Desideri saperne di più? Visita la nostra pagina su Zscaler Private Access.
- Scopri il valore aggiunto
- Cosa si intende per zero trust La strategia su cui è stata costruita la soluzione Zscaler
- In che modo Zscaler offre un approccio zero trust Una piattaforma che applica le policy in base al contesto
- Risorse sullo zero trust Scopri i principi, i vantaggi e le strategie
![Zscaler transformation]( "Zscaler transformation")
Scopri in che modo Zero Trust Exchange può aiutarti a sfruttare il cloud, la mobilità, l'IA, l'IoT e le tecnologie OT per diventare più agile e ridurre i rischi
- Storie di successo dei clienti Ascolta le storie sulla trasformazione, vissute in prima persona
- Riconoscimenti degli analisti Gli esperti del settore contano su Zscaler
- Scopri il cloud di Zscaler in azione Traffico processato e sicuro, malware bloccati e molto altro ancora
- Sperimenta il valore aggiunto Incomincia dallo zero trust
![Zscaler transformation]( "Zscaler transformation")
Scopri in che modo Zero Trust Exchange può aiutarti a sfruttare il cloud, la mobilità, l'IA, l'IoT e le tecnologie OT per diventare più agile e ridurre i rischi
- Prodotti e soluzioni
- Proteggi gli utenti Offri agli utenti un accesso fluido, sicuro e affidabile alle applicazioni e ai dati. Proteggi i carichi di lavoro Sviluppa ed esegui app cloud sicure, abilita la connettività zero trust al cloud e proteggi i carichi di lavoro dal data center al cloud. Proteggi OT e IoT Fornisci una connettività zero trust ai dispositivi OT e IoT e un accesso remoto sicuro ai sistemi OT.
- Prodotti Trasforma la tua organizzazione con servizi nativi del cloud al 100%
- Soluzioni Fai crescere il tuo business con soluzioni zero trust che proteggono e connettono le risorse aziendali
![Zscaler workplace enablement]( "Zscaler workplace enablement")
Abilitare la forza lavoro ibridaI primi passiProteggere il lavoro da qualsiasi luogo e i dati e offrire la migliore esperienza possibile agli utenti
- Settori Il nostro ecosistema di partner zero trust
- Integrazioni con i partner Semplificazione di distribuzione e gestione
![Zscaler industry partners]( "Zscaler industry partners")
Proteggere la distribuzione di ServiceNowI primi passiÈ tempo di proteggere meglio i dati di ServiceNow e rispondere più rapidamente agli inconvenienti correlati alla sicurezza
- Piattaforma
- Panoramica sulla piattaforma Una piattaforma unificata per la trasformazione
- Funzionalità Servizi integrati, scalabili senza limitazioni
![Zscaler transformation]( "Zscaler transformation")
Accelera la trasformazioneScopri di piùProteggi e potenzia il tuo business, sfruttando la piattaforma, i processi e le competenze delle persone, per accelerare le tue iniziative zero trust
![Gartner Report]( "Gartner Report")
Leader del Magic Quadrant di GartnerLeggi il resocontoZscaler: azienda leader nel Magic Quadrant™ di Gartner® per il Security Service Edge (SSE) e al vertice della classifica per capacità di esecuzione
- Risorse
- Libreria di contenuti Esplora gli argomenti che renderanno il tuo viaggio un percorso consapevole
- Blog Prospettive offerte dai leader della tecnologia e della trasformazione
- Kit di strumenti per la valutazione della sicurezza Analizza il tuo ambiente per rilevare le possibili esposizioni
- Webinar e demo Uno sguardo in prima persona sugli argomenti più importanti
- Executive Insights App Informazioni utili sulla sicurezza sempre a portata di mano
- Calcolatore del ROI dei ransomware Calcola il ROI della riduzione dei rischi associati ai ransomware
- Formazione e certificazioni Approfitta di esperienze di apprendimento, formazione dal vivo e certificazioni
- Customer Success Center Connettiti rapidamente alle risorse e accelera la tua trasformazione
- Storie di successo dei clienti Ascolta le storie sulla trasformazione, vissute in prima persona
