Cos'è la microsegmentazione?

La microsegmentazione è una tecnica di sicurezza software defined che suddivide l’ambiente applicativo e del datacenter in segmenti più piccoli e isolati al fine di proteggere i singoli carichi di lavoro, come un'applicazione su una macchina virtuale (VM) o in un container. La segmentazione della rete tradizionale mette principalmente in sicurezza il punto in cui la rete interna si connette a Internet. La microsegmentazione applica invece criteri di sicurezza granulari al traffico che si sposta all’interno della rete.

Qualora un hacker riuscisse a superare il punto di accesso iniziale, l'isolamento garantito dalla microsegmentazione gli impedirebbe di proseguire oltre e spostarsi tra i sistemi. Questo è uno degli aspetti chiave della sicurezza Zero Trust, un approccio alla sicurezza basato sul presupposto che ogni interazione all'interno del datacenter inizia in condizioni di non attendibilità e che ogni richiesta deve essere verificata in base a rigorose policy automatiche. 

Red Hat OpenShift per gli amministratori VMware

La microsegmentazione rafforza la sicurezza della rete proteggendo i singoli carichi di lavoro anziché un unico punto di accesso. Nei datacenter moderni, dove un carico di lavoro può essere una VM, un container o serverless, questo approccio va a integrare le difese perimetrali esistenti. Assicura infatti che, anche se la barriera di rete principale viene superata, ogni componente interno rimanga protetto dal proprio confine software defined.

Segmentazione della rete tradizionale e microsegmentazione

La segmentazione della rete tradizionale utilizza strumenti basati su hardware, come firewall e reti VLAN (Virtual Local Area Network). Questo approccio si concentra sulla sicurezza "nord-sud", ovvero sul traffico in entrata e in uscita dal datacenter attraverso un gateway principale. 

Il rischio risiede nel fatto che l’intero contenuto di uno specifico segmento viene considerato "affidabile". Un'applicazione e un database che sono sulla stessa rete VLAN possono comunicare senza restrizioni. Questo significa però che qualora un hacker riuscisse a eludere la sicurezza all'ingresso della rete e compromettesse uno dei due sistemi, anche l'altro sarebbe a rischio.

La microsegmentazione si concentra sul traffico "est-ovest", ovvero sulla comunicazione interna tra server e applicazioni. L'applicazione dei criteri di sicurezza avviene a livello del carico di lavoro e non dipende quindi dalla configurazione fisica della rete o VLAN a cui è connesso il server. È il software a definire la sicurezza in base all'identità del carico di lavoro. 

I principi della microsegmentazione

La microsegmentazione si basa su tre principi fondamentali per proteggere la rete:

• Isolamento: i carichi di lavoro sono tenuti separati a meno che una regola non ne consenta la comunicazione e questo contribuisce a creare un ambiente digitale sovrano. Ad esempio, è possibile isolare l'ambiente di sviluppo da quello di produzione pur eseguendoli sullo stesso hardware fisico.
• Controllo granulare: i team di sicurezza possono scrivere regole molto specifiche. Ad esempio, invece di limitarsi a definire la regola "Il server A può comunicare con il server B", i team possono scrivere una regola più articolata, come "Il web server può comunicare con il database solo tramite una porta specifica e solo per determinati tipi di dati".
• Principio del privilegio minimo: significa concedere a un carico di lavoro solo l'accesso minimo necessario per svolgere la propria funzione. Se un servizio non ha bisogno di connettersi ad altri sistemi, la microsegmentazione assicura che non possa farlo. 

Implementazione basata su software e guidata da policy

Le infrastrutture moderne sono in continua evoluzione ed è quindi impossibile garantire la sicurezza tramite impostazioni hardware manuali. Il ritmo con cui VM e container vengono creati e arrestati è tale da rendere impraticabile l'approccio manuale.

La microsegmentazione è basata su software e guidata da policy. I criteri di sicurezza vengono scritti sotto forma di codice. Quando si avvia una nuova VM o un nuovo container, il sistema lo riconosce e applica automaticamente i tag e le regole di sicurezza pertinenti. La sicurezza si adatta quindi al carico di lavoro, indipendentemente dal server fisico o dal cloud utilizzato.

