La micro-segmentazione della rete rappresenta il fondamento di un modello di cybersecurity Zero Trust. L’approccio Zero Trust Network Access (ZTNA) si basa infatti sull’adozione di strumenti applicati direttamente ai workload (carichi di lavoro) — come server o processi — piuttosto che ai tradizionali segmenti di rete, consentendo di controllare e limitare l’accesso ai dispositivi attraverso policy granulari e coerenti con l’architettura di sicurezza. Questo approccio agile e dinamico alla sicurezza dei dati e delle attività che passano dalla rete aziendale permette di controllare in modo granulare l’accesso a qualsiasi risorsa e in qualunque posizione. In modalità cloud, ad esempio, una determinata policy potrebbe stabilire che dispositivi medici possano comunicare solo con altri dispositivi medici. Se quindi in caso di necessità un device, o un carico di lavoro, dovesse spostarsi, policy e attributi si sposterebbero con esso in tempo reale.
Questo approccio consente di gestire in modo efficiente tutti i flussi di traffico in ingresso e in uscita dall’azienda, non limitandosi alla tradizionale logica nord-sud (dentro e fuori dalla rete), ma includendo anche i movimenti est-ovest all’interno del data center o degli ambienti cloud (movimenti laterali). In questo modo, sistemi e host adiacenti possono comunicare tra loro solo quando strettamente necessario e limitatamente al traffico indispensabile. In questo modo, ogni host di una infrastruttura micro segmentata è attentamente controllato e governato, ostacolando e impedendo qualsiasi tipo di attività malevola all’interno della rete.
Rispetto dunque alla tradizionale segmentazione della rete, un sistema Zero Trust fornisce un accesso adattivo, sensibile all’identità e preciso. Sensibile all’identità nel senso che il sistema sa chi sta accedendo, sa cosa deve fare quell’utente e ne impedisce qualsiasi altro movimento. In questo modo è possibile prevenire i movimenti laterali di eventuali hacker che tentino di muoversi all’interno del network di un’organizzazione. L’approccio ZTNA basato sulla micro-segmentazione è mediato direttamente dal dispositivo: i sistemi ZTNA prevedono infatti l’installazione di un agente sull’host, che viene orchestrato centralmente e non richiede una connessione diretta alla rete. Di conseguenza, le informazioni di rete — come gli indirizzi IP — non vengono mai esposte su Internet, riducendo in modo significativo la superficie di attacco e, di riflesso, il rischio informatico.
A fare da padrone e dettare legge in questo tipo di approccio è il workload, offrendo una segmentazione tra utenti e applicazioni. Non è pertanto più la macchina, il sistema operativo, la rete, la vlan, ma è il workload stesso che si intende segmentare a fungere da driver di questo tipo di segmentazione. Ne consegue che uno strumento ZTNA è sicuramente più scalabile e agile, oltreché più facilmente gestibile, specie in presenza di infrastrutture gigantesche. Riducendo al contempo la necessità di fare ricorso a firewall interni.
Uno strumento ZTNA può essere fornito come servizio cloud o come software gestito in modalità on-premise. In Netech abbiamo implementato diversi strumenti di questo tipo, con tempi di implementazione che a volte possono essere più lunghi in caso si debba intervenire su reti non perfettamente strutturate. Con il risultato, però, di agevolare e snellire moltissimo il traffico di rete e le impostazioni e policy di sicurezza una volta che tutto è impostato. In un caso specifico abbiamo ad esempio proceduto alla sostituzione della VPN con dei sistemi SASE – Secure Access Service Edge, tipologia di architettura che unifica funzioni di rete e di sicurezza in una sola piattaforma.
L’accesso sicuro alle applicazioni, supportato da un controllo granulare e flessibile dei workload, rappresenta quindi il fulcro di qualsiasi strategia Zero Trust. Questo approccio offre inoltre il vantaggio di abilitare un accesso protetto alle applicazioni anche da dispositivi non gestiti e da parte di partner esterni, mantenendo gli utenti non autorizzati al di fuori della rete e riducendo al minimo il rischio di diffusione del malware.