Nel campo della sicurezza informatica, la microsegmentazione è una best practice che aiuta a controllare e limitare l'accesso alla rete da un carico di lavoro all'altro nei datacenter o negli ambienti cloud di un'organizzazione.
La segmentazione non è una novità, anzi: in ambito IT si ricorre alla pratica della segmentazione di reti e applicazioni ormai da tempo. La segmentazione di una rete, per esempio, serve a dividerla in più segmenti per ridurre la superficie di attacco e garantire che in caso di violazione di un host su un particolare segmento, gli host sugli altri segmenti non vengano compromessi.
La differenza fra microsegmentazione e segmentazione a livello di dati o di applicazioni sta nel livello di precisione: utilizzando la tecnologia di virtualizzazione della rete anziché una serie di firewall fisici, l'IT può segmentare la rete in base alle singole condivisioni di dati o ai singoli carichi di lavoro, per poi implementare controlli di sicurezza basati su policy specifici per ciascun segmento. In questo modo, all'interno del datacenter e degli ambienti cloud vengono create zone sicure ben definite che riducono al minimo il raggio d'azione degli attacchi, aumentando così la sicurezza generale dell'organizzazione e migliorando la difesa dagli aggressori.
Oggi la microsegmentazione è sempre più usata: con la maggiore diffusione del cloud, infatti, è necessaria non solo la separazione assoluta dei dati e dei carichi di lavoro, ma anche l'adozione di policy unificate. La microsegmentazione è poi in grado di offrire ulteriori garanzie nell'implementazione di alcuni carichi di lavoro che difficilmente possono essere protetti al 100% con la classica sicurezza perimetrale, come per esempio nel caso dei container. Un altro esempio sono i carichi di lavoro cloud‑nativi: hanno in genere indirizzi IP dinamici, per cui creare regole basate sugli indirizzi IP non sarebbe efficace.
Come funziona la microsegmentazione?
Per proteggere le proprie reti le organizzazioni ricorrevano in passato alla sicurezza perimetrale, ossia a una serie di protocolli e dispositivi di sicurezza in grado di monitorare il traffico tra client e server o i dati trasmessi alla rete da una fonte esterna (o viceversa). Tutto ciò che si trovava all'interno della rete era considerato generalmente affidabile, e i dati potevano muoversi lateralmente tra i vari carichi di lavoro, senza che fosse necessario un monitoraggio capillare.
Con la diffusione del cloud, però, quasi tutto il traffico all'interno delle organizzazioni è diventato laterale (ossia da carico di lavoro a carico di lavoro), e quindi non controllato dalla sicurezza perimetrale. La microsegmentazione isola i vari carichi di lavoro, e attraverso una serie di policy e regole stabilisce se due carichi di lavoro possono accedere ai dati l'uno dell'altro.
Grazie alla microsegmentazione, gli amministratori IT possono separare i carichi di lavoro al fine di ridurre o azzerare gli eventuali danni causati da un attacco laterale (ossia un tipo di attacco che, a differenza di un attacco perimetrale, proviene dall'interno della rete). Questo significa che se anche un malintenzionato riuscisse a superare la sicurezza perimetrale, il sistema sarebbe comunque protetto dalle minacce da server a server.
I controlli di sicurezza nella microsegmentazione si dividono in tre categorie principali:
- Agenti software o altre soluzioni basate su agenti: il team IT può utilizzare un agente software che si sovrappone ai carichi di lavoro e ai sistemi segmentati. Alcune di queste soluzioni analizzano gli attributi dei carichi di lavoro per stabilire come isolarli, altre si affidano invece al firewall integrato nel carico di lavoro;
- Controlli basati sulla rete: creano e implementano policy sfruttando l'infrastruttura di rete fisica o virtuale, come le reti software‑defined (SDN), gli switch e i bilanciatori del carico;
- Controlli cloud integrati: in questo tipo di soluzioni il sistema sfrutta i controlli nativi offerti da un fornitore di servizi cloud, come per esempio Amazon Security Group di AWS, o i firewall integrati.
Cos'è la sicurezza Zero Trust?
Nella microsegmentazione, i controlli di sicurezza si basano solitamente sul privilegio minimo e l'architettura “a fiducia zero” (in inglese Zero Trust Architecture, o ZTA). Al contrario degli approcci di sicurezza tradizionali, il modello di sicurezza Zero Trust non parte dall'assunto che gli utenti all'interno di uno stesso sistema di rete siano necessariamente affidabili, e consente loro di accedere solo ai sistemi, alle informazioni e alle applicazioni di cui hanno bisogno, mantenendoli isolati da tutto il resto. Questo permette di limitare allo stretto necessario il movimento laterale di dati tra sistemi e applicazioni.
