La network segmentation o segmentazione della rete è un approccio architetturale che divide una rete in più segmenti o sottoreti, ognuno dei quali agisce come una propria piccola rete. Questo permette agli amministratori di rete di controllare il flusso di traffico tra le sottoreti in modo granulare, così da isolare e contenere rapidamente le minacce all’infrastruttura. In linea di principio, la segmentazione viene utilizzata per migliorare il monitoraggio, aumentare le prestazioni, localizzare i problemi tecnici e – soprattutto – aumentare la sicurezza.
Limitare le conseguenze delle intrusioni da parte degli autori degli attacchi
Con la segmentazione della rete è possibile ridurre notevolmente la superficie esposta agli attacchi e il personale addetto alla sicurezza della rete ha un potente strumento con cui impedire agli utenti non autorizzati, sia che si tratti di curiosi insider o di malintenzionati esterni, di accedere a risorse preziose di un’azienda. Oggi, il patrimonio di un’azienda, costituito da informazioni personali sui clienti, dati finanziari aziendali e proprietà intellettuale altamente riservata, si trova spesso sparso in ambienti ibridi e multi-cloud – cloud pubblici, cloud privati e reti definite dal software (SDN) – che devono essere protetti dagli attacchi. Ogni connessione di rete, sia che essa venga generata da servizi cloud, dipendenti da remoto, mobilità, Internet of Things (IoT) o altro, rappresenta un potenziale punto di accesso degli attacchi. La sfida consiste nel trovare un equilibrio tra l’accesso alla rete di cui necessitano utenti e dispositivi e il contenimento dei rischi.
L'approccio Zero-Trust
Per comprendere l’utilizzo della segmentazione della rete in termini di sicurezza, è necessario considerare il concetto di trust o fiducia.
In passato, gli architetti di rete si preoccupavano di indirizzare le loro strategie di sicurezza solo al perimetro della rete, la linea invisibile che separa il mondo esterno dai dati vitali per il business di un’azienda. Gli utenti all’interno del perimetro erano considerati degni di fiducia e, dunque, non una minaccia. Pertanto, erano soggetti a poche restrizioni riguardo alla loro capacità di accedere alle informazioni.
Si comprese in seguito che gli insider potevano effettivamente essere la fonte delle violazioni, spesso inavvertitamente ma a volte anche deliberatamente e potevano causare danni ingenti. Quando le minacce penetrano nel perimetro, infatti, sono libere di muoversi lateralmente nella rete per accedere virtualmente a qualsiasi asset, tra cui dato, applicazione, risorsa o servizio. Con un accesso praticamente illimitato, gli aggressori possono facilmente esfiltrare un’intera gamma di risorse preziose, prima ancora che la violazione venga rilevata.
Figura 1. Movimento laterale all’interno del perimetro.
Sempre più spesso oggi viene adottato l’approccio zero-trust, secondo cui, a priori, qualsiasi entità (device, servizio, applicazione, utente, amministratore) che chiede accesso alla rete o ad una sua risorsa, è ritenuto inaffidabile e potrebbe costituire un pericolo. Il suo accesso, pertanto, deve essere strettamente controllato.
Identificare i soggetti che cercano di accedere alla rete
La segmentazione della rete permette di inserire gli utenti nella categoria appropriata e applicare la policy corretta per soddisfare le esigenze di sicurezza dei dati e delle informazioni.
Con la strategia zero-trust si usa il principio di “superficie di protezione” costruita intorno agli asset più critici e preziosi dell’organizzazione. Poiché contiene solo ciò che è più critico per le operazioni aziendali, la superficie di protezione è di grandezza più piccola della superficie di attacco dell’intero perimetro di rete. Usando la segmentazione, gli architetti di rete possono costruire un microperimetro intorno alla superficie di protezione, formando essenzialmente una seconda linea di difesa. Gli utenti autorizzati possono accedere alle risorse all’interno della superficie di protezione, mentre tutti gli altri sono bloccati per impostazione predefinita.
La segmentazione è una cattiva notizia per gli aggressori perché la semplice penetrazione del perimetro non è sufficiente per ottenere l’accesso alle informazioni sensibili. I microperimetri, sia fisici che virtuali, impediscono alle minacce di muoversi lateralmente all’interno della rete, negando essenzialmente gran parte del lavoro che è stato fatto per creare la violazione iniziale (vedi figura 2).
Figura 2. La minaccia non può muoversi lateralmente grazie alla segmentazione della rete.
I servizi di Intellisync
Intellisync supporta il cliente nell’intero processo di creazione di perimetri all’interno della rete e nel rilevamento dei tentativi di intrusione e persistenza all’interno del perimetro, a prescindere dal vendor utilizzato.
