La nework segmentation è un vecchio concetto tornato di moda per la cyber security. Ma con importanti evoluzioni.
Il concetto di
network segmentation, o segmentazione della rete, è ben noto ai network manager vecchia maniera. In estrema sintesi, è la suddivisione (o segmentazione) di una rete in tante piccole sottoreti (i segmenti, appunto). Quello della segmentazione delle reti è un tema che
nasce con il networking stesso. Per affrontare però problemi che sono nella pratica scomparsi molto tempo fa. Come la mancanza di un numero sufficiente di indirizzi per tutti i nodi di una rete. Oppure la necessità di contenere il traffico tra le varie sottoreti per non usare troppa banda.
Una volta eliminati ostacoli come questi, la network segmentation è passata in secondo piano. Non ovunque, ovviamente, ma in molte aziende sì. Aziende anche grandi e complesse, che hanno interesse a "gestire" bene il loro traffico. Gestire una rete segmentata è
generalmente più complesso che una rete "piatta", senza suddivisioni e gerarchie importanti. E le reti piatte piacciono agli sviluppatori. Che nella creazione di nuove applicazioni e servizi possono fare a meno di preoccuparsi della struttura delle reti in cui operano.
Da qualche tempo però la network segmentation
è tornata di moda, per questioni di cyber security. Insieme al concetto "gemello" di network segregation. La segmentazione di una rete è la sua suddivisione in parti più piccole. La segregazione del traffico è un passo ulteriore. Ossia implementare un insieme di regole in base alle quali un determinato traffico di rete può essere "segregato" in un segmento. E non propagarsi al suo esterno.
Oggi network segmentation (di nuova generazione, come vedremo) e network segregation
sono praticamente sinonimi. La prima si implementa con la seconda. O proprio per avere la seconda. In maniere anche molto granulari e specifiche.
Attacchi troppo facili
Il motivo per cui la network segmentation è tornata in primo piano è la
dimostrata capacità dei criminali informatici di conquistare tutta una rete
a partire anche da un singolo punto di penetrazione. A un malware scritto mediamente bene basta "conquistare" un solo endpoint per propagarsi rapidamente in tutta una rete. E rimanervi per lungo tempo, perché la rimozione da un endpoint sospetto non risolve il problema. Il contagio potrebbe essere ripetuto da un altro nodo conquistato dopo.
Perché le soluzioni zero trust sono sempre più necessarie a livello infrastrutturale
C'è poi il tema degli "spostamenti laterali". Conquistato un endpoint, un malware esamina la struttura della rete in cui si trova. Poi cerca di spostarsi in
altre parti della rete che contengono risorse più interessanti. Come possono essere i database server aziendali. La casistica ormai è molto ampia. Compresi anche gli attacchi alle reti di bancomat passando dalle reti IT dei gestori. O gli
attacchi ai sistemi industriali passando dalle reti "da ufficio" che in qualche modo
vi sono collegate.
Non sono temi nuovi, ma sono oggi di primaria importanza. E la network segmentation
si è dovuta evolvere di conseguenza. Perché il classico approccio "da firewall", con un "dentro" la rete affidabile e un "fuori" insicuro, non è realistico. Il confine della rete aziendale è intangibile già da tempo. E l'adozione del cloud prima e dei microservizi poi
lo ha reso ancora più permeabile. Anche nei sistemi industriali il buon vecchio "air gapping" - la separazione fisica di una rete dall'altra - non è più possibile. Tutto deve essere connesso. Ma così tutto è più vulnerabile.
Oggi la network segmentation è un concetto più articolato rispetto a quanto non si pensasse anche solo qualche anno fa. Il punto chiave non è solo l'abbandono della distinzione dentro/fuori la rete. È soprattutto una visione in cui il "segmento di rete"
è inteso in senso molto granulare. E può comprendere anche un solo nodo di rete, o una singola applicazione o servizio. Persino la singola macchina virtuale o il singolo container, quando si parla di virtual networking.
Questa visione della network segmentation - o
micro-segmentazione, come molti preferiscono ora chiamarla - chiaramente non può essere soddisfatta dai firewall vecchio stampo o agendo solo al Layer 3 delle reti. Richiede firewall NextGen e una gamma ormai abbastanza ampia di piattaforme che
abilitano una segmentazione a vari livelli. E su vari criteri di selezione e filtro del traffico e degli accessi.
Una network segmentation dinamica
Ci sono vari modi per realizzare la network segmentation che più conviene alla propria infrastruttura. L'unico elemento comune è quello che viene spesso definito di "
zero trust". A priori,
qualsiasi entità (device, servizio, applicazione...) che chiede accesso alla rete o ad una sua risorsa è inaffidabile.
Potrebbe cioè costituire un pericolo, quindi il suo accesso deve essere strettamente controllato. Quanto strettamente, dipende da una gamma anche molto ampia di parametri che l'azienda deve definire.
Questo approccio è semplice da comprendere. Ma l'applicazione non lo è. In molte aziende comporta una fase lunga di
"comprensione" della propria infrastruttura.
Cosa contiene, che applicazioni e servizi vi transitano, con quali requisiti, quali risorse sono da proteggere molto e quali meno... Un'analisi che non è detto un CIO abbia sempre pronta. Spesso semmai è il contrario. Studiare la segmentazione del traffico interno a una rete è un compito complesso.
Fatta questa analisi si può iniziare a suddividere la rete in vari modi. Alcuni saranno certamente classici, nel senso che impediranno il traffico da e verso alcune sottoreti. Altri saranno più evoluti e cercheranno di
raggruppare il traffico dati che fa capo ad alcuni servizi o applicazioni. L'obiettivo è utilizzare le tecnologie a disposizione per realizzare una segmentazione fisica ma anche virtuale della rete. Una combinazione di
macro- e micro-segmantazione che definisca i giusti perimetri di protezione delle risorse chiave.
Questo significa cercare un equilibrio non sempre facile. Perimetri di protezione piccoli sono più sicuri perché riducono la superficie di attacco delle risorse. Ma se la rete è troppo segmentata
le sue performance ne soffrono e la gestione si fa più complessa. Con la necessità di soluzioni di sicurezza particolarmente performanti e di funzioni di automazione per la gestione della rete.
Sullo sfondo resta poi il nodo della
interoperabilità. Di sicuro una qualsiasi infrastruttura si farà più articolata, non più semplice. Quindi le soluzioni scelte per la sua segmentazione devono essere sempre pronte a dialogare con nuovi componenti e nuovi servizi. E non è scontato.