È importante scegliere un approccio alla microsegmentazione che funzioni in modo coerente su più provider cloud. Svincolando la sicurezza dal provider dell'infrastruttura cloud, le organizzazioni possono evitare l'aumento dei costi dovuto alla dipendenza dal provider e la complessità non necessaria degli ambienti cloud misti nati da fusioni e acquisizioni.
Analisi della microsegmentazione
La microsegmentazione è una best practice di sicurezza emergente che offre diversi vantaggi rispetto agli approcci più tradizionali, come la segmentazione di rete e la segmentazione delle applicazioni. I metodi tradizionali si affidano ai controlli basati sulla rete, che sono farraginosi e scomodi da gestire. Tuttavia, l'elemento di segmentazione basata su software della microsegmentazione separa i controlli di sicurezza dall'infrastruttura sottostante e regala alle organizzazioni la flessibilità di estendere la protezione e la visibilità ovunque.
La maggiore granularità offerta dalla microsegmentazione è essenziale in un momento in cui molte organizzazioni stanno adottando servizi cloud e nuove opzioni di distribuzione, come i container, che rendono meno rilevante la sicurezza del perimetro tradizionale.
La visualizzazione dell'infrastruttura ricopre un ruolo essenziale nello sviluppo di una solida strategia di microsegmentazione. Se fatta bene, la visualizzazione consente ai team IT di identificare e comprendere più facilmente le attività autorizzate e non autorizzate nell'ambiente.
Questa maggiore visibilità consente ai team IT di definire e perfezionare le policy di microsegmentazione che possono segnalare e bloccare le attività non autorizzate. Le policy di microsegmentazione possono assumere varie forme, tra cui controlli basati sul tipo di ambiente, sull'ambito normativo, sull'applicazione e sul livello dell'infrastruttura. La microsegmentazione permette anche di applicare in modo più ampio il principio del privilegio minimo negli ambienti di data center cloud, offrendo un sistema di difesa più efficace rispetto ai soli controlli a livello di rete tradizionali.
La microsegmentazione può essere distribuita attraverso più provider cloud?
La microsegmentazione ridurrà i costi?
Molte organizzazioni calcolano i costi dei firewall per un progetto di segmentazione e scoprono che gli elevati costi delle licenze, le lunghe tempistiche e i necessari tempi di downtime hanno un prezzo elevato. Tuttavia, una soluzione di microsegmentazione basata sul software può essere implementata rapidamente e con minore spesa in conto capitale (CapEx) di quella richiesta per l'acquisto di appliance firewall e hardware aggiuntivo. Inoltre, la ridotta necessità di manutenzione e gestione assicura anche minori spese operative (OpEx) nel tempo in termini di risparmio di manodopera e risorse.
La microsegmentazione è un concetto nuovo per molti, ma sta diventando uno strumento sempre più importante per i team IT che devono mantenere le politiche di sicurezza e la conformità al passo con la rapidità dei cambiamenti nei dinamici ambienti di data center, cloud e ibridi di oggi.
Che cos'è la segmentazione delle applicazioni?
Con l'espansione dell'utilizzo del cloud e l'accelerazione delle distribuzioni e degli aggiornamenti delle applicazioni, molti team di sicurezza si stanno concentrando sempre di più sulla segmentazione delle applicazioni. Esistono molti approcci alla segmentazione delle applicazioni che possono causare confusione dal momento che i team di sicurezza confrontano le tradizionali tecniche di segmentazione delle applicazioni con gli approcci più recenti, come la microsegmentazione.
La segmentazione delle applicazioni spesso include un mix di segmentazione tra le applicazioni e isolamento dei cluster di applicazioni dal resto dell'infrastruttura IT. Le due tecniche offrono sicurezza in modi diversi. Tuttavia, i tradizionali approcci alla segmentazione delle applicazioni si affidano soprattutto ai controlli di Livello 4, che stanno diventando meno efficaci e più difficili da gestire man mano che gli ambienti e i processi di distribuzione delle applicazioni diventano più dinamici.
