Gli svantaggi della segmentazione tradizionale

Un approccio tradizionale porta ai seguenti problemi: Attendibilità eccessiva: dato che la segmentazione tradizionale basata su firewall è progettata per prevenire gli attacchi esterni, l'azienda resta comunque vulnerabile alle minacce interne. Errori di configurazione: nelle architetture moderne è facile configurare le VLAN in modo errato, specialmente se si utilizzano provider di servizi cloud di terze parti, e non è possibile modificare l'infrastruttura in modo autonomo. Gestione laboriosa: le nuove applicazioni, i nuovi dispositivi o le modifiche implicano la necessità di aggiornare le regole firewall, e anche le attività più banali, come la scansione delle vulnerabilità, richiedono più risorse. Controlli complessi: i metodi tradizionali non offrono controlli precisi; questo complica la definizione delle policy di segmentazione per lavoratori in remoto, partner, clienti e così via. Problemi di scalabilità: per gestire la crescita della rete, è necessario creare segmenti più piccoli o aggiornare quelli esistenti, con conseguenti maggiori costi di scalabilità e manutenzione. Prestazioni scadenti: l'aggiunta di altri dispositivi di rete (ad esempio, firewall e router) ha un effetto negativo che danneggia le prestazioni complessive della rete.

Zscaler Experience
Il tuo mondo, in sicurezza

Scopri il potere trasformativo dello zero trust.

Zscaler: una leader del Gartner® Magic Quadrant™ 2023 per il Security Service Edge (SSE)

Scarica il report completo

Il valore aggiunto di Zscaler

Scopri il security cloud più grande al mondo

Storie di successo dei clienti

Riconoscimenti degli analisti

Machine learning e IA secondo Zscaler

Riduci il tuo impatto ambientale

I fondamenti dello zero trust

Cosa si intende per zero trust?

Cosa si intende per Security Service Edge (SSE)?

Cosa si intende per SASE (Secure Access Service Edge)?

Cos'è lo ZTNA (Zero Trust Network Access)?

Cosa si intende per Secure Web Gateway (SWG)?

Cosa si intende per CASB (Cloud Access Security Broker)?

Cos'è una Cloud Native Application Protection Platform (CNAPP)?

Risorse sullo zero trust
Prodotti e soluzioni
Proteggi gli utenti

Offri agli utenti un accesso fluido, sicuro e affidabile alle applicazioni e ai dati..

Proteggi i carichi di lavoro

Sviluppa ed esegui app cloud sicure, abilita la connettività zero trust al cloud e proteggi i carichi di lavoro dal data center al cloud.

Proteggi IoT e OT

Fornisci una connettività zero trust ai dispositivi IoT e OT e un accesso remoto sicuro ai sistemi OT.

Prodotti

Trasforma la tua organizzazione con servizi nativi del cloud al 100%

Accesso sicuro a Internet (ZIA)

Accesso privato sicuro (ZPA)

Protezione dati (CASB/DLP)

Esperienza digitale (ZDX)

Posture Control

Integrazioni con i partner

Soluzioni per l'industria e il mercato

Ambiti di applicazione delle soluzioni

Fai crescere il tuo business con soluzioni zero trust che proteggono e connettono le risorse aziendali

Blocca gli attacchi informatici

Proteggi i dati

Accesso zero trust alle app

Alternativa alla VPN

Integrazione accelerata durante fusioni e acquisizioni

Ottimizza le esperienze digitali

SD-WAN zero trust

Crea ed esegui app cloud sicure

Connettività zero trust sul cloud

Lo zero trust per IoT/OT

Lo zero trust per il 5G privato

Trova un prodotto o una soluzione

Trova un prodotto o una soluzione
Piattaforma
piattaforma zero trust exchange

Scopri lo zero trust di Zscaler, offerto tramite una piattaforma nativa del cloud e basata sul security cloud più grande del mondo.