![Customer success center]( "Customer success center")
- Analisi della sicurezza e delle minacce Dashboards sulle minacce, attività cloud, IoT e molto altro
- Avvisi di sicurezza Le ultime novità sugli eventi e sulla tutela in tema di sicurezza
- Programma di divulgazione delle vulnerabilità Webinar, formazione, demo e molto altro
- Trust Portal Stato e avvisi del cloud Zscaler
![Zscaler resources]( "Zscaler resources")
Libreria dei contenuti sullo zero trustI primi passiScopri le ultime ricerche e le best practice sulla sicurezza
- L'architetto cloud-first Strumenti e best practice per il cloud
- Zenith Community Discuti idee e problemi con i colleghi
- CXO REvolutionaries Eventi, approfondimenti e risorse per i CXO
- Cloud Security Alliance Proteggere il cloud attraverso le best practice
- Eventi Prossime opportunità per incontrare Zscaler
![Zscaler resources]( "Zscaler resources")
Libreria dei contenuti sullo zero trustI primi passiScopri le ultime ricerche e le best practice sulla sicurezza
- Azienda
- Informazioni su Zscaler Come è cominciato e in che direzione si andra'
- Leadership Incontra il nostro team di gestione
- Rapporti con gli investitori Ultime notizie, informazioni sulle azioni e report trimestrali
- Conformità La nostra adesione agli standard più rigorosi
- ESG Il nostro approccio all'ESG (Environmental, Social and Governance)
- Eventi Prossime opportunità per incontrare Zscaler
![Careet at Zscaler]( "Careet at Zscaler")
Carriere in ZscalerCandidati oraUnisciti a un leader riconosciuto nell'ambito dello zero trust, che aiuterà l'organizzazione a trasformarsi in modo sicuro
- Media center Notizie, blog, eventi, foto, loghi e altre risorse del marchio
- Ultime notizie e stampa Zscaler nelle news
![Careet at Zscaler]( "Careet at Zscaler")
Carriere in ZscalerCandidati oraUnisciti a un leader riconosciuto nell'ambito dello zero trust, che aiuterà l'organizzazione a trasformarsi in modo sicuro
- Portale partner Strumenti e risorse per i partner di Zscaler
- Programma Summit Partner Collaborare per garantire il successo dei clienti
- Integratori di sistema Aiutare i clienti comuni a diventare aziende cloud-first
- Fornitori di servizi Fornire una piattaforma integrata di servizi
- Tecnologia Le integrazioni consolidate semplificano la migrazione verso il cloud
- Richiesta da parte di un partner Diventa un partner di Zscaler
![Careet at Zscaler]( "Careet at Zscaler")
Carriere in ZscalerCandidati oraUnisciti a un leader riconosciuto nell'ambito dello zero trust, che aiuterà l'organizzazione a trasformarsi in modo sicuro
-
Cosa si intende per segmentazione della rete? La segmentazione della rete consiste nella suddivisione di una rete in più sottoreti, ognuna con policy di sicurezza e protocolli specifici, nel tentativo di prevenire il movimento laterale. Rappresenta uno degli strumenti più utilizzati per ridurre la superficie di attacco di una rete e combattere gli attacchi informatici.
Scopri di più sulla segmentazione e vai oltre VLAN e firewallSegmentazione della rete e microsegmentazione a confronto
Prima di andare avanti, è bene spiegare la differenza tra segmentazione della rete e microsegmentazione.
La segmentazione della rete è più indicata per il traffico nord-sud (verso l'esterno), mentre la microsegmentazione aggiunge un livello di protezione per il traffico est-ovest (da server a server, da app a server, da web a server e così via). Un'analogia comune paragona la segmentazione della rete al fossato e alle mura esterne di un castello, mentre la microsegmentazione può essere paragonabile alle guardie che controllano le porte di ogni sala interna del castello.
Perché utilizzare la segmentazione della rete?
La segmentazione costituisce una modalità di difesa proattiva, che offre vantaggi significativi rispetto alla sicurezza reattiva.