Le tecnologie di microsegmentazione offrono ai team di sicurezza un approccio più efficace alla segmentazione delle applicazioni in quanto forniscono una rappresentazione visiva dettagliata dell'ambiente, insieme a un set più granulare di controlli delle policy. Le più efficaci tecnologie di microsegmentazione offrono un approccio incentrato sulle applicazioni che si estende al Livello 7. La visibilità e il controllo a livello di singoli processi rende la segmentazione delle applicazioni più efficace e facile da gestire. Le attività autorizzate possono essere controllate con policy altamente specifiche che non risentono degli attacchi di spoofing dell'indirizzo IP o dei tentativi di attacco sulle porte consentite.
Con gli ambienti cloud ibridi e i processi DevOps in rapida evoluzione che stanno diventando la norma, la segmentazione delle applicazioni è più importante, e complessa, che mai. L'uso della microsegmentazione incentrata sulle applicazioni per eseguire la segmentazione delle applicazioni garantisce che la visibilità e i controlli delle policy tengano il passo con i rapidi cambiamenti degli ambienti e delle applicazioni in esecuzione su di essi.
In che modo le policy di rete collaborano con la microsegmentazione?
L'applicazione delle policy di rete è il set di regole che vengono messe in atto su un ambiente IT per assicurarsi di avere il controllo sull'accesso e sulla comunicazione. Può trattarsi di un'operazione semplice come il tenere separati produzione e sviluppo in modo da evitare l'errore umano. Regole di applicazione delle policy più specifiche possono aiutare con le esigenze di conformità, ad esempio per mantenere il CDE isolato in modo che il resto della rete non rientri nell'ambito della conformità PCI DSS.
I motori di policy dei data center sono tradizionalmente inflessibili in quanto si basano su approcci rigidi e assoluti o su elenchi di rifiuto globali, senza la possibilità di eccezioni. Con workload che diventano sempre più dinamici e un numero crescente di aziende che adottano il cloud ibrido, i motori di policy flessibili sono imprescindibili perché consentono il ridimensionamento automatico, policy che seguono i workload e la creazione di policy che non dipendono dalla piattaforma.
Il processo di creazione delle policy inizia con l'avere una forte consapevolezza della propria azienda e dei propri obiettivi di sicurezza. È necessario trovare un equilibrio con la policy di microsegmentazione. Se è troppo rigida, si potrebbe finire con il trovarsi un ambiente inflessibile che non consente al personale di lavorare liberamente e con autonomia. Se è troppo debole, si rimane con una superficie di attacco pericolosamente ampia.
L'accesso a una mappa completa in tempo reale del proprio ambiente IT può fornire informazioni sul modo e sul luogo in cui applicare la policy. Scegliere una soluzione in grado di applicare le policy fino al Livello 7, e non fino al tradizionale Livello 4, può offrire vantaggi di sicurezza ancora maggiori. Anche se il vostro perimetro viene violato, le giuste policy possono arrestare o distogliere un attacco, impedendogli di spostarsi lateralmente nella rete.
Microsegmentazione e individuazione delle applicazioni: ottenere contesto per un'azione accurata
L'infrastruttura e le tecniche usate per la delivery delle applicazioni stanno subendo una trasformazione significativa, e sta diventando sempre più difficile per i team IT e di cybersicurezza mantenere la consapevolezza in tempo reale e storica di tutte le attività delle applicazioni. Ottenere i migliori livelli possibili di protezione della sicurezza, strategia di conformità e performance delle applicazioni è possibile solo tramite un processo di individuazione delle applicazioni che comprenda tutti gli ambienti di un'organizzazione e tutte le tecnologie di delivery delle applicazioni.
Un processo di individuazione delle applicazioni efficace include quattro elementi essenziali.