Trasformati con un'architettura zero trust

Accelera il tuo percorso di trasformazione

Trasformazione digitale sicura

Trasformazione dell'applicazione

Trasformazione della rete

Trasformazione della sicurezza

Proteggi gli obiettivi aziendali

Realizza i tuoi progetti di business e IT

Garantisci la continuità operativa in sicurezza

Accelerare fusioni, acquisizioni e cessioni

Rendi la tua impresa a prova di recessione

Proteggi la tua forza lavoro ibrida

Scarica Zscaler Client Connector
Risorse
Approfondisci le tue conoscenze, entra in contatto con altri professionisti e ricevi assistenza

Esplora gli strumenti e le risorse per accelerare la trasformazione e tutelare la tua organizzazione

Dare voce ai veri innovatori del mondo digitale e dello zero trust

Visita ora

Centro risorse

Non perdere gli ultimi aggiornamenti sulle best practice

Libreria delle risorse

Blog

Storie di successo dei clienti

Webinar e dimostrazioni

Zpedia

Eventi e formazione

Trova programmi, certificazioni ed eventi

Prossimi eventi

Zenith Live

Zscaler Academy

Workshop interattivo di Zscaler

Ricerca e servizi di sicurezza

Consulta con facilità le ricerche e gli approfondimenti

Analisi di ThreatLabz

Strumenti

Strumenti pensati per te

Anteprima della sicurezza

Sicurezza e valutazione del rischio

Aggiornamenti degli avvisi di sicurezza

Divulga una vulnerabilità

Executive Insights App

Calcolatore del ROI della protezione dai ransomware

Community e assistenza

Entra in contatto con altri professionisti e ricevi assistenza

Customer Success Center

Zenith Community

CXO REvolutionaries

Portale di assistenza Zscaler

Scarica Zscaler Client Connector

Soluzioni per l'industria e il mercato

Scopri le soluzioni pensate per il tuo settore e il tuo Paese

Settore pubblico

Assistenza sanitaria

Servizi finanziari

Istruzione

Vedi tutto
Azienda

Informazioni su Zscaler

Scopri come tutto è iniziato e le previsioni per il futuro

Partner

Incontra i nostri partner ed esplora gli integratori di sistema e le alleanze tecnologiche

Notizie e annunci

Non perdere gli aggiornamenti sulle ultime novità

Team di leadership

Incontra il nostro team di gestione

Integrazioni con i partner

Esplora le integrazioni con le aziende partner migliori del settore che ti consentiranno di accelerare la trasformazione digitale

Rapporti con gli investitori

Scopri le ultime notizie, le informazioni sulle azioni e i report trimestrali

Environmental, Social and Governance

Scopri il nostro approccio ESG

Carriere

Unisciti alla nostra missione

Centro stampa

Trova tutto ciò di cui hai bisogno per parlare di Zscaler

Conformità

Scopri di più sui nostri rigorosi standard

Zenith Ventures

Scopri di più sui nostri rigorosi standard
Richiedi una demo

Richiedi una demo

Cosa si intende per segmentazione della rete?

La segmentazione della rete consiste nella suddivisione di una rete in più sottoreti, ognuna con policy di sicurezza e protocolli specifici, nel tentativo di prevenire il movimento laterale. Rappresenta uno degli strumenti più utilizzati per ridurre la superficie di attacco di una rete e combattere gli attacchi informatici.

Scopri di più sulla segmentazione e vai oltre VLAN e firewall

Segmentazione della rete e microsegmentazione a confronto

Prima di andare avanti, è bene spiegare la differenza tra segmentazione della rete e microsegmentazione.

La segmentazione della rete è più indicata per il traffico nord-sud (verso l'esterno), mentre la microsegmentazione aggiunge un livello di protezione per il traffico est-ovest (da server a server, da app a server, da web a server e così via). Un'analogia comune paragona la segmentazione della rete al fossato e alle mura esterne di un castello, mentre la microsegmentazione può essere paragonabile alle guardie che controllano le porte di ogni sala interna del castello.

Perché utilizzare la segmentazione della rete?

La segmentazione costituisce una modalità di difesa proattiva, che offre vantaggi significativi rispetto alla sicurezza reattiva.

Con la sicurezza reattiva, i team devono prima analizzare una compromissione, quindi gestirne le conseguenze; questa è un'operazione macchinosa e costosa, e può comunque comportare la perdita di dati, problemi di conformità e danni all'immagine pubblica.

È impossibile da ignorare: le organizzazioni di tutto il mondo continuano a subire violazioni dei dati. Secondo Risk Based Security, solo nel 2021, 4145 organizzazioni hanno rivelato pubblicamente di aver subito violazioni che hanno esposto più di 22 miliardi di record.

Si tratta di un indicatore chiaro che invece di reagire agli attacchi, è necessario concentrarsi sulla prevenzione, affrontando i rischi potenziali e le vulnerabilità prima che queste ultime possano essere sfruttate. La segmentazione della rete è uno dei metodi più comuni attualmente adottati per rispondere a tale esigenza.

