziché richiedere la configurazione di policy di accesso e regole firewall.
• Migliora la flessibilità, l'agilità e la scalabilità, riducendo al contempo la necessità di ricorrere a firewall interni. Lo ZTNA può essere fornito come servizio cloud o come software gestito on-premise.
• Consente l'accesso sicuro alle applicazioni per i dispositivi non gestiti e i partner esterni, mantenendo gli utenti fuori dalla rete e riducendo al minimo il rischio di proliferazione dei malware.

Zscaler e la segmentazione della rete

Zscaler Private Access™ è la piattaforma ZTNA più distribuita al mondo. Applicando il principio dei privilegi minimi, offre agli utenti una connettività sicura e diretta alle applicazioni private, senza sia necessario accedere alla rete.

Che ci si trovi nella fase di pianificazione o si stia utilizzando un modello di segmentazione tradizionale che si sta rivelando datato, con il nostro supporto è possibile ottenere una segmentazione avanzata sfruttando lo ZTNA. Ecco come iniziare:

1. Sostituisci le VPN e i firewall con Zscaler Private Access per ridurre la superficie di attacco ed eliminare il movimento laterale con la segmentazione da utente ad app.
2. Implementa la segmentazione da app ad app per applicare lo ZTNA ai workload e alle applicazioni sul cloud negli ambienti ibridi e multicloud.
3. Infine, implementa la microsegmentazione tra processi/basata sull'identità per la comunicazione all'interno di un cloud.