La microsegmentazione è una tecnica che consente di suddividere una rete in segmenti separati a livello applicativo, allo scopo di aumentare la sicurezza e ridurre l'impatto di una violazione.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Sicurezza Zero Trust
Che cos'è ZTNA?
Principio del privilegio minimo
Sicurezza "castello e fossato"
Cos'è una minaccia interna?
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
La microsegmentazione divide una rete in sezioni piccole e discrete, ognuna delle quali ha i propri criteri di sicurezza a cui si accede separatamente. L'obiettivo della microsegmentazione è aumentare la sicurezza della rete confinando le minacce e le violazioni al segmento compromesso, senza influire sul resto della rete.
Le navi di grandi dimensioni sono spesso suddivise in compartimenti sottocoperta, ognuno dei quali è a tenuta stagna e può essere sigillato dagli altri. In questo modo, anche se una perdita riempie un compartimento d'acqua, il resto dei compartimenti rimane asciutto e la nave rimane a galla. Il concetto di microsegmentazione di rete è molto simile: un segmento della rete può essere compromesso, ma può essere facilmente isolato dal resto della rete.
La microsegmentazione è un componente chiave di un'architettura Zero Trust. Tale architettura presuppone che qualsiasi traffico in entrata, in uscita o all'interno di una rete possa rappresentare una minaccia. La microsegmentazione consente di isolare tali minacce prima che si diffondano, impedendo lo spostamento laterale.
Le organizzazioni possono microsegmentare sia i datacenter locali sia le distribuzioni di cloud computing, ovvero qualsiasi luogo in cui vengono eseguiti i carichi di lavoro. Server, macchine virtuali, container e microservizi possono essere segmentati in questo modo, ciascuno con la propria policy di sicurezza.
La microsegmentazione può avvenire a livelli estremamente granulari in una rete, fino all'isolamento di singoli carichi di lavoro (anziché isolare applicazioni, dispositivi o reti), dove per "carico di lavoro" si intende qualsiasi programma o applicazione che utilizzi una certa quantità di memoria e CPU.
Le tecniche per la microsegmentazione di una rete variano leggermente. Ma alcuni principi chiave sono quasi sempre validi:
Le soluzioni di microsegmentazione sono consapevoli delle applicazioni che inviano traffico sulla rete. La microsegmentazione fornisce il contesto in cui le applicazioni comunicano tra loro e in che modo scorre il traffico di rete tra di esse. Questo è uno degli aspetti che differenzia la microsegmentazione dalla suddivisione di una rete mediante reti locali virtuali (VLAN) o un altro metodo a livello di rete.
La microsegmentazione viene configurata tramite software. La segmentazione è un processo virtuale, quindi gli amministratori non devono modificare i router, gli switch o altre apparecchiature di rete per implementarla.
La maggior parte delle soluzioni di microsegmentazione utilizza firewall di nuova generazione (NGFW) per separare i propri segmenti. A differenza dei tradizionali firewall, gli NGFW sono dotati di consapevolezza delle applicazioni, il che consente loro di analizzare il traffico di rete a livello di applicazione, non solo a livello di rete e di trasporto.
Inoltre, i firewall basati su cloud possono essere utilizzati per microsegmentare le distribuzioni di cloud computing. Alcuni provider di cloud hosting offrono questa possibilità utilizzando i loro servizi firewall integrati.
Se lo desiderano, gli amministratori possono personalizzare i criteri di sicurezza per ciascun carico di lavoro. Un carico di lavoro può consentire un accesso ampio, mentre un altro può essere fortemente limitato, a seconda dell'importanza del carico di lavoro in questione e dei dati che elabora. Un carico di lavoro può accettare query API da una gamma di endpoint; un altro può comunicare solo con un server specifico.
La registrazione di rete tipica fornisce informazioni sul livello di rete e di trasporto, come porte e indirizzi IP. La microsegmentazione fornisce anche il contesto dell'applicazione e del carico di lavoro. Monitorando tutto il traffico di rete e aggiungendo il contesto dell'applicazione, le organizzazioni possono applicare in modo coerente criteri di segmentazione e sicurezza su tutte le loro reti. Fornisce inoltre le informazioni necessarie per adattare i criteri di sicurezza in base alle esigenze.
La microsegmentazione impedisce alle minacce di diffondersi nell'intera rete, limitando i danni causati da un attacco informatico. L'accesso degli aggressori è limitato e per questo potrebbero non essere in grado di accedere a dati riservati.
Ad esempio, una rete con carichi di lavoro in esecuzione in un datacenter microsegmentato può contenere decine di zone separate e protette. Un utente con accesso a una zona necessita di un'autorizzazione separata per ciascuna delle altre zone. Ciò riduce al minimo i rischi di escalation dei privilegi (quando un utente ha troppo accesso) e di minacce interne (quando gli utenti compromettono consapevolmente o inconsapevolmente la sicurezza dei dati riservati).
Come altro esempio, supponiamo che un container abbia una vulnerabilità. Un malintenzionato sfrutta questa vulnerabilità tramite codice dannoso e può quindi modificare i dati all'interno del container. In una rete protetta solo sul perimetro, l'autore dell'attacco potrebbe spostarsi lateralmente in altre parti della rete, aumentare i privilegi ed eventualmente estrarre o alterare dati di grande valore. In una rete microsegmentata, l'autore dell'attacco probabilmente non potrà farlo senza trovare un punto di ingresso separato.
Zero Trust è una filosofia e un approccio alla sicurezza di rete che presuppone che le minacce siano già presenti sia all'interno che all'esterno di un ambiente sicuro. Molte organizzazioni stanno adottando un'architettura Zero Trust per prevenire gli attacchi e ridurre al minimo i danni derivanti dagli attacchi riusciti.
Sebbene la microsegmentazione sia una componente fondamentale della strategia Zero Trust, non è l'unica. Altri principi Zero Trust includono:
Per scoprire come Cloudflare aiuta le organizzazioni a implementare questi componenti, leggi di più sulla piattaforma Cloudflare Zero Trust.