La microsegmentazione è un’opzione sempre più presa in considerazione nella progettazione delle architetture IT delle aziende impegnate a sviluppare la digitalizzazione del loro business. Questa disciplina è concettualmente un’evoluzione della tradizionale segmentazione delle reti IT, un’attività attuata da diversi decenni dai responsabili di networking attraverso la suddivisione delle reti principali in sottoreti (subnet), che permettono a determinati scambi di richieste e trasmissioni di dati fra risorse It di non percorrere tutte le reti aziendali nel loro complesso. Grazie alla segmentazione in sottoreti, gli amministratori di rete e i responsabili della sicurezza possono garantire agli utenti e agli host appartenenti alle singole subnet le migliori prestazioni offerte dai software e dagli hardware utilizzati e, allo stesso tempo, implementare strategie dedicate di access control e sicurezza.
Programmabilità e controllo centralizzato
La creazione delle sottoreti con gli approcci di networking tradizionale necessita di molto lavoro manuale: all’inizio di progettazione del network e di pianificazione della sua implementazione, e quindi di installazione e configurazione ad uno ad uno dei diversi apparati di rete (switch, access point, gateway, router) e di sicurezza (in particolare i firewall). Per queste ragioni, fino all’avvento delle tecnologie software-defined networking (SDN), la segmentazione è stata attuata sempre in modo più parco possibile da parte degli amministratori.
Le tecnologie di software-defined networking consentono, negli ambienti IT già sufficientemente virtualizzati, di centralizzare la creazione, la gestione, il monitoraggio e la sicurezza della segmentazione delle reti. Il tutto via software. Per questo motivo oggi si parla di “programmabilità” della network segmentation e del networking e della security più in generale. Non solo. Grazie alla maggiore facilità e rapidità con cui il SDN consente di segmentare le reti, ha iniziato a diffondersi la tecnica della microsegmentazione (microsegmentation). Alla base sta il riconoscimento dei suoi vantaggi ai fini di un migliore sfruttamento delle prestazioni delle risorse IT presenti all’interno di ambienti omogenei (per utenti, workload, device, ecc) e della sicurezza. Quanto a quest’ultima, la microsegmentazione è vantaggiosa perché riduce le superfici di attacco da parte di hacker e malware, e permette l’applicazione di regole e policy di sicurezza granulari e una maggiore controllo dei traffici cosiddetti East-West, o orizzontali, fra microsegmenti. Sempre a proposito di security, un altro importante vantaggio offerto dalle nuove tecnologie di microsegmentazione è quello di poter abbinare – già in fase di sviluppo applicativo (per questo è importante la creazione di team di development e operation che collaborano fra loro, anche in un’ottica di DevOps)
Pro e contro della microsegmentation sfide cloud
Non c’è un unico modo di implementare e gestire la microsegmentazione. Per quanto riguarda gli ambienti datacenter, le principali sono due:
- la prima è l’installazione di soluzioni di SDN fornite dai vendor di tecnologie per la virtualizzazione e per la creazione di private cloud;
- la seconda è l’acquisto di firewall di nuova generazione (Next generation firewall, NGFW) che includono funzionalità per la microsegmentazione e per la creazione e l’enforcement di regole e policy di sicurezza.
È possibile adottare contemporaneamente le due modalità. Il rischio insito nell’”innamoramento” per la microsegmentation è la complessità della gestione di ambienti con centinaia o migliaia di microsegmenti con, al loro interno, workload o virtual machine, ciascuno con peculiari set di security rule, ma che devono comunicare con altri applicativi e VM di altri microsegmenti. Da una parte, quindi, bisogna evitare la cosiddetta overmicrosegmentation, che rischia di rendere difficoltoso mantenere coerenza e controllo ottimale su un’architettura; dall’altra è consigliabile rivolgersi a soluzioni che offrano le migliori funzionalità di automazione, orchestrazione e – possibilmente – machine learning (ML). Sempre di più in futuro l’intelligenza artificiale (AI) avrà un ruolo importante anche nella gestione della microsegmentazione.
Siccome, come si suol dire, l’appetito vien mangiando, oggi le aziende mirano a usufruire dei vantaggi della microsegmentazione anche nell’ambito delle architetture hybrid cloud, in cui esistono workload che operano con elementi in parte all’interno della rete aziendale e in parte sui server di Cloud service provider (CSP) come Amazon Web Service (AWS), Microsoft Azure o Google. Ciascuno di questi provider già utilizza per proprio conto tecnologie di microsegmentation finalizzate a garantire la maggiore sicurezza possibile ai propri clienti pur in un ambiente multi-tenant per definizione (come è un public cloud).
Hybrid cloud e microsegmentazione a Zero Trust
Con il diffondersi delle architetture cloud ibride, per automatizzare l’implementazione di strategie di sicurezza gli esperti consigliano una microsegmentazione granulare per avere visibilità su traffico di rete, carichi di lavoro e configurazioni applicative.
Così facendo la strategia di segmentazione aderisce ai principi Zero Trust (che in sintesi consistono in un approccio studiato per contrastare le minacce che si muovono attraverso le reti partendo dal concetto che ci si fida mai e si verifica sempre) e le imprese possono proteggere meglio i dati.
La microsegmentazione Zero Trust fa si che gli aggressori non possano usare connessioni non approvate né spostarsi lateralmente da un’applicazione o un sistema compromesso indipendentemente dall’ambiente. Eliminando potenzialmente i movimenti laterali, un modello di microsegmentazione Zero Trust diminuisce anche il rischio di un utente che è riuscito ad avere illegalmente l’accesso a una risorsa all’interno di un centro dati o di un ambiente cloud.