Scopri di più sulle reti software defined

La microsegmentazione offre un livello di controllo e visibilità che è pressoché impossibile da ottenere con le reti tradizionali basate su hardware. Riportiamo i principali vantaggi della microsegmentazione per gli ambienti IT moderni:

Maggiore sicurezza e movimento laterale ridotto 

Il vantaggio più importante della microsegmentazione è la sua capacità di contenere le violazioni. In una rete non segmentata un hacker che riesce ad accedere a un sistema a bassa priorità è poi in grado di spostarsi liberamente verso i sistemi principali, come i database contenenti le informazioni sui clienti.

La microsegmentazione garantisce invece che, anche se un carico di lavoro viene compromesso, la minaccia rimanga isolata. L’attacco resta isolato all’interno di uno spazio digitale delimitato senza possibilità di comunicazione con gli altri componenti della rete.

Maggiore conformità e verificabilità

In settori altamente regolamentati, come finanza e sanità, la microsegmentazione, che permette ad esempio di isolare i sistemi che utilizzano dati sensibili dal resto della rete, aiuta a garantire la conformità.

Dato che i criteri di sicurezza sono software defined, i revisori possono facilmente verificare le autorizzazioni di accesso di ciascun utente e dimostrare in dettaglio che i dati sensibili sono protetti in conformità alle normative vigenti. 

Maggiore visibilità e controllo sul traffico di rete

Proteggere ciò che non si conosce è impossibile. Gli strumenti di microsegmentazione offrono visibilità approfondita sul traffico "est-ovest" e consentono ai team di sicurezza di osservare in tempo reale come interagiscono le diverse applicazioni e i servizi. Così facendo è possibile identificare i comportamenti anomali che potrebbero indicare una minaccia alla sicurezza o un ostacolo alle prestazioni.

Adattabilità agli ambienti IT moderni

Le regole di sicurezza tradizionali sono spesso legate a posizioni fisiche, come un indirizzo IP o una specifica porta hardware. Negli ambienti cloud native, dove i container vengono avviati e arrestati in continuo, queste posizioni cambiano costantemente. 

La microsegmentazione non è vincolata all'ambiente. I criteri di sicurezza sono associati al carico di lavoro e non all'hardware di rete e quindi la protezione rimane coerente a prescindere da dove si esegue il carico di lavoro (datacenter locale, cloud privato, cloud pubblico, ecc.).

Gestione semplificata con l'automazione

In un ambiente moderno e microsegmentato, i criteri di sicurezza sono automatizzati. Quando si distribuisce una nuova applicazione, questa eredita automaticamente i criteri di sicurezza necessari in base al suo ruolo. In questo modo si riduce il lavoro di configurazione manuale a carico degli amministratori e si diminuisce l'errore umano.

Scopri come configurare l'accesso alla rete con la microsegmentazione

Dato che permette di eseguire più VM su un unico server fisico, per anni la virtualizzazione è stata la tecnologia leader per incrementare l'efficienza dei datacenter. Il passaggio ad ambienti virtualizzati ha però generato anche nuove vulnerabilità. I ​​firewall hardware tradizionali, infatti, non sono in grado di monitorare il traffico tra due VM presenti sullo stesso host fisico. 

Senza visibilità interna, i team di sicurezza faticano a identificare e bloccare i movimenti laterali dannosi. Inoltre, con la transizione alle architetture cloud native e all'utilizzo combinato di VM e container, tutelare ciascun componente diventa ancora più complesso. 

Limiti della segmentazione tradizionale negli ambienti virtualizzati

La segmentazione tradizionale si basa sull'instradamento del traffico in uscita dall'host virtuale, attraverso un firewall fisico e nuovamente in entrata verso l'host virtuale per l'ispezione. È un metodo inefficiente per proteggere un ambiente scalabile perché crea ostacoli notevoli e latenza. Inoltre, in un ambiente virtualizzato dinamico gli indirizzi IP e le posizioni cambiano frequentemente e le regole basate su hardware sono troppo rigide per stare al passo.

In che modo la microsegmentazione supporta l'infrastruttura scalabile

Disaccoppiando sicurezza e infrastruttura fisica, la microsegmentazione aiuta a risolvere le inefficienze. Anziché instradare il traffico verso un firewall centrale, l'applicazione dei criteri di sicurezza avviene a livello dell'interfaccia di rete di ciascuna VM o container. 

