Risorse > Glossario dei termini sulla sicurezza > Cosa si intende per segmentazione della rete

Cosa si intende per segmentazione della rete?

Cosa si intende per segmentazione della rete?

Le organizzazioni sono sotto costante attacco e, nonostante gli investimenti consistenti in una serie di difese informatiche, sono comunque vittime di violazioni. Secondo il Resoconto sul riepilogo delle violazioni dei dati alla fine del 2019, correlato alla sicurezza basata sui rischi, lo scorso anno è stato un altro anno da "maglia nera" per quanto concerne le attività di violazione dei dati, con 7.098 violazioni che hanno portato all'esposizione di oltre 15,1 miliardi di record.  

Molte misure di sicurezza rientrano nella categoria "reattiva", il che significa che i team IT e di sicurezza indagano quando un dispositivo o una rete sono stati compromessi e mitigano eventuali ricadute derivanti dall'attacco. Tuttavia, le misure di sicurezza reattive sono complesse e costose, e richiedono ai team di eseguire un controllo continuo dei danni. Possono inoltre comportare gravi conseguenze, dalla non conformità rispetto alle normative, a problematiche nelle relazioni pubbliche. 

Invece di reagire agli attacchi, molte organizzazioni adottano schemi proattivi, progettati per prevenirli, anticipare eventuali rischi o vulnerabilità e risolverli prima che possano essere sfruttati. Oltre agli stack hardware per la sicurezza nel data center o alla distribuzione della sicurezza fornita come servizio, le organizzazioni impiegano una varietà di tecniche che riducono il rischio e il metodo più utilizzato tra queste tecniche è la segmentazione della rete.

Come funziona la segmentazione della rete?

La segmentazione della rete consiste nel processo di suddivisione di una rete in più zone e nell'applicazione di protocolli di sicurezza a ciascuna zona, per gestire la sicurezza e la conformità. In genere, implica l'isolamento del traffico tra i segmenti di rete utilizzando reti locali virtuali (VLAN), dopodiché la sicurezza viene applicata tramite firewall per proteggere applicazioni e dati. 

La segmentazione della rete (da non confondere con la microsegmentazione) è stata promossa come una soluzione che fornisce sicurezza senza degradare le prestazioni, poiché consente la creazione e la manutenzione di policy di diversi segmenti delle reti. Tuttavia, nel mondo di oggi costituito da reti complesse, distribuite su più cloud e data center, questo approccio potrebbe non essere più adatto.

Le sfide legate alla segmentazione della rete

Eccessiva attendibilità: la segmentazione della rete si basa sul presupposto che tutti all'interno della rete siano attendibili. Poiché è progettato principalmente per prevenire gli attacchi esterni, questo approccio può rendere le organizzazioni vulnerabili agli attacchi interni.

Complessità: la segmentazione della rete richiede che un'organizzazione conosca e comprenda tutte le risorse che comunicano su ciascuna delle proprie reti. Dopodiché, devono definire le zone idonee, in base alle esigenze aziendali e di conformità. Quindi devono iniziare il lavoro effettivo di distribuzione delle VLAN. La probabilità di incorrere in un errore di configurazione di una VLAN, durante la distribuzione, è molto elevata, a causa della complessità delle attuali architetture di rete, in particolare con la maggior parte delle organizzazioni che utilizza ambienti multicloud che non possiede e che, spesso, non è in grado di modificare l'infrastruttura su cui viene amministrata la rete.

Gestione: in un ambiente di rete moderno, gli indirizzi cambiano continuamente, gli utenti si connettono con più dispositivi, utilizzando una varietà di reti, e vengono introdotte costantemente nuove applicazioni. Questi ambienti dinamici creano molte problematiche di gestione, quali la definizione manuale delle policy, la revisione, la modifica e la gestione delle eccezioni. Inoltre, ogni modifica delle policy richiede un aggiornamento di tutte le regole del firewall e la natura della segmentazione della rete richiede la distribuzione di risorse aggiuntive, andando a complicare ulteriormente le attività di sicurezza, come la scansione delle vulnerabilità. 

Controlli: la segmentazione della rete non dispone di controlli precisi, pertanto è complicato segmentare l'accesso su vari livelli, come per lavoratori da remoto, lavoratori temporanei, partner e così via.

Scalabilità: per gestire la crescita della rete, la segmentazione della rete richiede alle organizzazioni di creare segmenti più piccoli o di aggiornare i segmenti esistenti, con il conseguente aumento dei costi di scalabilità e manutenzione.

Prestazioni: l'aggiunta di risorse, inclusi più firewall, a una rete ha un impatto negativo sulle prestazioni complessive.

Multiple Network Security Perimeters

Un metodo migliore rispetto alla segmentazione

Lo ZTNA (Zero Trust Network Access) è un framework definito da Gartner e basato sul concetto dello zero trust, che si traduce in "zero attendibilità". In un'architettura zero trust, nessun dispositivo viene considerato automaticamente attendibile e l'accesso viene concesso in base a privilegi definiti da policy.

Invece di un approccio alla sicurezza incentrato sulla rete, che si sta rivelando poco pratico nel mondo del cloud, lo ZTNA adotta un approccio da utente ad applicazione. Consente l'accesso alle applicazioni, senza fornire l'accesso alla rete, utilizzando la segmentazione nativa delle applicazioni per garantire che, una volta che gli utenti vengono autorizzati, l'accesso alle applicazioni sia concesso su base individuale. Gli utenti autorizzati hanno accesso solo ad applicazioni specifiche, anziché all'intera rete, offrendo pertanto un controllo molto più granulare e nessun rischio di movimento laterale.

Vantaggi dello ZTNA rispetto alla segmentazione della rete

  • Lo ZTNA fornisce un accesso adattivo, preciso e in grado di riconosce l'identità, senza fornire l'accesso alla rete. Elimina la concezione di posizione della rete come posizione di vantaggio e rimuove l'attendibilità (trust) eccessiva implicita, sostituendola con una forma esplicita basata sull'identità.

     

  • Lo ZTNA non richiede una connessione di rete, quindi non vi è alcuna esposizione delle applicazioni interne (indirizzi IP) a Internet, riducendo il rischio di attacco.

     

  • Invece di configurare regole di accesso e regole per i firewall, le policy di accesso granulari, applicate nel cloud, forniscono una segmentazione a livello del percorso da utente ad app.

     

  • Lo ZTNA può essere fornito come servizio cloud e, in alcuni casi, può essere esteso come software on-premise (gestito mediante servizio). La distribuzione su cloud migliora la flessibilità, l'agilità e la scalabilità, nonché riduce la necessità di apparecchi firewall interni.

     

  • Le organizzazioni si affidano allo ZTNA per consentire ai dispositivi non gestiti e ai partner esterni di accedere in modo sicuro alle applicazioni, riducendo al minimo la minaccia di diffusione dei malware, mantenendo gli utenti lontani dalla rete.

Guida di mercato di Gartner sullo ZTNA 2020

Leggi la guida

Guida per gli architetti di rete per lo ZTNA

Leggi il white paper

ZTNA on-premise

Per saperne di più

Problemi e opportunità della segmentazione della rete

Leggi il blog

Tecnologie ZTNA: cosa sono e come sceglierle

Leggi il blog