Con la sicurezza reattiva, i team devono prima analizzare una compromissione, quindi gestirne le conseguenze; questa è un'operazione macchinosa e costosa, e può comunque comportare la perdita di dati, problemi di conformità e danni all'immagine pubblica.
È impossibile da ignorare: le organizzazioni di tutto il mondo continuano a subire violazioni dei dati. Secondo Risk Based Security, solo nel 2021, 4145 organizzazioni hanno rivelato pubblicamente di aver subito violazioni che hanno esposto più di 22 miliardi di record.
Si tratta di un indicatore chiaro che invece di reagire agli attacchi, è necessario concentrarsi sulla prevenzione, affrontando i rischi potenziali e le vulnerabilità prima che queste ultime possano essere sfruttate. La segmentazione della rete è uno dei metodi più comuni attualmente adottati per rispondere a tale esigenza.
Tipi di segmentazione della rete
Tradizionalmente, ci sono sempre state due tipologie basilari di segmentazione della rete:
- La segmentazione fisica, che utilizza firewall distinti, cavi, switch e connessioni a Internet per separare le parti di una rete. Si tratta della tipologia più costosa e meno scalabile.
- La segmentazione virtuale, chiamata anche segmentazione logica, che in genere segmenta i flussi di traffico di rete utilizzando le VLAN (Virtual Local Area Network), che possono essere protette dallo stesso firewall.
Casi d'uso della segmentazione della rete
Qual è lo scopo della segmentazione della rete? In poche parole, ti consente di:
- Interrompe il movimento laterale delle minacce esterne: segmentare le parti della rete all'interno del perimetro significa che, anche se il perimetro viene violato, i dati non vengono tutti immediatamente colpiti dalla minaccia.
- Interrompe il movimento laterale delle minacce interne: segmentare i dati interni in base alla necessità di accesso (ad esempio per reparto) riduce il rischio di minacce interne, rendendo, ad esempio, i dati finanziari inaccessibili alle Risorse umane.
- Separa la rete interna da quella degli ospiti: mantenendo gli ospiti in un segmento separato, distinto rispetto al resto della rete, è possibile continuare a offrire loro una connettività ottimale senza mettere a rischio i dispositivi e i dati interni.
- Protegge i dati regolamentati e consente di mantenere la conformità: memorizzare i dati sensibili, come le informazioni sulle carte di pagamento, in un segmento ad accesso limitato, li proteggerà meglio da eventuali compromissioni e consentirà di rispettare le normative sui dati.
I vantaggi della segmentazione della rete
Qualunque sia lo schema utilizzato da un'organizzazione, una rete segmentata offre alcuni evidenti vantaggi rispetto a una rete piatta senza gerarchia o sottoreti. Questi vantaggi includono:
- Dati sensibili protetti da una sicurezza informatica più efficace: questo vantaggio comprende la prevenzione delle violazioni (movimento nord-sud), un controllo più rigoroso degli accessi e controlli di sicurezza specifici per ogni segmento.
- Minori difficoltà nel soddisfare i requisiti di conformità: limitando chi può accedere a determinati dati e i luoghi in cui i dati possono passare, è possibile agevolare l'attestazione della conformità e le verifiche dell'ottemperanza alle normative di settore e governative, come PCI DSS e RGPD.
- Semplificazione dell'analisi del rischio e della gestione dei danni: se i criminali informatici non sono in grado di muoversi liberamente su tutta la rete, è più facile individuare le loro tecniche e identificare i punti deboli nella sicurezza.
- Endpoint e utenti più sicuri: in una rete segmentata, sia gli utenti finali che i dispositivi sono più sicuri, perché le minacce non possono diffondersi facilmente sugli endpoint e, al tempo stesso, i segmenti sono protetti dagli attacchi che partono da questi dispositivi.
- Riduzione della congestione della rete: l'attività che si verifica in un segmento non danneggia indirettamente un'altra parte della rete. Ad esempio, in un negozio di rivendita al dettaglio, l'utilizzo del Wi-Fi da parte dei clienti non rallenterà le transazioni con le carte di credito.
