Cosa si intende per segmentazione zero trust?

Un modello di sicurezza zero trust si basa sui principi della microsegmentazione. La policy viene applicata ai carichi di lavoro, non ai segmenti di rete, in modo da impedire totalmente l'assegnazione di attendibilità a tutte le risorse per cui non è possibile stabilire un contesto sufficiente, indipendentemente dalla posizione. Ad esempio, in un modello zero trust, soprattutto se con base cloud, un'azienda potrebbe stabilire che i dispositivi medici possono interagire solo con altri dispositivi medici. Leggi di più .

Zpedia

/ Che cos'è la microsegmentazione?

Che cos'è la microsegmentazione?

Q: Microsegmentazione e segmentazione della rete a confronto

Microsegmentazione Segmentazione della rete La microsegmentazione, invece, indica il traffico est-ovest, ovvero il traffico che si muove attraverso il data center o la rete cloud, da server a server, da applicazione a server e così via. In poche parole, la segmentazione della rete può essere paragonata alle mura esterne e al fossato di un castello, mentre la microsegmentazione alle guardie che ne sorvegliano tutte le porte interne. Il termine segmentazione della rete descrive nello specifico il traffico nord-sud (ossia il traffico che entra ed esce dalla rete). Con la segmentazione della rete, un'entità, ad esempio un utente, una volta all'interno di una zona designata della rete, viene ritenuta attendibile.

Q: Le caratteristiche della microsegmentazione

Ecco alcuni dei vantaggi tecnici della microsegmentazione: Controlli di sicurezza e gestione centralizzati su tutte le reti Policy di segmentazione che si adattano automaticamente Protezione continua Leggi di più .

Q: I vantaggi della microsegmentazione per le aziende

Una sicurezza IT e di rete proattiva La microsegmentazione rimuove gli ostacoli alla sicurezza tipici della segmentazione tradizionale, creando policy a livello di applicazione che viaggiano con tutte le app e i servizi. Di conseguenza, le potenziali violazioni dei dati sono limitate alle risorse interessate, e non all'intera rete. Alcuni servizi di microsegmentazione offrono persino funzionalità che sfruttano l'automazione per identificare tutti i software in comunicazione, consigliare policy zero trust e consentirne l'applicazione in un solo clic. Vulnerabilità ridotta Invece di utilizzare controlli statici basati sugli indirizzi IP, sulle porte e sui protocolli, i team possono creare crittograficamente delle impronte digitali per ciascun carico di lavoro e fornire una protezione uniforme per i carichi di lavoro presenti in un data center interno o sul cloud. La creazione di impronte digitali svincola la sicurezza dei carichi di lavoro dai costrutti degli indirizzi IP, e consente così di evitare i problemi legati ai controlli di questo tipo. Valutazione continua del rischio La microsegmentazione consente di quantificare l'esposizione al rischio misurando in automatico la superficie di attacco visibile della rete, per capire quanti sono i percorsi di comunicazione delle applicazioni in uso. Alcuni servizi controllano anche le identità dei software ogni volta che viene richiesta una comunicazione, attenuando i rischi, supportando gli obblighi di conformità alle normative e fornendo report visivi per comprendere il rischio. Leggi di più .

La microsegmentazione è una tecnica di sicurezza informatica che consente alle organizzazioni di gestire al meglio l'accesso alla rete tra le risorse (ad esempio da server a server/traffico est-ovest). Identificando in modo univoco ogni singola risorsa (come server, applicazione, host o utente), l'organizzazione è in grado di configurare le autorizzazioni e di ottenere un controllo granulare sul traffico dati. Combinata con un approccio zero trust, la microsegmentazione aiuta a prevenire il movimento laterale delle minacce, la compromissione dei workload e le violazioni dei dati.

Leggi "Nozioni di base sulla microsegmentazione"

Zero Trust Sicurezza sul cloud

Perché è importante
Microsegmentazione e segmentazione della rete a confronto
Come funziona
Gli approcci tradizionali
Caratteristiche/Vantaggi
Cosa può fare Zscaler
Risorse suggerite
Domande frequenti
Argomenti correlati

Perché la microsegmentazione è importante

La microsegmentazione consente all'IT di basare le policy e le autorizzazioni sull'identità delle risorse, ed è il metodo ideale per creare raggruppamenti intelligenti in base alle caratteristiche dei singoli workload che comunicano all'interno del data center. In combinazione con i controlli di accesso basati sul principio dei privilegi minimi, questa tecnica consente di proteggere al meglio le applicazioni e i dati critici di un'organizzazione, in quanto rafforza in modo significativo il profilo di sicurezza generale.