In un modello Zero Trust, insomma, entrare nella rete di un'organizzazione dalla porta principale o accedere al sistema non significa essere automaticamente in grado di poter mettere le mani su qualunque cosa. Gli utenti devono invece essere continuamente autenticati e autorizzati per accedere a dati e applicazioni specifici all'interno del sistema.
L'approccio Zero Trust alla sicurezza è oggi sempre più diffuso anche a causa di tre importanti fattori: 1) l'aumento vertiginoso di gravi violazioni dei dati in tutti i settori; 2) il passaggio a modelli di lavoro da remoto e ibridi avvenuto negli ultimi anni; e 3) lo spostamento di risorse nel cloud, che ha contribuito a sfumare e allargare il perimetro di sicurezza, un tempo chiaramente delimitato dal datacenter. Secondo le stime di Gartner, entro il 2025 il 60% delle organizzazioni adotterà questo modello rispetto agli approcci di sicurezza tradizionali.
Zero Trust e microsegmentazione a confronto
Secondo molti esperti, la microsegmentazione è la tecnologia alla base delle pratiche di sicurezza Zero Trust, o Zero Trust Network Access (ZTNA). I due approcci alla sicurezza sono indissolubilmente legati: è infatti la microsegmentazione a consentire il modello Zero Trust. I carichi di lavoro sono segmentati in maniera estremamente precisa e dettagliata, e i principi di “fiducia zero” garantiscono che nessuno possa accedervi senza autenticazione e autorizzazione volontaria o coattiva. Se un carico di lavoro viene compromesso, l'organizzazione ha comunque la ragionevole certezza che la minaccia non potrà colpire altri carichi di lavoro, utenti e risorse attraverso movimenti laterali.
Quali sono i vantaggi della microsegmentazione?
Oltre a ridurre o prevenire la minaccia di attacchi laterali all'interno dei sistemi di un'organizzazione, la microsegmentazione può fornire all'IT delle indicazioni preziose sui carichi di lavoro più importanti da proteggere. Di seguito sono indicati alcuni tra i molteplici vantaggi della microsegmentazione.
Riduzione della superficie di attacco
La superficie di attacco di un'organizzazione è costituita da tutti i punti attraverso i quali un malintenzionato può introdursi nella sua rete. Questi punti, chiamati vettori di attacco, possono corrispondere a qualsiasi cosa: applicazioni, API, password e credenziali degli utenti, dati non criptati, e persino utenti stessi.
La microsegmentazione consente di isolare tutti questi punti l'uno dall'altro, in modo che se anche un aggressore penetra nel sistema, potrà accedere soltanto a una porzione molto ridotta dell'intera rete. La superficie di attacco si riduce così alle dimensioni di un singolo microsegmento.
La microsegmentazione offre inoltre all'IT la possibilità di avere un quadro dettagliato e completo della rete dell'organizzazione, senza che questo influisca sulle prestazioni o causi downtime imprevisti. La microsegmentazione consente inoltre agli sviluppatori di app di definire policy e controlli di sicurezza già durante la fase di sviluppo, contribuendo così a prevenire la creazione di nuove vulnerabilità dovute a un'implementazione o a un aggiornamento.
Contenimento più efficace delle violazioni
Grazie ai microsegmenti e a policy dettagliate, i team IT e quelli addetti alla sicurezza possono monitorare in modo più efficace i dati in transito attraverso la rete. È possibile inoltre individuare gli attacchi, mitigare le minacce o rispondere alle aggressioni più rapidamente e in maniera più efficiente. Poiché i microsegmenti sono isolati l'uno dall'altro, la violazione è limitata al singolo microsegmento compromesso: ciò significa che le violazioni non possono diffondersi lateralmente e colpire altre aree della rete.
Migliore conformità alle normative
Rispetto alla protezione di informazioni meno critiche, la protezione di dati regolamentati tende a essere più impegnativa perché esistono molti requisiti da rispettare in fatto di archiviazione, accesso, gestione e utilizzo. La microsegmentazione consente alle organizzazioni di creare e attuare policy per ciascun carico di lavoro con un controllo molto più granulare sulle modalità di accesso e utilizzo dei dati. Le policy stesse permettono di favorire il rispetto delle normative, mentre l'isolamento da altri carichi di lavoro contribuisce a garantire una migliore attuazione degli obblighi di conformità.
Gestione semplificata delle policy
Alcune soluzioni di microsegmentazione sono dotate di strumenti integrati utili a semplificare la gestione delle policy, grazie a funzioni capaci di individuare automaticamente le applicazioni sulla rete e di consigliare diversi tipi e livelli di policy in base al funzionamento dell'applicazione o del sistema.