Le best practice della segmentazione della rete
Per implementare e mantenere un modello di segmentazione della rete efficace, ecco cinque best practice da seguire:
1. Non effettuare una segmentazione eccessiva
All'inizio, molte organizzazioni tendono a effettuare una segmentazione eccessiva delle loro reti. Ciò può ridurre la visibilità complessiva sulla rete e rendere la gestione ancora più difficile. Al contempo è anche importante non ridurre eccessivamente la segmentazione, altrimenti la superficie di attacco potrebbe rimanere troppo estesa, danneggiando il profilo di sicurezza.
2. Eseguire verifiche periodiche
La segmentazione è ottima per migliorare la sicurezza della rete, ma è efficace solo se abbinata a un controllo costante per verificare che le vulnerabilità siano azzerate, che le autorizzazioni siano limitate e che gli aggiornamenti siano installati. In particolare, la verifica dei segmenti assicura che non vi siano gap sfruttabili nella copertura e che qualsiasi rischio associato alla rete sia stato mitigato, per far sì che l'azienda anticipi sempre gli aggressori.
3. Applicare il principio dei privilegi minimi
L'accesso a privilegi minimi determina il successo della gestione generale degli accessi, ed è fondamentale quando si effettua la segmentazione della rete. Applicando questo principio a tutti i segmenti della rete, garantisci agli utenti, agli amministratori di rete e al team di sicurezza che l'accesso sarà consentito solo quando necessario. Questo è il motivo per cui l'accesso a privilegi minimi è fondamentale per l'approccio ZTNA.
4. Limitare l'accesso di terzi
L'accesso di utenti terzi comporta già di per sé un rischio elevato, ed è importante autorizzarlo solo quando è strettamente necessario, soprattutto se lo si concede a diversi segmenti della rete. La segmentazione riduce il rischio complessivo associato alla rete, ma questo non equivale a concedere l'autorizzazione a terzi in modo indiscriminato senza considerare l'effetto sul profilo di sicurezza.
5. Estendere l'automazione il più possibile
La segmentazione della rete offre all'organizzazione una serie di preziose opportunità per estendere l'automazione. Oltre ai vantaggi dell'automazione in generale, come l'aumento della visibilità, la riduzione del tempo medio di correzione (MTTR) e il miglioramento della sicurezza, l'automazione della segmentazione della rete consente di identificare e classificare rapidamente nuove risorse e dati, e rappresenta quindi un'altra best practice nell'ambito della segmentazione.
Gli svantaggi della segmentazione della rete
Ciò che è evidente è che, nelle architetture di rete complesse di oggi, che sono distribuite su più cloud e data center, i vecchi modelli di segmentazione basati su firewall e VLAN presentano alcuni gravi limiti.
I firewall tradizionali hanno un difetto che è in totale contrasto con l'obiettivo della segmentazione: creano reti piatte che consentono facili spostamenti laterali. Cercare di compensare questa situazione è quasi impossibile dal punto di vista operativo. Nonostante tutte le loro funzionalità aggiuntive, i firewall di nuova generazione continuano a collocare gli utenti sulla rete per farli accedere alle applicazioni. Le VLAN presentano lo stesso limite.
Un approccio tradizionale porta ai seguenti problemi:
- Attendibilità eccessiva: dato che la segmentazione tradizionale basata su firewall è progettata per prevenire gli attacchi esterni, l'azienda resta comunque vulnerabile alle minacce interne.
- Errori di configurazione: nelle architetture moderne è facile configurare le VLAN in modo errato, specialmente se si utilizzano provider di servizi cloud terzi e non è possibile modificare l'infrastruttura in modo autonomo.
- Gestione laboriosa: l'introduzione di nuovi dispositivi, app o modifiche implica la necessità di aggiornare le regole dei firewall, e anche le attività più banali, come la scansione delle vulnerabilità, richiedono più risorse.
- Controlli complessi: i metodi tradizionali non offrono controlli granulari, e di conseguenza è più complesso definire le policy di segmentazione per i lavoratori da remoto, i partner, i clienti e così via.