Tipi di segmentazione della rete

Tradizionalmente, ci sono sempre state due tipologie basilari di segmentazione della rete:

La segmentazione fisica, che utilizza firewall distinti, cavi, switch e connessioni a Internet per separare le parti di una rete. Si tratta della tipologia più costosa e meno scalabile.
La segmentazione virtuale, chiamata anche segmentazione logica, che in genere segmenta i flussi di traffico di rete utilizzando le VLAN (Virtual Local Area Network), che possono essere protette dallo stesso firewall.

Types of Network Segmentation

Traditionally, there have been two basic types of network segmentation:

Physical segmentation uses discrete firewalls, wiring, switches, and internet connections to separate parts of a computer network. This is the more expensive, less scalable type.
Virtual segmentation, also called logical segmentation, typically segments network traffic flows using virtual local area networks (VLANs), which can be protected by the same firewall.

Casi d'uso della segmentazione della rete

Qual è lo scopo della segmentazione della rete? In poche parole, ti consente di:

Interrompe il movimento laterale delle minacce esterne: segmentare le parti della rete all'interno del perimetro significa che, anche se il perimetro viene violato, i dati non vengono tutti immediatamente colpiti dalla minaccia.
Interrompe il movimento laterale delle minacce interne: segmentare i dati interni in base alla necessità di accesso (ad esempio per reparto) riduce il rischio di minacce interne, rendendo, ad esempio, i dati finanziari inaccessibili alle Risorse umane.
Separa la rete interna da quella degli ospiti: mantenendo gli ospiti in un segmento separato, distinto rispetto al resto della rete, è possibile continuare a offrire loro una connettività ottimale senza mettere a rischio i dispositivi e i dati interni.
Protegge i dati regolamentati e consente di mantenere la conformità: memorizzare i dati sensibili, come le informazioni sulle carte di pagamento, in un segmento ad accesso limitato, li proteggerà meglio da eventuali compromissioni e consentirà di rispettare le normative sui dati.

I vantaggi della segmentazione della rete

Qualunque sia lo schema utilizzato da un'organizzazione, una rete segmentata offre alcuni evidenti vantaggi rispetto a una rete piatta senza gerarchia o sottoreti. Questi vantaggi includono:

Dati sensibili protetti da una sicurezza informatica più efficace: questo vantaggio comprende la prevenzione delle violazioni (movimento nord-sud), un controllo più rigoroso degli accessi e controlli di sicurezza specifici per ogni segmento.
Minori difficoltà nel soddisfare i requisiti di conformità: limitando chi può accedere a determinati dati e i luoghi in cui i dati possono passare, è possibile agevolare l'attestazione della conformità e le verifiche dell'ottemperanza alle normative di settore e governative, come PCI DSS e RGPD.
Semplificazione dell'analisi del rischio e della gestione dei danni: se i criminali informatici non sono in grado di muoversi liberamente su tutta la rete, è più facile individuare le loro tecniche e identificare i punti deboli nella sicurezza.
Endpoint e utenti più sicuri: in una rete segmentata, sia gli utenti finali che i dispositivi sono più sicuri, perché le minacce non possono diffondersi facilmente sugli endpoint e, al tempo stesso, i segmenti sono protetti dagli attacchi che partono da questi dispositivi.
Riduzione della congestione della rete: l'attività che si verifica in un segmento non danneggia indirettamente un'altra parte della rete. Ad esempio, in un negozio di rivendita al dettaglio, l'utilizzo del Wi-Fi da parte dei clienti non rallenterà le transazioni con le carte di credito.

Le best practice della segmentazione della rete

Per implementare e mantenere un modello di segmentazione della rete efficace, ecco cinque best practice da seguire:

1. Non effettuare una segmentazione eccessiva

All'inizio, molte organizzazioni tendono a effettuare una segmentazione eccessiva delle loro reti. Ciò può ridurre la visibilità complessiva sulla rete e rendere la gestione ancora più difficile. Al contempo è anche importante non ridurre eccessivamente la segmentazione, altrimenti la superficie di attacco potrebbe rimanere troppo estesa, danneggiando il profilo di sicurezza.

2. Eseguire verifiche periodiche

La segmentazione è ottima per migliorare la sicurezza della rete, ma è efficace solo se abbinata a un controllo costante per verificare che le vulnerabilità siano azzerate, che le autorizzazioni siano limitate e che gli aggiornamenti siano installati. In particolare, la verifica dei segmenti assicura che non vi siano gap sfruttabili nella copertura e che qualsiasi rischio associato alla rete sia stato mitigato, per far sì che l'azienda anticipi sempre gli aggressori.

