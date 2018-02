La microsegmentazione è un metodo per creare zone sicure nei data center e nelle implementazioni cloud che consente alle aziende di isolare i carichi di lavoro gli uni dagli altri e proteggerli individualmente. Il suo obiettivo è rendere la sicurezza della rete più granulare.

Per la segmentazione della rete le aziende si sono affidate per anni a firewall, reti locali virtuali e liste di controllo accessi (Acl). Con la microsegmentazione, le politiche vengono applicate ai singoli carichi di lavoro per una maggiore resistenza agli attacchi.

Microsegmentazione anziché Vlan

Dove le Vlan consentonosì una segmentazione, ma tutto sommato grossolana, la microsegmentazione consente una segmentazione più fine.

I firewall tradizionali, i sistemi antintrusione (Ips) e altri sistemi di sicurezza sono progettati per ispezionare e proteggere il traffico che entra nel data center in direzione nord-sud.

La microsegmentazione fornisce alle aziende un maggiore controllo sulla crescente quantità di comunicazione "est-ovest" o laterale che avviene tra i server, aggirando gli strumenti di sicurezza incentrati sul perimetro. In caso di violazioni, la microsegmentazione limita la potenziale esplorazione laterale delle reti da parte degli hacker.

La maggior parte delle aziende ha messo tutti gli strumenti di sicurezza ad alto valore nel cuore del data center. E così il traffico che si sposta da nord a sud deve passare attraverso quei firewall. Se si muove da est a ovest, sta aggirando questi strumenti. Si potrebbero mettere i firewall in ogni punto di interconnessione, ma ciò sarebbe proibitivamente costoso. E neanche molto agile.

Con la microsegmentazione i professionisti IT possono adattare le impostazioni di sicurezza ai diversi tipi di traffico, creando policy che limitano i flussi di rete e di applicazioni tra i carichi di lavoro a quelli esplicitamente consentiti. In questo modello di sicurezza un'azienda potrebbe stabilire una politica, ad esempio, secondo la quale i dispositivi medici possono parlare solo con altri dispositivi medici.

E se un dispositivo o un carico di lavoro si muove, i criteri e gli attributi di sicurezza si spostano con esso. L'obiettivo è ridurre la superficie d'attacco della rete: applicando regole di segmentazione fino al carico di lavoro o all'applicazione, l'It può ridurre il rischio che un aggressore si sposti da un carico di lavoro compromesso o da un'applicazione all' altra.

Un altro fattore determinante è l'efficienza operativa. Gli elenchi di controllo degli accessi, le regole di routing e i criteri firewall possono diventare poco complessi e introdurre un sacco di spese generali di gestione, rendendo le politiche difficili da scalare in ambienti in rapido cambiamento. La microsegmentazione avviene tipicamente nel software, il che facilita la definizione dei segmenti a grana fine.

E con la microsegmentazione, l'It può lavorare per centralizzare la politica di segmentazione della rete e ridurre il numero di regole firewall necessarie. Non è un compito di poco conto: non sarà facile consolidare anni di regole firewall e liste di controllo accessi e tradurle in politiche che possano essere implementate in ambienti aziendali complessi e distribuiti.