- Problemi di scalabilità: per gestire la crescita della rete, è necessario creare segmenti più piccoli o aggiornare quelli esistenti, con il conseguente incremento dei costi per la scalabilità e la manutenzione.
- Prestazioni scadenti: l'aggiunta di altri dispositivi di rete (ad esempio, firewall e router) ha un effetto negativo che danneggia le prestazioni complessive della rete.
ZTNA: un modo migliore per ottenere la segmentazione
La scalabilità, la flessibilità e la portata del cloud sono sempre più fondamentali per le aziende, e molte strategie pure di sicurezza della rete (come la segmentazione tradizionale) diventano impraticabili. È invece necessario un modello che non faccia affidamento sulla rete interna, con tutti i suoi rischi e le sue complessità.
Oggi, sono emersi nuovi approcci basati sullo ZTNA (Zero Trust Network Access), un'architettura costruita in base al concetto che nessun utente o dispositivo debba essere intrinsecamente considerato attendibile. Le policy di accesso si basano invece sul principio dei privilegi minimi, che prende in considerazione l'identità e il contesto, con fattori come il dispositivo, la posizione, l'applicazione e il contenuto.
Lo ZTNA collega gli utenti direttamente alle applicazioni su base uno a uno, senza mai collocarli sulla rete, eliminando di conseguenza il movimento laterale. Ciò consente di ottenere la segmentazione in un modo radicalmente diverso e più efficace, che risulterebbe impossibile con le VPN e i firewall legacy.
Vantaggi dello ZTNA rispetto alla segmentazione tradizionale
Rispetto alla segmentazione tradizionale, lo ZTNA:
- Fornisce un accesso adattativo, sensibile all'identità e preciso, senza fornire l'accesso alla rete, ed elimina l'attendibilità implicita, sostituendola con quella esplicita basata sull'identità.
- Non richiede alcuna connessione alla rete, quindi le applicazioni interne (indirizzi IP) non vengono mai esposte a Internet, e di conseguenza la superficie di attacco e il rischio vengono ridotti.
- Offre una segmentazione tra utente e app tramite policy di accesso granulari applicate sul cloud, anziché richiedere la configurazione di policy di accesso e regole firewall.
- Migliora la flessibilità, l'agilità e la scalabilità, riducendo al contempo la necessità di ricorrere a firewall interni. Lo ZTNA può essere fornito come servizio cloud o come software gestito on-premise.
- Consente l'accesso sicuro alle applicazioni per i dispositivi non gestiti e i partner esterni, mantenendo gli utenti fuori dalla rete e riducendo al minimo il rischio di proliferazione dei malware.
Zscaler e la segmentazione della rete
Zscaler Private Access™ è la piattaforma ZTNA più distribuita al mondo. Applicando il principio dei privilegi minimi, offre agli utenti una connettività sicura e diretta alle applicazioni private, senza sia necessario accedere alla rete.
Che ci si trovi nella fase di pianificazione o si stia utilizzando un modello di segmentazione tradizionale che si sta rivelando datato, con il nostro supporto è possibile ottenere una segmentazione avanzata sfruttando lo ZTNA. Ecco come iniziare:
- Sostituisci le VPN e i firewall con Zscaler Private Access per ridurre la superficie di attacco ed eliminare il movimento laterale con la segmentazione da utente ad app.
- Implementa la segmentazione da app ad app per applicare l'approccio ZTNA ai carichi di lavoro e alle applicazioni cloud negli ambienti ibridi e multicloud (tra cloud).
- Infine, implementa la microsegmentazione tra processi/basata sull'identità per la comunicazione all'interno di un cloud (est-ovest).
Risorse consigliate
-
Guida di mercato di Gartner allo ZTNA del 2022
Leggi la guida -
Guida all'adozione di un servizio ZTNA per gli architetti di rete
Leggi il white paper -
Porta la potenza dello ZTNA on-premise
Scopri di più -
Tecnologie ZTNA: cosa sono e come sceglierle
Leggi il blog