Il primo elemento è la raccolta dei dati. È possibile usare una varietà di tecniche basate sugli agenti e sulla rete per raccogliere informazioni dettagliate sulle attività delle applicazioni in ambienti on-premise e cloud. Entrambi i tipi offrono un valore significativo, ma la raccolta basata sugli agenti è particolarmente critica in quanto consente la raccolta di dettagli di Livello 7 più completi.
I dati grezzi hanno di per sé un valore limitato senza contesto, perciò il secondo elemento chiave dell'individuazione delle applicazioni è rappresentano dall'organizzazione e l'etichettatura. Soluzioni come Akamai Guardicore Segmentation snelliscono questo processo interfacciandosi con le origine dei dati esistenti e implementando altri metodi di automazione.
Il terzo passaggio di un'individuazione delle applicazioni efficace è la visualizzazione. La visualizzazione riunisce i dati contestualizzati in un'interfaccia visiva adattabile e rilevante per il team di sicurezza e altre parti interessate alle applicazioni. Le viste in tempo reale e storiche delle attività delle applicazioni servono a scopi distinti, perciò è importante implementare un approccio alla visualizzazione che sia in grado di supportare entrambi i tipi di dati.
Il quarto e ultimo elemento critico di un approccio all'individuazione delle applicazioni è un metodo chiaro e intuitivo per intraprendere azioni in base alle informazioni raccolte grazie alla maggiore visibilità nelle applicazioni. Si tratta di un punto di intersezione strategico tra l'individuazione delle applicazioni e la microsegmentazione.
Quali sono i vantaggi offerti dalla microsegmentazione?
Con l'infrastruttura IT che sta diventando più dinamica e nuovi approcci come l'infrastruttura cloud e i container che stanno assumendo ruoli importanti, il valore della sicurezza tradizionale incentrata sul perimetro è notevolmente diminuito. Invece, c'è la crescente necessità per i team IT di ottimizzare la loro capacità di rilevare e prevenire il movimento laterale tra risorse di data center e cloud eterogenee. La microsegmentazione con granularità di Livello 7 offre diversi vantaggi chiave alle organizzazioni che affrontano questa sfida.
L'implementazione della microsegmentazione riduce enormemente la superficie di attacco in ambienti con modelli di distribuzione diversificati e con un'elevata velocità dei cambiamenti. Anche se i processi di sviluppo e distribuzione delle applicazioni in stile DevOps comportano frequenti cambiamenti, la piattaforma di microsegmentazione può offrire una visibilità costante e assicurare che le policy di sicurezza tengano il passo con l'aggiunta e l'aggiornamento delle applicazioni.
Anche quando vengono messe in atto misure proattive per ridurre la superficie di attacco, le violazioni occasionali sono inevitabili. Fortunatamente, la microsegmentazione migliora anche significativamente la capacità delle organizzazioni di rilevare e contenere rapidamente le violazioni. Ciò include anche la capacità di generare avvisi in tempo reali quando vengono rilevate le violazioni e di bloccare attivamente i tentativi di usare le risorse compromesse come punti di lancio per il movimento laterale.
Un altro vantaggio chiave delle microsegmentazione è che aiuta le organizzazioni a rinforzare la loro strategia di conformità alle normative, anche se iniziano a usare i servizi cloud in modo più ampio. I segmenti dell'infrastruttura contenenti dati regolamentati possono essere isolati, l'uso conforme può essere applicato correttamente e le revisioni vengono enormemente semplificate.
I vantaggi della microsegmentazione vengono massimizzati se l'approccio viene integrato con un'infrastruttura più ampia dell'organizzazione, ad esempio gli strumenti di coordinamento. Inoltre, è essenziale scegliere un approccio alla microsegmentazione che funzioni su server fisici, macchine virtuali e più provider cloud per un'efficacia e una flessibilità massime.