Questo assicura: 

• Prestazioni scalabili: poiché i controlli di sicurezza avvengono localmente all'interno del livello virtualizzato, non è necessario sottoporre il traffico interno a un lungo ciclo affinché raggiunga dispositivi esterni.
• Coerenza tra gli ambienti: la microsegmentazione offre un metodo unificato per gestire i criteri di sicurezza nell'intera infrastruttura e per qualsiasi tipologia di componente (VM tradizionale, container moderno ecc.).
• Mobilità: quando una VM passa da un host fisico a un altro, il perimetro di sicurezza si trasferisce automaticamente con la VM stessa.

Integrando la sicurezza direttamente nel livello della virtualizzazione, la microsegmentazione garantisce la scalabilità rapida dell'infrastruttura senza esporre i sistemi interni.

La microsegmentazione è più efficace quando applicata a specifici obiettivi aziendali. Gli scenari più diffusi sono: 

• Sicurezza degli ambienti di cloud ibrido: aiuta a proteggere le applicazioni eseguite tra ambienti on premise e soluzioni cloud di provider diversi applicando criteri di sicurezza coerenti.
• Conformità normativa: consente di isolare i sistemi che gestiscono dati finanziari o sanitari sensibili (come numeri di carta di credito o cartelle cliniche) per soddisfare i rigorosi requisiti di audit senza dover isolare l'intera rete.
• Protezione di sviluppo e produzione: garantisce che un bug o una falla di sicurezza in un ambiente di test non possano propagarsi all'ambiente di produzione in cui risiedono i dati dei clienti. 

La microsegmentazione offra notevoli vantaggi, ma il passaggio da un modello di rete tradizionale a uno microsegmentato richiede un'attenta pianificazione.

Sfide comuni

• Complessità iniziale: nelle organizzazioni di grandi dimensioni avvengono migliaia di comunicazioni ogni istante. Mappare queste connessioni per stabilire le autorizzazioni di ciascun sistema può essere complesso.
• Gestione delle policy: al progressivo aumento dei segmenti corrisponde l’incremento del numero di policy. Senza gli strumenti adeguati, gestire migliaia di regole di sicurezza rischia di essere impraticabile per gli amministratori umani.
• Integrazione con gli strumenti esistenti: la microsegmentazione deve lavorare in sinergia con l'infrastruttura e lo stack di sicurezza esistenti, senza causare problemi di prestazioni o rischi nascosti.

Procedure consigliate

Le best practice riportate di seguito aiutano a superare le sfide legate alla microsegmentazione e a garantirne un'adozione senza intoppi:

• Scegli un approccio graduale: non completare la microsegmentazione dell'intero datacenter dall'oggi al domani. Introducila iniziando da un'applicazione specifica o da un determinato ambiente. Perfeziona il processo di scrittura delle policy utilizzando questi primi passaggi.
• Assegna priorità alle risorse critiche: comincia da applicazioni che utilizzano i dati sensibili dei clienti o che hanno una rilevanza critica per le operazioni aziendali.
• Automatizza laddove possibile: l'approccio manuale ostacola la scalabilità. Utilizza strumenti capaci di individuare gli schemi nel traffico e suggerire i criteri di sicurezza. Solo attraverso l'automazione la sicurezza riuscirà a tenere il passo dell'ambiente IT.
• Implementa il monitoraggio continuo: assicurati di monitorare costantemente il traffico di rete per identificare nuovi schemi nelle comunicazioni e adattare le policy in linea con l’evoluzione delle applicazioni. 

Red Hat offre un approccio moderno e modulare alla microsegmentazione al fine di ridurre la complessità ed evitare il fenomeno dello shelfware, ovvero il mancato utilizzo di risorse software. Due rischi che si accompagnano spesso alle sottoscrizioni proprietarie. Red Hat® OpenShift® Virtualization permette di gestire VM e container in maniera coerente utilizzando un'unica piattaforma. In questo modo le aziende ottengono un'infrastruttura scalabile senza essere vincolate a pagare per funzionalità di cui non hanno bisogno. 

Basata su standard open source, Red Hat OpenShift è una piattaforma applicativa che supporta l'architettura Zero Trust e permette di applicare policy di rete granulari a livello dei carichi di lavoro. Questo significa che ogni VM e container è isolato per impostazione predefinita e quindi protetto anche dalle minacce interne. 

Red Hat offre soluzioni di sicurezza flessibili che si integrano perfettamente nell'ambiente in uso, ma pronte anche alle sfide future, senza i costi aggiuntivi di una suite tradizionale vincolata a un fornitore specifico. 

Scopri come trasferire le VM da VMware a Red Hat