Inoltre, la microsegmentazione non si basa su reti che cambiano in modo dinamico o sui vincoli aziendali o tecnici imposti su queste ultime; ciò significa che è più robusta e affidabile per la sicurezza della rete. È infatti un componente fondamentale di un framework ZTNA (Zero Trust Network Access), un modello che ha dimostrato di riuscire a semplificare il controllo degli accessi.

Inoltre, è molto più semplice da gestire: è infatti possibile proteggere un segmento con poche policy basate sull'identità, invece che con centinaia di regole firewall basate sugli indirizzi.

Microsegmentazione e segmentazione della rete a confronto

Sebbene i concetti di segmentazione della rete e microsegmentazione vengano spesso utilizzati in modo intercambiabile, sono in realtà radicalmente diversi.

La segmentazione della rete è utile soprattutto per il traffico nord-sud (dentro e fuori da una rete). Le organizzazioni, in genere, creano segmenti di rete tramite VLAN o firewall, in cui i segmenti (zone) sono basati sulla regione geografica o sui livelli di rete esistenti: dati, applicazioni o rete. Con la segmentazione della rete, un'entità (come ad esempio un utente), una volta all'interno di una determinata zona, viene considerata attendibile.

La microsegmentazione, invece, si rivela particolarmente utile per il traffico est-ovest (attraverso il data center o la rete cloud: da server a server, da applicazione a server ecc.). In poche parole, la segmentazione della rete può essere paragonata alle mura esterne e al fossato di un castello, mentre la microsegmentazione alle guardie che sorvegliano le porte delle sale interne.

Come funziona la microsegmentazione

Le soluzioni di microsegmentazione creano zone sicure che consentono alle aziende di isolare i workload o le macchine virtuali e proteggerli singolarmente. Sono progettate per consentire una partizione granulare del traffico di rete, per fornire una maggiore resistenza agli attacchi informatici.

Nel nostro mondo iperconnesso, la microsegmentazione è diventata centrale in qualsiasi strategia di sicurezza moderna ed efficace. Sfruttando un approccio che include policy di microsegmentazione, i team IT e i responsabili della sicurezza sono in grado di adattare le impostazioni rispetto a diversi tipi di traffico, creando controlli che limitano i flussi di rete e di applicazioni tra i vari workload a quelli espressamente consentiti.

Applicando le regole di segmentazione a livello di workload o di applicazione, l'IT è in grado di ridurre la superficie di attacco e, di conseguenza, il rischio che un aggressore passi da un'applicazione o da un workload compromesso a un altro.

I casi d'uso della microsegmentazione

La microsegmentazione è fondamentale per rispondere con successo a diversi casi d'uso comuni nelle aziende, tra cui:

Migrazione al cloud: la microsegmentazione può accelerare e semplificare l'adozione del cloud, consentendo una connettività diretta e sicura per i workload cloud e garantendo comunicazioni sicure di questi ultimi all'interno dell'infrastruttura multicloud.
Fusioni e acquisizioni: la microsegmentazione semplifica le attività di integrazione che seguono le operazioni di fusione e acquisizione, consentendo l'accesso trasversale alle applicazioni su reti diverse senza connettere le reti stesse. Gli amministratori possono quindi definire un profilo di sicurezza universale per proteggere i workload tra diversi VPC, regioni e cloud pubblici.
Infrastruttura desktop virtuale: la microsegmentazione aiuta a proteggere la VDI fornita attraverso un'infrastruttura cloud, consentendo l'applicazione di precise policy di controllo degli accessi per applicazioni private e siti esplicitamente consentiti.
Segmentazione dei workload: la microsegmentazione offre alle organizzazioni un controllo granulare della connettività per i workload cloud in VPC/VNet, regioni o cloud pubblici diversi.

La microsegmentazione va oltre la segmentazione tradizionale

La microsegmentazione offre un approccio alla sicurezza della rete dinamico e sensibile al contesto. Mentre la segmentazione della rete di tipo tradizionale si fonda su regole firewall statiche basate sugli indirizzi IP, la microsegmentazione lavora a livello di applicazione e in base all'identità dell'utente e degli attributi del dispositivo. Dato che le policy di microsegmentazione non sono legate a indirizzi IP specifici, si adattano più facilmente alle reti moderne, sia nei data center on-premise che negli ambienti multicloud.

