Segmentazione e micro-segmentazione della rete sono concetti radicalmente diversi nella protezione del traffico all’interno del network aziendale. La micro-segmentazione è difatti uno step in più, in quanto non si tratta di implementare solo una segmentazione nord-sud, ovvero dentro e fuori dalla rete, ma est-ovest, ossia attraverso il data center o la rete cloud: da server a server, da applicazione a server, e così via. In pratica, la microsegmentazione abilita un controllo di sicurezza più fine e ‘granulare’, facendo in modo che host contigui si parlino solo se si devono parlare e solo con il traffico effettivamente necessario.
Per capire meglio quale sia la differenza tra i due approcci, la segmentazione della rete può essere paragonata alle mura esterne e al fossato di un castello, mentre possiamo pensare alla micro-segmentazione come alle guardie che sorvegliano le porte delle sale interne. E’ chiaro che possiamo impedire l’accesso al castello o alle stanze, ma se qualcuno riesce ugualmente a far breccia, una volta che è dentro si muove all’interno del castello o della stanza come vuole. Se posso invece controllare le singole stanze, le singole porte fino ai singoli asset all’interno delle stanze e quindi come un individuo si muove all’interno della struttura, chiaramente si mette in atto un sistema difensivo molto più efficace e sicuro.
La micro-segmentazione non rappresenta un approccio alternativo o sostitutivo alla segmentazione della rete, bensì un’evoluzione che ne potenzia l’efficacia. Una volta segmentata la rete, l’adozione della micro-segmentazione consente di rafforzare ulteriormente le difese, migliorare la capacità di risposta e incrementare le possibilità di analisi. Inoltre, grazie all’impiego di soluzioni software-defined, viene ottimizzata anche l’operatività complessiva della strategia di sicurezza informatica.
Questo è possibile in quanto la segmentazione della rete tradizionale si fonda su regole firewall statiche basate sugli indirizzi IP. La micro-segmentazione lavora invece a livello di applicazione e in base all’identità dell’utente e agli attributi del dispositivo, offrendo un approccio alla sicurezza della rete dinamico e sensibile al contesto. La micro-segmentazione si adatta pertanto più facilmente alle reti moderne, sia con data center on-premise che negli ambienti multi-cloud. E’ in grado di adattarsi in maniera dinamica ai cambiamenti della configurazione di rete, ai dispositivi mobili, agli utenti e all’evoluzione delle minacce, fornendo un framework di sicurezza più robusto, flessibile ed efficace per ambienti IT odierni, senza richiedere i costanti aggiornamenti delle regole che la segmentazione tradizionale necessita.
Come funziona, dunque, la micro-segmentazione?
La micro-segmentazione riduce la superficie di attacco intervenendo direttamente sui dispositivi in uso, isolando i workload e le macchine virtuali e proteggendoli singolarmente. In questo modo, il traffico di rete viene suddiviso in modo granulare, aumentando la resistenza complessiva agli attacchi. Tale approccio consente inoltre di limitare la propagazione di eventuali compromissioni, impedendo a un aggressore di spostarsi da un’applicazione o da un workload compromesso ad altri sistemi.
La micro-segmentazione quindi è complementare alle VLAN, rafforzando i controlli su “chi parla con chi”. Dal punto di vista operativo, nel caso in cui una macchina in cloud debba essere accessibile da più dispositivi, l’applicazione della micro-segmentazione, in combinazione con strumenti di tipo Zero Trust Network Access (ZTNA), consente di incrementare il livello di sicurezza e di operare in modo più robusto ed efficiente dal punto di vista operativo.
Diversi sono quindi i vantaggi offerti dalla micro-segmentazione:
- Controllo centralizzato con gestione trasversale delle reti. Se infatti lo strumento che mi permette di micro segmentare la rete è uno strumento che controlla i movimenti e il traffico est-ovest, questo ha delle policy molto più definite che semplificano di molto la gestione di ciò che accade, fornendo una visibilità sull’attività di rete di gran lunga migliore.
- Policy di segmentazione che si adattano automaticamente. Con la micro-segmentazione le policy sono applicate ai carichi di lavoro e non all’hardware, e restano quindi invariate a prescindere da eventuali modifiche all’infrastruttura. Pertanto, nel caso in cui un utente venga copiato o clonato a partire da un utente già esistente, non è necessario verificare nuovamente tutti i percorsi di accesso. Diversamente dalla creazione di una nuova Access Control List (ACL), questa procedura risulta molto più semplice, poiché lo strumento impiegato eredita automaticamente i percorsi già definiti, semplificando così le attività di amministrazione.
- Protezione senza lacune, con massimo grado di operatività. L’esempio del cloud è particolarmente significativo: in questo contesto non sono più presenti lo strato IP, le VLAN o la rete tradizionale. Resta invece il dispositivo, che, grazie a strumenti di questo tipo, consente di monitorare e gestire in modo puntuale il traffico di rete.
Infine, dal momento che nella micro-segmentazione le policy di sicurezza sono specifiche per il carico di lavoro, e non per il segmento di rete, queste si applicano a cloud privati e pubblici, container, data center locali, ambienti cloud ibridi e sistemi operativi. Ne consegue inoltre che, trattandosi di una strategia mediata da software, la gestione è molto più agile e ne risultano semplificati anche gli audit.