La segmentazione di rete permette di migliorare sicurezza e prestazioni di un’infrastruttura internet attraverso una suddivisione in sottoreti più piccole.
E’ una pratica tornata in auge recentemente, per far fronte:
- alle minacce verso i dispositivi EoT (Enterprise of Things), ovvero device connessi alla rete aziendale
- alla scomparsa di perimetri di rete ben definiti
- ma anche alla necessità di diversificare i privilegi di accesso a determinati servizi.
Basti pensare allo smartworking e alla politica BYOD (Bring Your Own Device) – che di fatto ha cancellato la tradizionale suddivisione tra dispositivo aziendale e personale – o alla necessità per le imprese di differenziare i servizi cui possono accedere gli utenti da quelli con cui deve operare il personale interno.
Ma come funziona nello specifico il processo di network segmentation e perché si rivela uno strumento cruciale per fronteggiare possibili attacchi informatici?
In questo articolo ci occuperemo di evidenziarne caratteristiche e vantaggi per la sicurezza della network segmentation.
Network Segmentation, cos’è?
La segmentazione di rete, nota in inglese come network segmentation, non è di certo una tecnica recente. Agli albori dell’espansione di Internet, veniva utilizzata come escamotage per consentire a quanti più dispositivi possibile di connettersi, moltiplicandone i punti di accesso.
Oggi viene utilizzata all’opposto, ovvero per delimitare in molteplici compartimenti un flusso di dati che normalmente sarebbe accessibile da qualsiasi punto della rete.
Un concetto strettamente legato a quello di segmentazione, infatti, è quello di segregazione: vale a dire, la determinazione di regole in base alle quali il traffico viene isolato in una porzione specifica della rete, impedendone così l’espansione anche ad altri settori.
In tal modo, qualora dovesse propagarsi un attacco hacker, rimarrebbe confinato a quello specifico segmento in cui è riuscito a penetrare, non intaccandone altri in cui magari sono custoditi dati sensibili.
In altre parole, presa una infrastruttura di rete estesa, la si va a dividere in molteplici sottoreti, ognuna con specifici protocolli e accessibile solo se in possesso di determinati privilegi.
Per poter procedere, però, sarà necessario un breve approfondimento su come funziona una rete e la sua suddivisione in livelli.
Approfondimento: i livelli di rete
Per poter comprendere appieno in cosa consiste la segmentazione di rete è doveroso fare una piccola digressione sul funzionamento e l’organizzazione generale di una rete Internet.
Quando si parla di livello di rete (o layer) si fa riferimento a una funzionalità che permette di instradare il traffico individuando il percorso più efficiente tra device mittente e ricevente (chiamati anche host o IS, Intermediate Systems).
I dispositivi che si occupano di smistare questo traffico dati, pur svolgendo funzione pressoché analoga, si distinguono in
- router, che collega tra loro più reti LAN (Local Area Network) e WAN (Wide Area Network)
- e switch, che invece collega più dispositivi per creare una rete
A ciò va aggiunto che, affinché la comunicazione possa effettivamente aver luogo, ogni nodo, sia esso host o router/switch, deve possedere un indirizzo univoco di identificazione: l’IP.
I livelli di rete
A loro volta, i layer di rete, seguendo il modello ISO/OSI, si differenziano in 7 livelli complessivi.
Per la nostra trattazione, sarà sufficiente illustrare i primi tre, ovvero:
-
fisico, che riguarda tutta la strumentazione necessaria per il trasferimento dati
-
di collegamento dati, che si occupa di trasferire le informazioni in pacchetti di frame tra i dispositivi di una rete
-
e di rete, che disassemblate i dati sul device del mittente per rassembrarli su quello del destinatario.
Come si potrà facilmente intuire, uno strumento come lo switch sarà in grado di agire soltanto ai primi due step, mentre il router potrà occuparsi anche del livello di rete.
C’è, però, da sottolineare che nella network segmentation vengono coinvolti dispositivi chiamati switch Layer 3.
A prima vista questa denominazione potrebbe sembrare errata, poiché si è detto che lo switch non arriva ad agire al terzo livello di rete.
Quando però si ha a che fare con la stessa rete locale, sia essa aziendale o di altro tipo, e la si vuole segmentare in più compartimenti, sarà necessario che questi comunichino tra loro come “reti differenti”.