3. Applicare il principio dei privilegi minimi

L'accesso a privilegi minimi determina il successo della gestione generale degli accessi, ed è fondamentale quando si effettua la segmentazione della rete. Applicando questo principio a tutti i segmenti della rete, garantisci agli utenti, agli amministratori di rete e al team di sicurezza che l'accesso sarà consentito solo quando necessario. Questo è il motivo per cui l'accesso a privilegi minimi è fondamentale per l'approccio ZTNA.

4. Limitare l'accesso di terzi

L'accesso di utenti terzi comporta già di per sé un rischio elevato, ed è importante autorizzarlo solo quando è strettamente necessario, soprattutto se lo si concede a diversi segmenti della rete. La segmentazione riduce il rischio complessivo associato alla rete, ma questo non equivale a concedere l'autorizzazione a terzi in modo indiscriminato senza considerare l'effetto sul profilo di sicurezza.

5. Estendere l'automazione il più possibile

La segmentazione della rete offre all'organizzazione una serie di preziose opportunità per estendere l'automazione. Oltre ai vantaggi dell'automazione in generale, come l'aumento della visibilità, la riduzione del tempo medio di correzione (MTTR) e il miglioramento della sicurezza, l'automazione della segmentazione della rete consente di identificare e classificare rapidamente nuove risorse e dati, e rappresenta quindi un'altra best practice nell'ambito della segmentazione.

Gli svantaggi della segmentazione della rete

Ciò che è evidente è che, nelle architetture di rete complesse di oggi, che sono distribuite su più cloud e data center, i vecchi modelli di segmentazione basati su firewall e VLAN presentano alcuni gravi limiti.

I firewall tradizionali hanno un difetto che è in totale contrasto con l'obiettivo della segmentazione: creano reti piatte che consentono facili spostamenti laterali. Cercare di compensare questa situazione è quasi impossibile dal punto di vista operativo. Nonostante tutte le loro funzionalità aggiuntive, i firewall di nuova generazione continuano a collocare gli utenti sulla rete per farli accedere alle applicazioni. Le VLAN presentano lo stesso limite.

Un approccio tradizionale porta ai seguenti problemi:

Attendibilità eccessiva: dato che la segmentazione tradizionale basata su firewall è progettata per prevenire gli attacchi esterni, l'azienda resta comunque vulnerabile alle minacce interne.
Errori di configurazione: nelle architetture moderne è facile configurare le VLAN in modo errato, specialmente se si utilizzano provider di servizi cloud terzi e non è possibile modificare l'infrastruttura in modo autonomo.
Gestione laboriosa: l'introduzione di nuovi dispositivi, app o modifiche implica la necessità di aggiornare le regole dei firewall, e anche le attività più banali, come la scansione delle vulnerabilità, richiedono più risorse.
Controlli complessi: i metodi tradizionali non offrono controlli granulari, e di conseguenza è più complesso definire le policy di segmentazione per i lavoratori da remoto, i partner, i clienti e così via.
Problemi di scalabilità: per gestire la crescita della rete, è necessario creare segmenti più piccoli o aggiornare quelli esistenti, con il conseguente incremento dei costi per la scalabilità e la manutenzione.
Prestazioni scadenti: l'aggiunta di altri dispositivi di rete (ad esempio, firewall e router) ha un effetto negativo che danneggia le prestazioni complessive della rete.

ZTNA: un modo migliore per ottenere la segmentazione

La scalabilità, la flessibilità e la portata del cloud sono sempre più fondamentali per le aziende, e molte strategie pure di sicurezza della rete (come la segmentazione tradizionale) diventano impraticabili. È invece necessario un modello che non faccia affidamento sulla rete interna, con tutti i suoi rischi e le sue complessità.

Oggi, sono emersi nuovi approcci basati sullo ZTNA (Zero Trust Network Access), un'architettura costruita in base al concetto che nessun utente o dispositivo debba essere intrinsecamente considerato attendibile. Le policy di accesso si basano invece sul principio dei privilegi minimi, che prende in considerazione l'identità e il contesto, con fattori come il dispositivo, la posizione, l'applicazione e il contenuto.

