01net

Perché la segmentazione della rete fa bene alla sicurezza

Chiedete a qualsiasi IT manager e vi dirà che il concetto di difesa perimetrale della rete è superato dalla realtà dei fatti.

Quasi non esiste nemmeno più un perimetro da difendere e questo crea problemi alla sicurezza di rete perché le minacce e gli attacchi arrivano non più solo da pochi canali identificati ma da una molteplicità di ingressi che è difficile proteggere completamente. La cosa curiosa è che un concetto per risolvere o quantomeno limitare il problema è noto da decenni e fa quasi parte dell’ABC del networking: la segmentazione della rete. Ma poche aziende ne fanno uso.

La ragione sta nella sua complessità architetturale, che non è certo insormontabile ma sembra assai preoccupante per chi si è abituato alle reti “piatte”. Ed è assai probabile che in azienda sia proprio chi non si occupa di sicurezza ad avversare maggiormente la segmentazione della rete, in quanto elemento che complica la comunicazione delle applicazioni aziendali fra loro e con i dati.

Nella segmentazione della rete, infatti, questa viene suddivisa in parti non comunicanti o che sono separate da controlli di sicurezza. Lo scopo è fare in modo che un eventuale problema (la diffusione di malware o il raggio d’azione di chi è penetrato in una falla della rete) resti confinato nel segmento della rete dove si è verificato, evitando di contagiare gli altri.

Il concetto in sé è semplice e la segmentazione della rete una volta era un fatto quasi scontato. Ora è un’operazione che introduce complessità ma che sta tornando in auge sia per la sempre maggiore efficacia dagli attacchi, sia per la diffusone dell’IoT e dei problemi che essa comporta nella convivenza tra reti prima non comunicanti, come quelle industriali e di business.

KPMG ha definito un framework in dieci punti per agevolare le iniziative di segmentazione della rete. I suoi vari elementi aiutano a capire quale tipo di complessità la segmentazione possa introdurre, in primis perché richiede un buon auto-esame della propria infrastruttura IT e delle necessità di comunicazione che le applicazioni aziendali effettivamente impongono.

Inoltre oggi la segmentazione della rete assume volti ben più sofisticati di una volta, in cui era generata quasi implicitamente dalla distribuzione fisica della rete stessa.

Ora si studiano segmentazioni in base alla geografia delle sedi o al tipo di dati gestiti dai sistemi, come anche micro-segmentazioni per le risorse interne al datacenter d’impresa.

Ma anche KPMG evidenzia che gli aspetti più critici per la segmentazione della rete sono organizzativi. Non è un’operazione strettamente tecnica ma deve fare parte della strategia complessiva orientata alla sicurezza della rete d’impresa.