Segmentazione di rete: tutto quello che serve sapere

La segmentazione di rete (nota in inglese come network segmentation) divide una rete locale in parti più piccole allo scopo di migliorarne prestazioni e sicurezza. E’ un’operazione propedeutica alla segregazione di rete (network segregation) che consiste nel delimitare il traffico dati entro specifici segmenti, noti in gergo come sottoreti.

La segmentazione di rete rappresenta uno strumento essenziale per la protezione dei network aziendali. Consente, infatti, di rafforzare i controlli di sicurezza concentrandoli sulle singole sottoreti e limitare il movimento laterale di eventuali hacker e intrusi.

Analizziamo, quindi, caratteristiche, metodologie e vantaggi di questo framework basilare della Network Security.

Cos’è la segmentazione della rete
Differenti approcci alla segmentazione di rete
I vantaggi della network segmentation
Conclusioni

Cos’è la segmentazione di rete

La segmentazione di rete è una tecnica che divide un network in più segmenti, definiti in gergo tecnico sottoreti, ognuno dei quali agisce come un’unità semi-autonoma.

Ciò consente agli amministratori di acquisire

pieno controllo sul flusso di traffico tra le sottoreti
completa visibilità sugli eventi.

Ciò accade perché, delimitando i confini di monitoraggio dall’intero network ai singoli segmenti, risulta più semplice collezionare e analizzare dati ed evidenziare eventuali anomalie.

Le organizzazioni, infatti, utilizzano questa tecnica al fine di:

efficientare il monitoraggio
aumentare le prestazioni
localizzare problemi tecnici

irrobustendo il livello di sicurezza complessivo.

Rappresenta un potente strumento con cui impedire agli utenti non autorizzati – siano essi curiosi, addetti ai lavori, o cybercriminali – di avere piena libertà di movimento e ottenere accesso a dati e informazioni riservate (come informazioni personali dei clienti, registri finanziari aziendali e la proprietà intellettuale altamente riservata).

Fino a pochi anni fa, quando si parlava di segregazione di rete, la si intendeva essenzialmente a livello LAN, ovvero di rete locale.

Tuttavia, oggi le risorse sono distribuite in ambienti ibridi e multi-cloud (cloud pubblici, privati e Software-defined networking). Si parla, infatti, sempre più spesso di segmentazione di rete VLAN. Firewall e sistemi hardware restano il cuore portante, ma sono policy e tecnologie a protezione di asset e risorse ad aver assunto maggior rilievo.

Se stai utilizzando una rete non segmentata per semplificare il numero di switch, sarai un obiettivo ideale per i cybercriminali.

Mentre una rete piatta è solitamente preferita dai progettisti perché permette di far risparmiare tempo e denaro durante la configurazione iniziale, dall’altra consentirà ai malintenzionati di entrare ovunque vogliano con poca o nessuna resistenza.

È da notare che non c’è alcun sostituto per la segmentazione della rete. La micro-segmentazione richiede uno sforzo maggiore in partenza, ma i vantaggi superano fortemente il costo ed il tempo necessari.

I differenti approcci alla segmentazione di rete

Ma come fanno gli esperti a definire i singoli segmenti di rete? Quali sono i criteri e le procedure?

La regola aurea prevede di mappare l’intero network e stabilire di conseguenza quali tipologie di risorse, utenti e processi vi sono coinvolti.

In tal modo, sarà possibile determinare quali risorse rendere disponibili a determinati utenti, raggruppando di fatto il traffico dati in relazione ai servizi.

In altre parole: pensa ai diversi tipi di utenti e dati che hai, e cerca di capire chi ha bisogno di accesso e a che cosa.

Comunemente, le aziende dividono la rete in base ai differenti dipartimenti: il traffico tra i vari gruppi può quindi essere ispezionato o limitato in base ai requisiti aziendali.

L’accesso a un database interno delle risorse umane, ad esempio, potrebbe essere limitato solo alle risorse e ai dispositivi della sottorete delle risorse umane. Così come marketing, HR, ecc.

Un altro approccio comune prevede la distribuzione di reti diverse con requisiti di sicurezza variabili.

I server e i database, ad esempio, sono comunemente inseriti in una zona demilitarizzata (DMZ) con misure di sicurezza molto più forti rispetto ad altre parti della rete. Ciò può impedire ad un malware su una workstation aziendale di diffondersi nei server che ospitano dati e informazioni riservate.

La segmentazione può anche essere basata sul tipo di dispositivo. I dispositivi IoT, ad esempio, sono disposti su una partizione di rete dedicata, perché, essendo particolarmente vulnerabili, necessitano di particolari misure di sicurezza.

In contesto sanitario, ad esempio, le macchine a raggi X e altri dispositivi medici collegati potrebbero essere separati dal resto della rete.
Bisogna, tuttavia, tenere a mente che i diversi approcci non sono esclusivi, ma possono integrarsi a vicenda in base alle esigenze.

Scendiamo ancor più nel dettaglio, andando ad analizzare alcuni tra i più noti approcci alla segmentazione di rete:

Screened Subnet: in questo tipo di configurazione, viene creata una vera e propria rete isolata tra quella esterna e quella interna. Gli host appartenenti ad entrambe le reti possono accedervi ma non è ammesso alcun flusso diretto di dati tra la rete interna e quella esterna
IT Workstation: individua un’area in cui il personale IT svolge un lavoro non amministrativo e dove solitamente vengono effettuati test e implementazioni tecniche
Server per dipartimento: come già accennato, in questo caso la rete viene divisa in base ai ruoli degli utenti. Per metterle in comunicazione si crea un drive pubblico ed uno privato, per poi segmentare l’accesso sulle unità private in base a ciascun gruppo
Database dei clienti: per rispettare i requisiti di conformità normativa, i database dei clienti devono essere protetti di più rispetto, ad esempio, ai server di stampa.

I vantaggi della network segmentation

Oltre all’innegabile innalzamento dei livelli generali di sicurezza, la segmentazione di rete offre diversi altri vantaggi:

Controllo e limitazione dei danni in caso di incidente dovuto alla minor superficie di attacco su cui un hacker potrebbe agire
Controllo degli accessi più efficiente e sottoposto a costante monitoraggio
Miglioramento delle prestazioni con meno congestione sul traffico di rete
Rafforzamento della protezione di server, risorse e dispositivi endpoint

La segmentazione della rete può, in sintesi, efficientare la tua politica di sicurezza

limitando i privilegi di accesso solo a coloro che ne hanno effettivamente bisogno
proteggendo la rete dagli attacchi informatici più diffusi
consentendo migliori prestazioni di rete
e riducendo il numero di utenti in zone di rete specifiche.

Alcune considerazioni finali

Sia che tu stia cercando di raggiungere le conformità di privacy policy o che voglia incrementare il livello di sicurezza complessivo nella tua organizzazione, la segmentazione della rete rappresenta sicuramente un tassello fondamentale nel processo

Per delineare una strategia di segmentazione efficace, sarà necessario affidarsi a professionisti esperti, in grado di delineare piani d’intervento basati sulle singole esigenze dei clienti.

Autore articolo
Gli ultimi articoli

Ilaria Della Queva

Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.