Leggi il post nel blog 5 vantaggi della segmentazione della rete
Sicurezza dal movimento laterale
Mentre i team di sicurezza IT dedicano spesso una notevole attenzione alla protezione del perimetro, il traffico est-ovest sta superando di gran lunga il traffico nord-sud sia in volume che in importanza strategica. Questo aumento è dovuto a fattori quali i cambiamenti negli approcci alla scalabilità dei data center, a nuove esigenze di analisi dei big data e al crescente utilizzo di servizi cloud con un perimetro meno definito. È più importante che mai per i team di sicurezza IT sviluppare la capacità di prevenire il movimento laterale in questi tipi di ambienti.
Il movimento laterale è un insieme di tecniche che gli autori di attacchi che hanno messo piede di un ambiente affidabile usano per espandere il loro livello di accesso, spostarsi verso risorse affidabili aggiuntive e avanzare ulteriormente nella direzione del loro obiettivo ultimo. È difficile da rilevare in quanto spesso si fonde con il gran volume di traffico est-ovest simile legittimo nell'ambiente.
Esistono anche tecniche più sofisticate che le organizzazioni possono implementare per migliorare la sicurezza del movimento laterale. Ad esempio, la nostra soluzione può fornire la visibilità continua e storica di tutto il traffico est-ovest e consentire ai team IT di usare queste informazioni per creare policy proattive per prevenire il movimento laterale.
Ridurre la superficie di attacco
Mentre il passaggio dai tradizionali data center on-premise a modelli cloud,, e cloud ibridi ha sbloccato molti nuovi vantaggi aziendali, ha anche aumentato in maniera significativa la superficie di attacco che i team di sicurezza devono difendere. Questa sfida è composta dall'accelerazione della velocità dei cambiamenti dell'infrastruttura e dai modelli di distribuzione delle applicazioni più dinamici che molte organizzazioni stanno adottando.
Anche se molte tecniche di riduzione della superficie degli attacchi esistenti, come il potenziamento delle difese dei sistemi, la gestione delle vulnerabilità, i controlli degli accessi e la segmentazione della rete, restano importanti con la crescita dell'utilizzo di piattaforme cloud , i team di sicurezza che desiderano ridurre la superficie di attacco possono sfruttare la maggiore visibilità e i controlli delle policy più granulari da applicare in modo coerente dal data center al cloud.
La visualizzazione dettagliata della superficie di attacco rende più pratico lo sviluppo di strategie per ridurne la dimensione. Una rappresentazione visiva dettagliata di tutte le applicazioni e delle loro dipendenze, insieme all'infrastruttura sottostante che le supporta, consente ai team di sicurezza di valutare più facilmente il proprio livello di esposizione e individuare gli indicatori di compromesso.
Queste informazioni possono essere usate per sviluppare policy di microsegmentazione che controllano le attività delle applicazioni con una granularità a livello di processo. Questo livello di controllo rende possibile l'allineamento delle policy di sicurezza alla logica delle applicazioni e l'implementazione di un ambiente di sicurezza Zero Trust in cui solo le attività delle applicazioni autorizzate possono essere seguite con successo.
Con il progredire della transizione verso modelli di cloud ibrido, è facile che le organizzazioni sottovalutino il fatto che tale cambiamento comporta un aumento della loro superficie di attacco. Nuovi ambienti fisici, piattaforme e metodi di distribuzione delle applicazioni creano molte nuove idee di esposizione potenziale. Per ridurre efficacemente la superficie di attacco negli ambienti cloud ibridi, una soluzione di microsegmentazione deve applicare le policy in modo coerente sugli ambienti data center e cloud più disparati e su un mix di sistemi operativi e modelli di distribuzione.
Proteggere le applicazioni critiche
I team di sicurezza delle informazioni di oggi affrontano due grandi tendenze che rendono sempre più difficile proteggere le applicazioni critiche. La prima è che l'infrastruttura IT si sta evolvendo rapidamente e continuamente. La seconda è che gli autori degli attacchi stanno diventando sempre più mirati e sofisticati con il passare del tempo.
