Confinare le risorse aiuta a contenere i rischi riducendo il traffico laterale, farlo in un ambiente virtualizzato è molto più semplice che in uno fisico
Nell'eterno dibattito tra responsabili della sicurezza e IT manager ci sono pochi argomenti controversi quanto la
segmentazione della rete. Suddividere una rete in segmenti separati, fisicamente oppure definendo VLAN, fa bene alla sicurezza perché quello che di negativo può accadere (
una breccia, la diffusione di un malware...) si può contenere nel segmento di rete in cui si verifica. Il tema è noto da tempo ma sta tornando in auge con la diffusione delle reti in stile
Industry 4.0. Estendere le reti IT a quelle industriali, tipicamente
più vulnerabili, diventa meno rischioso se si introducono sin da subito elementi di segmentazione.
Il punto è che la segmentazione, almeno quella tradizionale,
è poco diffusa perché non piace a buona parte degli IT manager e nemmeno dei network manager. In qualsiasi modo la si implementi porta complessità e l'opinione comune è che introduca anche una certa
rigidità dell'infrastruttura, il che non va affatto d'accordo con i dettami dell'IT elastica. Una opinione che ha le sue ragioni perché i protocolli tradizionali alla base della segmentazione
non sono granché scalabili. Una rete non segmentata è più semplice da gestire e questo si fa molto evidente nei moderni datacenter, dove il traffico interno è molto maggiore rispetto a quello in ingresso e in uscita.
A cambiare questo stato di cose è la
micro-segmentazione, che si può considerare come una forma estrema di segmentazione resa possibile e gestibile dalla virtualizzazione in generale e dal
Software-Defined Networking in particolare. In questo nuovo approccio la segmentazione non mira a creare grandi reti Layer 2 con centinaia di nodi ma
piccoli gruppi (da cui appunto
micro-segmentazione) di risorse virtuali. La logica è positivamente restrittiva: nello stesso gruppo devono trovarsi solo le risorse che devono effettivamente dialogare fra loro, il collegamento verso le altre di norma è a priori proibito.
Ad esempio, una piccola rete virtuale potrebbe contenere una macchina virtuale che gestisce un database, alcune VM che eseguono funzioni di analisi sul database stesso e una VM che fa da web server e gestisce le query e la visualizzazione dei risultati. Un gruppo di risorse così progettato ha certamente un
elevato volume di traffico interno ma molto meno verso l'esterno (mediato dal web server) e probabilmente nullo verso il resto dell'ambiente virtualizzato.
Una visione del genere è gestibile solo in un ambiente virtualizzato e grazie a funzioni di
automazione. In un datacenter le macchine virtuali attive in un dato momento possono essere centinaia di migliaia, suddividerle in reti virtuali separate e configurare switch e router (anch'essi virtuali) in modo da far transitare correttamente il traffico fra loro non è possibile con tool tradizionali di network management.
Anche perché la micro-segmentazione deve essere
strettamente collegata alla gestione della virtualizzazione in generale per operare al meglio. Quando è necessario attivare nuove macchine virtuali per potenziare un certo servizio, ad esempio, esse devono essere assegnate subito alla VLAN che raggruppa tutte le risorse di quel servizio. Inoltre è bene che tutte le VM che fanno parte di un medesimo gruppo siano
sul medesimo host fisico, per ottimizzare le prestazioni del sistema e anche per ridurre al minimo il traffico tra host diversi.
Lo stretto legame tra piattaforma di virtualizzazione e gestione della micro-segmentazione spiega perché questa venga spesso realizzata usando proprio le
funzioni native della piattaforma di virtualizzazione stessa.
Non è l'unico approccio possibile: forme di micro-segmentazione si possono implementare anche mediante firewall virtuali oppure mediante agenti specifici installati su ciascun host.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
ImpresaCity.it iscriviti alla nostra
Newsletter gratuita.