Protezione dei carichi di lavoro critici
Alcuni carichi di lavoro sono più critici di altri per l'attività di un'organizzazione. Grazie al carattere granulare della microsegmentazione, il team IT può assicurarsi che i carichi di lavoro più importanti e preziosi possano beneficiare della protezione più efficace attraverso la creazione di policy e controlli di sicurezza su misura definiti dall'organizzazione.
Come viene implementata la microsegmentazione?
Man mano che l'architettura Zero Trust e la microsegmentazione prendono piede, emergono anche best practice per l'implementazione. Il primo aspetto da tenere a mente è che si tratta di un processo, e la tua organizzazione deve chiedersi se è pronta per questo genere di percorso.
Prima di passare all'implementazione, è opportuno che il tuo team IT conosca (e usi già) la segmentazione di rete in generale. Inoltre è importante disporre già di una policy di sicurezza chiara, poiché servirà da punto di partenza per capire come separare le risorse di rete le une dalle altre.
Potrebbe essere necessario anche analizzare approfonditamente l'infrastruttura e assicurarsi di avere piena visibilità sui flussi di traffico delle applicazioni e della rete. In questa fase è necessario capire quali dispositivi, applicazioni e altri carichi di lavoro sono in esecuzione sulla rete e determinare i flussi di dati di ciascuno.
Una volta stabilito quali carichi di lavoro sono eseguiti sulla rete, bisognerà decidere cosa può o non può fare ciascuno di essi. È a questo punto che andranno create le policy per ciascun microsegmento.
Al momento di effettuare la microsegmentazione vera e propria, gli esperti di eSecurityPlanet suggeriscono quattro approcci principali:
- Network fabric: questo approccio comporta un raddoppio della network fabric, il che significa integrare verticalmente hardware e software per una visibilità e una gestione più tempestive delle infrastrutture microsegmentate. È la soluzione più efficace nei datacenter;
- Hypervisor: le policy possono essere applicate al traffico dati attraverso una rete anche tramite un hypervisor, o gestore di macchine virtuali. Questo approccio è utile a eliminare il fastidioso compito di gestire gli aggiornamenti e il patching dei software su ogni singola macchina;
- Protezione degli endpoint da parte di terzi: per alcune organizzazioni, affidare la protezione degli endpoint a un vendor esterno può rivelarsi una scelta azzeccata. Questo metodo è basato su agenti ed è in grado di assicurare la protezione delle policy in tempo reale;
- Firewall di nuova generazione: considerati il metodo di implementazione più avanzato, i firewall di nuova generazione offrono una protezione solida che comprende controlli delle applicazioni, rilevamento e prevenzione delle intrusioni, e ispezione approfondita dei pacchetti. Inizialmente questo approccio non era stato pensato per il cloud, ma alcuni vendor offrono ormai anche firewall come servizio (Firewall‑as‑a‑Service).
Use case per la microsegmentazione
- Gestione del cloud ibrido: possibilità di creare controlli e policy di sicurezza coerenti, nonché di beneficiare di una solida protezione non solo nel datacenter, ma anche su varie piattaforme cloud.
- Separazione dei sistemi di produzione e di sviluppo: la microsegmentazione non si limita a separare i due ambienti, ma consente anche di creare policy per un isolamento più rigoroso.
- Maggiore sicurezza per i dati e le risorse sensibili: le risorse sensibili, fra cui le informazioni riservate sui clienti o sull'azienda e la proprietà intellettuale, sono tutelate da un ulteriore livello di protezione contro i malintenzionati interni all'organizzazione.
- Risposta agli incidenti: la microsegmentazione limita la possibilità di sferrare attacchi attraverso un movimento laterale. La maggior parte delle soluzioni di microsegmentazione è dotata inoltre di funzionalità di logging integrate, che garantiscono ai team addetti alla sicurezza una maggiore visibilità sugli attacchi e sulle azioni successive.
Conclusioni
Il cloud è entrato prepotentemente nel mondo aziendale e continua a sovvertirne le regole. In un contesto come questo, è più che mai fondamentale capire come funziona la sicurezza in questi ambienti e trovare gli strumenti e le pratiche giuste per proteggere adeguatamente dati, applicazioni, sistemi e altre risorse.
Un aspetto importante della sicurezza nel cloud è la microsegmentazione, che consente un approccio alla sicurezza di tipo Zero Trust – e il cui utilizzo è destinato inevitabilmente a crescere nei prossimi anni.
Nutanix conosce le sfide legate alla protezione dei dati e delle risorse nel cloud. Siamo inoltre sostenitori del modello di sicurezza Zero Trust e offriamo diverse soluzioni che aiutano le organizzazioni a ridurre la superficie di attacco, a garantire e mantenere la conformità normativa anche in un panorama in costante evoluzione, e ad affrontare e prevenire in modo più efficiente le violazioni dei dati.