Ed ecco che lo switch layer 3 agirà come una sorta di router, ma su reti a livello locale.
Tipologie di segmentazione di rete
Possiamo ora passare ad approfondire il processo di segmentazione di rete vero e proprio.
In prima istanza bisogna effettuare una disambiguazione tra:
-
network segmentation
-
mircosegmentazione
Se nel primo caso, infatti, si va ad agire sul traffico in entrata e in uscita dalla rete (definito in gergo come nord-sud), dall’altro ci si concentra sui “movimenti laterali” all’interno del network, ovvero quelli tra i nodi di una rete.
Compresa questa differenza, si possono ora distinguere i due criteri secondo cui comunemente si può effettuare la segmentazione, ovvero:
- fisico, che si serve di strumenti quali firewall, switch, cavi e differenti connessioni internet per separare le diverse parti della rete
- e logico, che invece sfrutta principalmente VLAN (Virtual Area Network) o schemi di indirizzamento di rete
Nel primo caso, quindi, la complessità delle operazioni e i costi elevati, legati alla necessità di dotarsi di tutta la strumentazione, giocano a tutto svantaggio della soluzione fisica. Per tali motivi, infatti, vengono meno tutti i criteri di scalabilità necessari a privilegiare questo tipo di soluzione.
Ne deriva che, le aziende di oggi optano sempre più per una suddivisione di tipo logico, più versatile e adattabile alle singole esigenze.
VLAN, come segmentare virtualmente una rete
Le VLAN (Virtual Local Area Network o rete di area locale virtuale) è uno strumento software che permette di ottimizzare la segmentazione di rete creando più reti virtuali per un unico switch. In altre parole, se tradizionalmente ogni compartimento era suddiviso da un differente switch, ad oggi è possibile virtualizzare questa suddivisione logica condividendo una stessa infrastruttura fisica.
La VLAN può essere impostata secondo due criteri:
- VLAN basata su porta, dove ad ogni porta è associata una sottorete. Sarà poi lo switch a instradare il traffico in funzione della porta.
e tagged VLAN, ovvero VLAN basate su tag, dove ad ogni frame (pacchetto) di dati viene associato un tag che ha la funzione di indicare in quale VLAN si deve dirigere.
Vantaggi delle VLAN
Tra i vantaggi legati all’adozione di una rete locale virtuale vi è in primis il fattore flessibilità. Nessuna necessità di nuovi cablaggi qualora le esigenze di utenti e aziende dovessero cambiare perché tutto verrebbe controllato via dinamicamente software.
A ciò si aggiungono:
-
possibilità di applicare protocolli di sicurezza differenti in base ai livelli di criticità delle specifiche sottoreti
-
maggiore economicità, sia in termini economici per installazione e manutenzione che a livello di tempi di gestione
-
riduzione del sovraccarico della larghezza di banda.
Tutto ciò può essere tradotto, dunque, in due parole-chiave: scalabilità e ottimizzazione.
Best practice per segmentare una rete in modo efficiente
Vediamo ora quali sono le linee guida generali per procedere in maniera ottimale con la network segmentation.
- Applicazione della politica ZTNA (Zero Trust Network Access), basato su un modello di fiducia adattivo.
Ciò sta a significare che l’attendibilità di un utente non viene mai data per scontata, poiché il principio dei privilegi minimi stabilisce che ad ogni istante venga assegnato solo il minimo insieme di privilegi possibile; - Non segmentare eccessivamente, poiché questo potrebbe comportare una riduzione della visibilità complessiva sulla rete e difficoltà di gestione;
- Limitare l’accesso di terzi.
Eseguire periodicamente verifiche di sicurezza.
I vantaggi e criticità della segmentazione di rete
Vediamo ora quali sono i vantaggi e le criticità legate a questo tipo di soluzione di cybersecurity:
-
circoscrizione della superficie di attacco
-
riduzione del rischio di accesso non autorizzato alla rete
-
semplificazione nell’analisi delle minacce
-
ottimizzazione dei flussi di lavoro
-
diminuzione dei rischi di congestione del traffico di rete
-
aumento delle prestazioni complessive.
Gli svantaggi sono prettamente legati all’ambito organizzativo, perché instaurare una segmentazione significa letteralmente suddividere la rete in parti non direttamente comunicanti: ad ogni passaggio, infatti, saranno effettuati controlli di sicurezza legati alle policy prestabilite.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.