Lo ZTNA collega gli utenti direttamente alle applicazioni su base uno a uno, senza mai collocarli sulla rete, eliminando di conseguenza il movimento laterale. Ciò consente di ottenere la segmentazione in un modo radicalmente diverso e più efficace, che risulterebbe impossibile con le VPN e i firewall legacy.

Vantaggi dello ZTNA rispetto alla segmentazione tradizionale

Rispetto alla segmentazione tradizionale, lo ZTNA:

Fornisce un accesso adattativo, sensibile all'identità e preciso, senza fornire l'accesso alla rete, ed elimina l'attendibilità implicita, sostituendola con quella esplicita basata sull'identità.
Non richiede alcuna connessione alla rete, quindi le applicazioni interne (indirizzi IP) non vengono mai esposte a Internet, e di conseguenza la superficie di attacco e il rischio vengono ridotti.
Offre una segmentazione tra utente e app tramite policy di accesso granulari applicate sul cloud, anziché richiedere la configurazione di policy di accesso e regole firewall.
Migliora la flessibilità, l'agilità e la scalabilità, riducendo al contempo la necessità di ricorrere a firewall interni. Lo ZTNA può essere fornito come servizio cloud o come software gestito on-premise.
Consente l'accesso sicuro alle applicazioni per i dispositivi non gestiti e i partner esterni, mantenendo gli utenti fuori dalla rete e riducendo al minimo il rischio di proliferazione dei malware.

Zscaler e la segmentazione della rete

Zscaler Private Access™ è la piattaforma ZTNA più distribuita al mondo. Applicando il principio dei privilegi minimi, offre agli utenti una connettività sicura e diretta alle applicazioni private, senza sia necessario accedere alla rete.

Che ci si trovi nella fase di pianificazione o si stia utilizzando un modello di segmentazione tradizionale che si sta rivelando datato, con il nostro supporto è possibile ottenere una segmentazione avanzata sfruttando lo ZTNA. Ecco come iniziare:

Sostituisci le VPN e i firewall con Zscaler Private Access per ridurre la superficie di attacco ed eliminare il movimento laterale con la segmentazione da utente ad app.
Implementa la segmentazione da app ad app per applicare l'approccio ZTNA ai carichi di lavoro e alle applicazioni cloud negli ambienti ibridi e multicloud (tra cloud).
Infine, implementa la microsegmentazione tra processi/basata sull'identità per la comunicazione all'interno di un cloud (est-ovest).

Desideri saperne di più? Visita la nostra pagina su Zscaler Private Access.

Risorse consigliate

Guida di mercato di Gartner allo ZTNA del 2022
What Is Zero Trust Network Access?
Read the article
Guida all'adozione di un servizio ZTNA per gli architetti di rete
Porta la potenza dello ZTNA on-premise
Tecnologie ZTNA: cosa sono e come sceglierle

FAQs

What Is a Network Segment?

A network segment (less commonly called a security zone) is an isolated or separated part of a network. Segments can have their own security policies, access control lists (ACLs), and protocols, providing more granular control and protection.

What Is a Good Reason to Segment a Network?

One of the primary reasons to segment a network is to limit the potential scope of a security breach. Network segments keep threats isolated, preventing lateral movement and minimizing the attack surface.

What Is a Collision Domain?

A collision domain is a network segment where multiple devices share one data pathway. When two or more devices try to use the pathway simultaneously, the resulting “collisions” can slow down the network, and typically require dedicated management to avoid.

Il tuo mondo, in sicurezza

Zscaler: una leader del Gartner® Magic Quadrant™ 2023 per il Security Service Edge (SSE)

Il valore aggiunto di Zscaler

I fondamenti dello zero trust

Proteggi gli utenti

Proteggi i carichi di lavoro

Proteggi IoT e OT

Prodotti

Ambiti di applicazione delle soluzioni

piattaforma zero trust exchange

Trasformati con un'architettura zero trust

Proteggi gli obiettivi aziendali

Approfondisci le tue conoscenze, entra in contatto con altri professionisti e ricevi assistenza

Dare voce ai veri innovatori del mondo digitale e dello zero trust

Centro risorse

Eventi e formazione

Ricerca e servizi di sicurezza

Strumenti

Community e assistenza

Soluzioni per l'industria e il mercato

Informazioni su Zscaler

Partner

Notizie e annunci

Team di leadership

Integrazioni con i partner

Rapporti con gli investitori

Environmental, Social and Governance

Carriere

Centro stampa

Conformità

Zenith Ventures