L'implementazione di un solido approccio alla microsegmentazione è uno dei primi passi che i team di sicurezza devono intraprendere per ottenere una maggiore visibilità dell'infrastruttura e proteggere le applicazioni critiche in quanto:
Offre una granularità a livello di processo che allinea le policy di sicurezza alla logica delle applicazioni
Consente l'implementazione coerente della policy di sicurezza dal data center al cloud
Fornisce una sicurezza coerente nelle diverse piattaforme sottostanti
Questa potenza e flessibilità è utile per qualsiasi organizzazione che desideri proteggere al meglio gli obiettivi di valore elevato quali controller di domini, sistemi di gestione degli accessi privilegiati e jump server. Ha anche un valore inestimabile per le organizzazioni che adottano servizi di sicurezza cloud e nuovi approcci alla distribuzione delle applicazioni, come i container.
La microsegmentazione può svolgere un ruolo importante anche per la protezione di applicazioni specifiche per il settore verticale, incluse le applicazioni sanitarie contenenti informazioni sanitarie protette (PHI), le applicazioni di servizi finanziari conformi allo standard PCI DSS e ad altre normative, le applicazioni legali con implicazioni di riservatezza dei clienti e molte altre. La maggiore granularità delle policy offerta dalla microsegmentazione facilita la creazione di confini di sicurezza intorno a dati sensibili o regolamentati, anche quando comprende più ambienti e piattaforme. La maggiore visibilità offerta dalla microsegmentazione è anche estremamente preziosa durante il processo di verifica normativa.
Mentre l'evoluzione dell'infrastruttura IT crea nuove sfide per i team di sicurezza, lo svincolamento della visibilità della sicurezza e dei controlli delle policy dall'infrastruttura sottostante assicura che le applicazioni di importanza critica vengano protette in modo efficace in ambienti eterogenei con un'alta velocità di cambiamento.
Quali sono i migliori metodi di microsegmentazione?
La microsegmentazione è una funzionalità essenziale per le organizzazioni che si prefiggono lo scopo di proteggere l'infrastruttura di IT data center, cloud e cloud ibrido in rapida evoluzione. Tuttavia, la potenza e la flessibilità offerte dalla microsegmentazione possono rendere difficile l'identificazione del mix di tecniche ottimale con cui iniziare. La considerazione iniziale dei metodi di microsegmentazione maggiormente utilizzati può aiutare le organizzazioni a progettare un approccio in più fasi che si allinei alle loro esclusive esigenze di sicurezza e conformità.
Molte organizzazioni hanno familiarità con l'uso di VLAN e con altre forme di segmentazione della rete. Anche se la segmentazione della rete offre un valore di sicurezza, la microsegmentazione offre un controllo più granulare ed è molto più efficiente per la distribuzione e la gestione su larga scala. La microsegmentazione è anche molto più pratica da estendere oltre il data center e l'infrastruttura cloud rispetto alle VLAN.
Un buon primo passo nello sviluppo di una policy di microsegmentazione è quello di identificare le applicazioni e i servizi dell'ambiente che necessitano di un ampio accesso a molte risorse. I sistemi di gestione dei registri, gli strumenti di monitoraggio e i controller dei domini sono solo alcuni esempi. A questi tipi di sistemi può essere concesso un ampio accesso, ma è possibile usare le policy di microsegmentazione per consentirne l'uso solo per gli scopi autorizzati.
Esistono altri metodi ai quali le organizzazioni possono attingere per la progettazione del loro approccio alla microsegmentazione, tra cui:
Microsegmentazione in base all'ambiente
Creazione di confini normativi
Microsegmentazione in base al tipo di applicazione
Microsegmentazione in base al livello
Il modo migliore con cui le organizzazioni possono avviare la loro strategia di microsegmentazione è quello di identificare i metodi che si allineano meglio ai loro obiettivi di sicurezza e policy, iniziando con policy mirate e aggiungendo gradualmente altre tecniche di microsegmentazione nel tempo, tramite l'iterazione dettagliata.
