Cos'è la microsegmentazione?

La microsegmentazione è una tecnica che consente di suddividere una rete in segmenti separati a livello applicativo, allo scopo di aumentare la sicurezza e ridurre l'impatto di una violazione.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire la microsegmentazione
  • Spiegare come la microsegmentazione migliora la sicurezza
  • Descrivere come la microsegmentazione si inserisce in un'architettura Zero Trust

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è la microsegmentazione?

La microsegmentazione divide una rete in sezioni piccole e discrete, ognuna delle quali ha i propri criteri di sicurezza a cui si accede separatamente. L'obiettivo della microsegmentazione è aumentare la sicurezza della rete confinando le minacce e le violazioni al segmento compromesso, senza influire sul resto della rete.

Le navi di grandi dimensioni sono spesso suddivise in compartimenti sottocoperta, ognuno dei quali è a tenuta stagna e può essere sigillato dagli altri. In questo modo, anche se una perdita riempie un compartimento d'acqua, il resto dei compartimenti rimane asciutto e la nave rimane a galla. Il concetto di microsegmentazione di rete è molto simile: un segmento della rete può essere compromesso, ma può essere facilmente isolato dal resto della rete.

La microsegmentazione è un componente chiave di un'architettura Zero Trust. Tale architettura presuppone che qualsiasi traffico in entrata, in uscita o all'interno di una rete possa rappresentare una minaccia. La microsegmentazione consente di isolare tali minacce prima che si diffondano, impedendo lo spostamento laterale.

Dove si verifica la microsegmentazione?

Le organizzazioni possono microsegmentare sia i datacenter locali sia le distribuzioni di cloud computing, ovvero qualsiasi luogo in cui vengono eseguiti i carichi di lavoro. Server, macchine virtuali, container e microservizi possono essere segmentati in questo modo, ciascuno con la propria policy di sicurezza.

La microsegmentazione può avvenire a livelli estremamente granulari in una rete, fino all'isolamento di singoli carichi di lavoro (anziché isolare applicazioni, dispositivi o reti), dove per "carico di lavoro" si intende qualsiasi programma o applicazione che utilizzi una certa quantità di memoria e CPU.

Come funziona la microsegmentazione?

Le tecniche per la microsegmentazione di una rete variano leggermente. Ma alcuni principi chiave sono quasi sempre validi:

Visibilità a livello di applicazione

Le soluzioni di microsegmentazione sono consapevoli delle applicazioni che inviano traffico sulla rete. La microsegmentazione fornisce il contesto in cui le applicazioni comunicano tra loro e in che modo scorre il traffico di rete tra di esse. Questo è uno degli aspetti che differenzia la microsegmentazione dalla suddivisione di una rete mediante reti locali virtuali (VLAN) o un altro metodo a livello di rete.

Processi basati su software, non su hardware

La microsegmentazione viene configurata tramite software. La segmentazione è un processo virtuale, quindi gli amministratori non devono modificare i router, gli switch o altre apparecchiature di rete per implementarla.

Utilizzo di firewall di nuova generazione (NGFW)

La maggior parte delle soluzioni di microsegmentazione utilizza firewall di nuova generazione (NGFW) per separare i propri segmenti. A differenza dei tradizionali firewall, gli NGFW sono dotati di consapevolezza delle applicazioni, il che consente loro di analizzare il traffico di rete a livello di applicazione, non solo a livello di rete e di trasporto.

Inoltre, i firewall basati su cloud possono essere utilizzati per microsegmentare le distribuzioni di cloud computing. Alcuni provider di cloud hosting offrono questa possibilità utilizzando i loro servizi firewall integrati.

I criteri di sicurezza variano a seconda dei segmenti

Se lo desiderano, gli amministratori possono personalizzare i criteri di sicurezza per ciascun carico di lavoro. Un carico di lavoro può consentire un accesso ampio, mentre un altro può essere fortemente limitato, a seconda dell'importanza del carico di lavoro in questione e dei dati che elabora. Un carico di lavoro può accettare query API da una gamma di endpoint; un altro può comunicare solo con un server specifico.

Visibilità di tutto il traffico di rete

La registrazione di rete tipica fornisce informazioni sul livello di rete e di trasporto, come porte e indirizzi IP. La microsegmentazione fornisce anche il contesto dell'applicazione e del carico di lavoro. Monitorando tutto il traffico di rete e aggiungendo il contesto dell'applicazione, le organizzazioni possono applicare in modo coerente criteri di segmentazione e sicurezza su tutte le loro reti. Fornisce inoltre le informazioni necessarie per adattare i criteri di sicurezza in base alle esigenze.

In che modo la microsegmentazione migliora la sicurezza?

La microsegmentazione impedisce alle minacce di diffondersi nell'intera rete, limitando i danni causati da un attacco informatico. L'accesso degli aggressori è limitato e per questo potrebbero non essere in grado di accedere a dati riservati.

Ad esempio, una rete con carichi di lavoro in esecuzione in un datacenter microsegmentato può contenere decine di zone separate e protette. Un utente con accesso a una zona necessita di un'autorizzazione separata per ciascuna delle altre zone. Ciò riduce al minimo i rischi di escalation dei privilegi (quando un utente ha troppo accesso) e di minacce interne (quando gli utenti compromettono consapevolmente o inconsapevolmente la sicurezza dei dati riservati).

Come altro esempio, supponiamo che un container abbia una vulnerabilità. Un malintenzionato sfrutta questa vulnerabilità tramite codice dannoso e può quindi modificare i dati all'interno del container. In una rete protetta solo sul perimetro, l'autore dell'attacco potrebbe spostarsi lateralmente in altre parti della rete, aumentare i privilegi ed eventualmente estrarre o alterare dati di grande valore. In una rete microsegmentata, l'autore dell'attacco probabilmente non potrà farlo senza trovare un punto di ingresso separato.

Quali sono gli altri componenti di una rete Zero Trust?

Zero Trust è una filosofia e un approccio alla sicurezza di rete che presuppone che le minacce siano già presenti sia all'interno che all'esterno di un ambiente sicuro. Molte organizzazioni stanno adottando un'architettura Zero Trust per prevenire gli attacchi e ridurre al minimo i danni derivanti dagli attacchi riusciti.

Sebbene la microsegmentazione sia una componente fondamentale della strategia Zero Trust, non è l'unica. Altri principi Zero Trust includono:

  • Monitoraggio e convalida continui: nessun dispositivo o utente viene considerato automaticamente attendibile, nemmeno quelli che sono già stati autenticati. Gli accessi e le connessioni scadono periodicamente, verificando continuamente utenti e dispositivi
  • Principio del privilegio minimo: gli utenti hanno accesso solo ai sistemi e ai dati assolutamente necessari
  • Controllo degli accessi al dispositivo: l'accesso al dispositivo viene monitorato e limitato proprio come l'accesso degli utenti
  • Autenticazione a più fattori (MFA): l'autenticazione avviene utilizzando almeno due fattori di identità, invece di basarsi solo su password, domande di sicurezza o altri metodi basati sulla conoscenza

Per scoprire come Cloudflare aiuta le organizzazioni a implementare questi componenti, leggi di più sulla piattaforma Cloudflare Zero Trust.

Informazioni sulla gestione degli accessi