Desideri saperne di più? Visita la nostra pagina su Zscaler Private Access.
Prima di andare avanti, è bene spiegare la differenza tra segmentazione della rete e microsegmentazione.
La segmentazione della rete è più indicata per il traffico nord-sud (verso l'esterno), mentre la microsegmentazione aggiunge un livello di protezione per il traffico est-ovest (da server a server, da app a server, da web a server e così via). Un'analogia comune paragona la segmentazione della rete al fossato e alle mura esterne di un castello, mentre la microsegmentazione può essere paragonabile alle guardie che controllano le porte di ogni sala interna del castello.
La segmentazione costituisce una modalità di difesa proattiva, che offre vantaggi significativi rispetto alla sicurezza reattiva.
Con la sicurezza reattiva, i team devono prima analizzare una compromissione, quindi gestirne le conseguenze; questa è un'operazione macchinosa e costosa, e può comunque comportare la perdita di dati, problemi di conformità e danni all'immagine pubblica.
È impossibile da ignorare: le organizzazioni di tutto il mondo continuano a subire violazioni dei dati. Secondo Risk Based Security, solo nel 2021, 4145 organizzazioni hanno rivelato pubblicamente di aver subito violazioni che hanno esposto più di 22 miliardi di record.
Si tratta di un indicatore chiaro che invece di reagire agli attacchi, è necessario concentrarsi sulla prevenzione, affrontando i rischi potenziali e le vulnerabilità prima che queste ultime possano essere sfruttate. La segmentazione della rete è uno dei metodi più comuni attualmente adottati per rispondere a tale esigenza.
Tradizionalmente, ci sono sempre state due tipologie basilari di segmentazione della rete:
Qual è lo scopo della segmentazione della rete? In poche parole, ti consente di:
Qualunque sia lo schema utilizzato da un'organizzazione, una rete segmentata offre alcuni evidenti vantaggi rispetto a una rete piatta senza gerarchia o sottoreti. Questi vantaggi includono:
Per implementare e mantenere un modello di segmentazione della rete efficace, ecco cinque best practice da seguire:
All'inizio, molte organizzazioni tendono a effettuare una segmentazione eccessiva delle loro reti. Ciò può ridurre la visibilità complessiva sulla rete e rendere la gestione ancora più difficile. Al contempo è anche importante non ridurre eccessivamente la segmentazione, altrimenti la superficie di attacco potrebbe rimanere troppo estesa, danneggiando il profilo di sicurezza.
La segmentazione è ottima per migliorare la sicurezza della rete, ma è efficace solo se abbinata a un controllo costante per verificare che le vulnerabilità siano azzerate, che le autorizzazioni siano limitate e che gli aggiornamenti siano installati. In particolare, la verifica dei segmenti assicura che non vi siano gap sfruttabili nella copertura e che qualsiasi rischio associato alla rete sia stato mitigato, per far sì che l'azienda anticipi sempre gli aggressori.
L'accesso a privilegi minimi determina il successo della gestione generale degli accessi, ed è fondamentale quando si effettua la segmentazione della rete. Applicando questo principio a tutti i segmenti della rete, garantisci agli utenti, agli amministratori di rete e al team di sicurezza che l'accesso sarà consentito solo quando necessario. Questo è il motivo per cui l'accesso a privilegi minimi è fondamentale per l'approccio ZTNA.
L'accesso di utenti terzi comporta già di per sé un rischio elevato, ed è importante autorizzarlo solo quando è strettamente necessario, soprattutto se lo si concede a diversi segmenti della rete. La segmentazione riduce il rischio complessivo associato alla rete, ma questo non equivale a concedere l'autorizzazione a terzi in modo indiscriminato senza considerare l'effetto sul profilo di sicurezza.
La segmentazione della rete offre all'organizzazione una serie di preziose opportunità per estendere l'automazione. Oltre ai vantaggi dell'automazione in generale, come l'aumento della visibilità, la riduzione del tempo medio di correzione (MTTR) e il miglioramento della sicurezza, l'automazione della segmentazione della rete consente di identificare e classificare rapidamente nuove risorse e dati, e rappresenta quindi un'altra best practice nell'ambito della segmentazione.
Ciò che è evidente è che, nelle architetture di rete complesse di oggi, che sono distribuite su più cloud e data center, i vecchi modelli di segmentazione basati su firewall e VLAN presentano alcuni gravi limiti.
I firewall tradizionali hanno un difetto che è in totale contrasto con l'obiettivo della segmentazione: creano reti piatte che consentono facili spostamenti laterali. Cercare di compensare questa situazione è quasi impossibile dal punto di vista operativo. Nonostante tutte le loro funzionalità aggiuntive, i firewall di nuova generazione continuano a collocare gli utenti sulla rete per farli accedere alle applicazioni. Le VLAN presentano lo stesso limite.
Un approccio tradizionale porta ai seguenti problemi:
La scalabilità, la flessibilità e la portata del cloud sono sempre più fondamentali per le aziende, e molte strategie pure di sicurezza della rete (come la segmentazione tradizionale) diventano impraticabili. È invece necessario un modello che non faccia affidamento sulla rete interna, con tutti i suoi rischi e le sue complessità.
Oggi, sono emersi nuovi approcci basati sullo ZTNA (Zero Trust Network Access), un'architettura costruita in base al concetto che nessun utente o dispositivo debba essere intrinsecamente considerato attendibile. Le policy di accesso si basano invece sul principio dei privilegi minimi, che prende in considerazione l'identità e il contesto, con fattori come il dispositivo, la posizione, l'applicazione e il contenuto.
Lo ZTNA collega gli utenti direttamente alle applicazioni su base uno a uno, senza mai collocarli sulla rete, eliminando di conseguenza il movimento laterale. Ciò consente di ottenere la segmentazione in un modo radicalmente diverso e più efficace, che risulterebbe impossibile con le VPN e i firewall legacy.
Rispetto alla segmentazione tradizionale, lo ZTNA:
Zscaler Private Access™ è la piattaforma ZTNA più distribuita al mondo. Applicando il principio dei privilegi minimi, offre agli utenti una connettività sicura e diretta alle applicazioni private, senza sia necessario accedere alla rete.
Che ci si trovi nella fase di pianificazione o si stia utilizzando un modello di segmentazione tradizionale che si sta rivelando datato, con il nostro supporto è possibile ottenere una segmentazione avanzata sfruttando lo ZTNA. Ecco come iniziare:
Desideri saperne di più? Visita la nostra pagina su Zscaler Private Access.
Guida di mercato di Gartner allo ZTNA del 2022
Leggi la guidaGuida all'adozione di un servizio ZTNA per gli architetti di rete
Leggi il white paperPorta la potenza dello ZTNA on-premise
Scopri di piùTecnologie ZTNA: cosa sono e come sceglierle
Leggi il blog