Se da un lato la segmentazione tradizionale richiede aggiornamenti costanti delle regole, la microsegmentazione, invece, è in grado adattarsi dinamicamente ai cambiamenti della configurazione di rete, ai dispositivi mobili, agli utenti e all'evoluzione delle minacce. Tenendo conto del comportamento degli utenti, del contesto delle app e molto altro, la microsegmentazione fornisce un framework di sicurezza più robusto, flessibile ed efficace per gli ambienti IT di oggi.

Perché gli approcci di segmentazione legacy non funzionano

Gli approcci alla segmentazione basati sugli indirizzi di rete non sono in grado di identificare le entità che stanno comunicando, ad esempio non riescono a rilevare l'identità del software. Possono solo vedere il modo in cui la comunicazione ha luogo, ad esempio l'indirizzo IP, la porta o il protocollo da cui proviene la "richiesta". Ciò significa che le comunicazioni vengono consentite se sono considerate "sicure", anche se i team IT e di sicurezza non conoscono esattamente le entità che stanno cercando di comunicare.

Inoltre, una volta che un'entità si trova all'interno di una "zona sicura" sulla rete, viene automaticamente considerata attendibile, e questo accresce il rischio di subire violazioni e, in una rete piatta, il rischio di movimento laterale.

Caratteristiche e vantaggi della microsegmentazione

Alcuni dei vantaggi tecnici e delle caratteristiche della microsegmentazione includono:

Controlli centralizzati della sicurezza e gestione trasversale delle reti: dato che la microsegmentazione gestisce il traffico est-ovest anziché il traffico nord-sud, le policy rispondono efficacemente a qualsiasi tipo di traffico che si muove attraverso i segmenti che governano. Dato che le policy sono più definite, si ottiene una visibilità sull'attività di rete di gran lunga maggiore rispetto a quella fornita attraverso la segmentazione della rete.
Policy di segmentazione che si adattano automaticamente: le policy vengono applicate ai carichi di lavoro, e non all'hardware, quindi rimangono invariate, indipendentemente dalle modifiche apportate all'infrastruttura. Ciò significa che i team addetti alla sicurezza IT possono estendere un set di controlli ovunque, senza rischiare periodi di inattività.
Protezione senza lacune: le policy di sicurezza si applicano a cloud privati e pubblici, container, data center locali, ambienti cloud ibridi e sistemi operativi, perché la policy è specifica per il workload, non per il segmento di rete.
Audit più semplici: dato che la microsegmentazione identifica in modo univoco ciascuna risorsa, offre una visibilità significativamente migliore rispetto ad altri approcci, rendendo gli audit di conformità molto più rapidi e facili da condurre.

Testimonianza

Alcuni fornitori sono specializzati esclusivamente nella microsegmentazione. In ogni caso, la soluzione dovrebbe supportare il requisito in costante crescita della microsegmentazione basata sull'identità (una segmentazione più granulare, basata su software, chiamata anche segmentazione di rete zero trust) del traffico est-ovest nei data center.

Neil MacDonald e Tom Croll, Gartner Market Guide to Cloud Workload Protection, aprile 2020

I vantaggi della microsegmentazione per le aziende

Sicurezza proattiva in ambito IT e di rete

La microsegmentazione rimuove gli ostacoli alla sicurezza tipici della segmentazione tradizionale, creando policy sensibili alle applicazioni che viaggiano insieme a tutte le app e i servizi. Di conseguenza, le potenziali violazioni dei dati sono limitate alle risorse interessate, e non all'intera rete. I servizi microsegmentazione più efficaci offrono funzionalità che sfruttano l'automazione per identificare tutti i software in comunicazione, consigliare policy zero trust e consentirne l'esecuzione in un solo clic.

Vulnerabilità ridotta

Invece di utilizzare controlli statici basati sugli indirizzi IP, sulle porte e sui protocolli, i team possono creare crittograficamente delle impronte digitali per ciascun carico di lavoro e fornire una protezione uniforme per i carichi di lavoro presenti in un data center interno o sul cloud. La creazione di impronte digitali svincola la sicurezza dei carichi di lavoro dai costrutti degli indirizzi IP, consentendo così di evitare i problemi tipici dei controlli di questo tipo.