Leggi il post nel blog Come effettuare una microsegmentazione corretta
Come iniziare a usare la microsegmentazione
La microsegmentazione è chiaramente l'innovazione nella protezione delle reti. Non è solo la risposta all'erosione del perimetro, ma è anche efficace in termini di costi e manodopera. Ma una distribuzione di microsegmentazione di successo non può essere messa insieme in modo caotico. Richiede una premeditazione deliberata e dettagliata per fare le cose per bene al primo tentativo.
Vi sono alcuni aspetti da considerare attentamente per gettare le basi di una distribuzione della microsegmentazione di successo.
Inizialmente, dovete capire ciò che deve essere segmentato. La vostra distribuzione della microsegmentazione rifletterà le vostre esigenze, perciò è importante determinare se state segmentando per una generale riduzione dei rischi o per questioni di conformità. Quindi, definite prima degli obiettivi a breve termine e dopo, quando avrete una base di microsegmentazione a proteggere le vostre risorse, definite quelli a lungo termine.
Al termine, avrete un quadro completo del vostro ambiente, ma sappiate che questo quadro iniziale è incompleto. Potete (e dovreste) aggiungere altri elementi man mano che scoprite le vostre connessioni. Un'adeguata etichettatura delle risorse è di importanza critica. Inoltre, la chiave è la flessibilità del processo di etichettatura in quanto le etichette devono riflettere il più possibile il vostro ambiente. Infine, identificate le vostre fonti di informazione e pianificate un modo per estrarre le informazioni da esse.
Questi passaggi vi assicureranno di essere sulla strada giusta verso una distribuzione della microsegmentazione solida e fruttuosa.
Quali sono le best practice per la sicurezza della microsegmentazione?
La crescita di data center su cloud ibridi, SaaS e IaaS e virtualizzazione ha portato a un'infrastruttura IT complessa e difficile da proteggere. In risposta, la microsegmentazione sta diventando rapidamente la best practice di sicurezza per le aziende che operano in questi ambienti dinamici. Il valore offerto da questa tecnologia è vario dalla segmentazione delle zone all'isolamento delle applicazioni o alla limitazione dei servizi.
Un importante punto da prendere in considerazione è se scegliere un approccio che sia incentrato sulla rete o sulle applicazioni. Mentre un approccio incentrato sulla rete gestisce il traffico presso i punti di strozzatura della rete, i controlli di terze parti o l'imposizione di rete, un approccio incentrato sulle applicazioni distribuisce gli agenti nel workload stesso. Quest'ultimo approccio offre vantaggi quali una migliore visibilità, una maggiore opportunità di ridimensionamento e una tecnologia completamente indipendente dall'infrastruttura. Per poter essere pronti per il futuro, la scelta giusta deve fornire la copertura per qualsiasi ambiente, dai sistemi preesistenti, dai server bare metal e dagli ambienti virtualizzati ai container e al cloud pubblico.
La visibilità impareggiabile che si ottiene con un approccio incentrato sulle applicazioni vi assicurerà di non cadere nella classica trappola quando si parla di microsegmentazione, ossia quella di segmentare troppo le vostre applicazioni. La best practice è quella di iniziare con "risultati concreti fin da subito". Queste policy di segmentazione dovranno essere semplici, mettere al centro le esigenze aziendali ovvie e creare valore immediato. Gli esempi possono essere semplici come separare gli ambienti, ad esempio produzione e sviluppo, o rispettare le normative relative alla conformità tramite la protezione di dati o applicazioni di importanza critica.
Infine, la best practice comprende anche il guardare oltre la sola microsegmentazione per capire quali controlli complementari possono rafforzare la vostra strategia di sicurezza complessiva. Il rilevamento delle violazioni e la risposta agli incidenti sono due grandi esempi che funzionano perfettamente con la microsegmentazione e sono potenti da utilizzare in un pacchetto all-in-one. Senza questi, la vostra azienda dovrà tentare di forzare le soluzioni di terze parti a lavorare in armonia senza lacune e senza aumentare il rischio; un compito davvero arduo e un fardello amministrativo di cui non avete certamente bisogno.
