La micro-segmentazione della rete aiuta la sicurezza

Confinare le risorse aiuta a contenere i rischi riducendo il traffico laterale, farlo in un ambiente virtualizzato è molto più semplice che in uno fisico

Autore: Redazione ImpresaCity

Nell'eterno dibattito tra responsabili della sicurezza e IT manager ci sono pochi argomenti controversi quanto la segmentazione della rete. Suddividere una rete in segmenti separati, fisicamente oppure definendo VLAN, fa bene alla sicurezza perché quello che di negativo può accadere (una breccia, la diffusione di un malware...) si può contenere nel segmento di rete in cui si verifica. Il tema è noto da tempo ma sta tornando in auge con la diffusione delle reti in stile Industry 4.0. Estendere le reti IT a quelle industriali, tipicamente più vulnerabili, diventa meno rischioso se si introducono sin da subito elementi di segmentazione.

Il punto è che la segmentazione, almeno quella tradizionale, è poco diffusa perché non piace a buona parte degli IT manager e nemmeno dei network manager. In qualsiasi modo la si implementi porta complessità e l'opinione comune è che introduca anche una certa rigidità dell'infrastruttura, il che non va affatto d'accordo con i dettami dell'IT elastica. Una opinione che ha le sue ragioni perché i protocolli tradizionali alla base della segmentazione non sono granché scalabili. Una rete non segmentata è più semplice da gestire e questo si fa molto evidente nei moderni datacenter, dove il traffico interno è molto maggiore rispetto a quello in ingresso e in uscita.

A cambiare questo stato di cose è la micro-segmentazione, che si può considerare come una forma estrema di segmentazione resa possibile e gestibile dalla virtualizzazione in generale e dal Software-Defined Networking in particolare. In questo nuovo approccio la segmentazione non mira a creare grandi reti Layer 2 con centinaia di nodi ma piccoli gruppi (da cui appunto micro-segmentazione) di risorse virtuali. La logica è positivamente restrittiva: nello stesso gruppo devono trovarsi solo le risorse che devono effettivamente dialogare fra loro, il collegamento verso le altre di norma è a priori proibito.



Ad esempio, una piccola rete virtuale potrebbe contenere una macchina virtuale che gestisce un database, alcune VM che eseguono funzioni di analisi sul database stesso e una VM che fa da web server e gestisce le query e la visualizzazione dei risultati. Un gruppo di risorse così progettato ha certamente un elevato volume di traffico interno ma molto meno verso l'esterno (mediato dal web server) e probabilmente nullo verso il resto dell'ambiente virtualizzato.

Una visione del genere è gestibile solo in un ambiente virtualizzato e grazie a funzioni di automazione. In un datacenter le macchine virtuali attive in un dato momento possono essere centinaia di migliaia, suddividerle in reti virtuali separate e configurare switch e router (anch'essi virtuali) in modo da far transitare correttamente il traffico fra loro non è possibile con tool tradizionali di network management.

Anche perché la micro-segmentazione deve essere strettamente collegata alla gestione della virtualizzazione in generale per operare al meglio. Quando è necessario attivare nuove macchine virtuali per potenziare un certo servizio, ad esempio, esse devono essere assegnate subito alla VLAN che raggruppa tutte le risorse di quel servizio. Inoltre è bene che tutte le VM che fanno parte di un medesimo gruppo siano sul medesimo host fisico, per ottimizzare le prestazioni del sistema e anche per ridurre al minimo il traffico tra host diversi.

Lo stretto legame tra piattaforma di virtualizzazione e gestione della micro-segmentazione spiega perché questa venga spesso realizzata usando proprio le funzioni native della piattaforma di virtualizzazione stessa. Non è l'unico approccio possibile: forme di micro-segmentazione si possono implementare anche mediante firewall virtuali oppure mediante agenti specifici installati su ciascun host.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.