Valutazione continua del rischio

La microsegmentazione consente di quantificare l'esposizione al rischio misurando in automatico la superficie di attacco visibile della rete, per capire quanti sono i percorsi di comunicazione delle applicazioni in uso. Alcuni servizi controllano anche le identità dei software ogni volta che viene richiesta una comunicazione, attenuando i rischi, supportando gli obblighi di conformità alle normative e fornendo report visivi per comprendere il rischio.

Le best practice per una microsegmentazione di successo

Come si fa quindi a concretizzare questi vantaggi? Le linee guida saranno diverse a seconda del settore, degli obblighi normativi e altro, ma alcune best practice generali dovrebbero far parte di qualsiasi piano di microsegmentazione di successo:

Creare policy di accesso dettagliate e granulari con privilegi minimi in base alla sensibilità a livello di applicazione, alle identità degli utenti e agli attributi del dispositivo, limitando l'accesso solo alle risorse necessarie a un utente o entità.
Integrare sistemi di gestione delle identità e degli accessi (IAM) per garantire che le policy siano in linea con i ruoli e le autorizzazioni degli utenti.
Implementare procedure continue e in tempo reale di monitoraggio e audit del traffico di rete oltre all'applicazione delle policy per rilevare anomalie o violazioni.
Utilizzare strumenti automatizzati per implementare e adattare le policy in risposta ai cambiamenti nella configurazione della rete o nel profilo di sicurezza.
Eseguire controlli di sicurezza periodici e test di penetrazione e conservare una documentazione dettagliata, per garantire che le policy siano sempre efficaci e ottimali per la risoluzione dei problemi e i report in conformità alle normative.

La segmentazione zero trust

Un modello di sicurezza zero trust si fonda sui principi della microsegmentazione. La policy viene applicata ai workload, non ai segmenti di rete, in modo da poter controllare in modo granulare l'accesso a qualsiasi risorsa e in qualsiasi posizione in mancanza di un contesto sufficiente a stabilire la connessione.

Ad esempio, con un modello zero trust, e in particolare in modalità cloud, un'azienda potrebbe impostare una policy per stabilire che i dispositivi medici possono comunicare solo con altri dispositivi medici. Se un dispositivo endpoint o un carico di lavoro dovesse spostarsi, le policy e gli attributi di sicurezza si sposterebbero con esso, in tempo reale.

Molti provider di servizi di sicurezza sul cloud promettono di offrire lo zero trust con base cloud, ma è una promessa che non sono in grado di mantenere. È solo uno il provider che può offrire una sicurezza zero trust completa e nativa del cloud, in grado di proteggere la rete, le applicazioni e i dati sensibili dalle sofisticate minacce informatiche di oggi.

Cosa può fare Zscaler

Zscaler Workload Communications offre un approccio moderno alla protezione delle applicazioni e dei workload sul cloud. Sfruttando una connettività cloud zero trust sicura per i workload, consente di eliminare la superficie di attacco della rete, bloccare il movimento laterale delle minacce, evitare la compromissione dei workload e prevenire la perdita dei dati sensibili.

Workload Communications utilizza la piattaforma Zscaler Zero Trust Exchange™ per proteggere i workload cloud, consentendo all'organizzazione di bloccare gli accessi malevoli implementando una sicurezza basata sull'attendibilità esplicita, che considera elementi come identità, profili di rischio, posizione e analisi comportamentale.

La prevenzione delle minacce con l'ispezione SSL profonda intensifica la potenza delle difese informatiche. Inoltre, sfruttando la protezione informatica fornita sul cloud, le policy di sicurezza risultano più facili da configurare, gestire e mantenere. Eliminare la superficie di attacco della rete adottando al contempo un'efficace protezione zero trust non è mai stato così semplice.

Elimina il movimento laterale, riduci i costi operativi e la complessità e garantisci la protezione uniforme contro le minacce e la tutela dei dati con Zscaler Workload Communications.

Risorse suggerite

Connettività zero trust sul cloud

Visita la pagina web

Zscaler Workload Communications

Consulta la scheda tecnica

Microsegmentazione zero trust: si basa tutto sui dati

Leggi il blog

Zscaler Private Access

Visita la nostra pagina web

01 / 02

FAQ