Pensare a queste best practice di microsegmentazione agli albori del vostro progetto può alleggerire il peso dell'implementazione di questa tecnologia innovativa, assicurandovi di aver preso in considerazione i comuni ostacoli fin dall'inizio.
La microsegmentazione può funzionare come alternativa ai firewall?
I tradizionali firewall di perimetro progettati per il traffico nord-sud non possono assicurare il controllo e le performance necessari per proteggere le applicazioni e i workload dinamici di oggi. Le organizzazioni possono usare tecnicamente i firewall all'interno del perimetro per implementare un modello di sicurezza stratificato, ma è semplicemente poco pratico per la maggior parte delle aziende a causa della spesa e della quantità di tempo necessario per configurare e gestire le necessarie policy. Di conseguenza, le imprese di oggi necessitano di un modo migliore per proteggere grandi volumi di traffico est-ovest dagli attacchi informatici.
Con una rete relativamente semplice, qualsiasi porta o server può comunicare con qualsiasi altra/o. Ciò significa che, se il firewall di un server viene violato, un autore delle minacce può spostarsi facilmente su tutti gli altri server nella rete.
La prevenzione del movimento laterale all'interno del data center fornisce una forte difesa contro gli autori di attacchi che superano le misure di controllo del perimetro. La microsegmentazione come alternativa al firewall può aiutare le aziende ad applicare controlli delle policy sempre più granulari per controllare l'attività est-ovest e limitare l'impatto di una violazione.
L'applicazione di policy di segmentazione a livello di applicazione (Livello 7) previene efficacemente il movimento laterale in quanto è nel Livello 7 che i servizi di rete si integrano con il sistema operativo. I miglioramenti più recenti nella microsegmentazione a questo livello consentono ai team di sicurezza IT di visualizzare e controllare l'attività al Livello 7, oltre che al tradizionale Livello 4. Ciò significa che, anziché fare affidamento su indirizzi IP e porte, le organizzazioni possono usare processi specifici per definire le policy di segmentazione per il data center. Ciò consente agli amministratori di rispettare specifici requisiti di sicurezza e conformità definendo policy in base ad attributi come processi, identità degli utenti o nomi di domini completi.
La microsegmentazione offre anche diversi vantaggi rispetto ai metodi tradizionali ed è perfetta come firewall di segmentazione interno per il data center. Piuttosto che introdurre punti di strozzatura nell'infrastruttura, esegue su ciascun sistema degli agenti in grado di organizzarsi tra loro per creare e applicare policy di segmentazione definite dal software. Perciò, la microsegmentazione fornisce molti punti di visibilità da cui poter individuare e contestualizzare l'attività dei vostri ambienti, indipendentemente dalla vostra infrastruttura sottostante attuale e da come evolverà la vostra strategia IT. Ciò consente anche di creare e gestire policy senza modifiche all'infrastruttura o downtime. Non è solo più veloce e facile, ma offre anche un set di controlli che i team di sicurezza IT possono espandere ovunque. Con la microsegmentazione (link a https://www.akamai.com/our-thinking/microsegmentation) come alternativa al firewall, se spostate un workload dal data center al cloud, le sue policy migrano automaticamente insieme ad esso.
In che modo la best practice si inserisce in una strategia di Zero Trust?
Introdotto per la prima volta da Forrester, l'approccio Zero Trust è un'alternativa alla tradizionale strategia di sicurezza perimetrale. Anche se sono stati popolari in passato, i sistemi di difesa incentrati sul perimetro non sono più efficaci al giorno d'oggi. Con le minacce sempre in agguato nel traffico est-ovest, le imprese necessitano di nuovi approcci alla sicurezza stratificati per garantire una strategia di sicurezza robusta.
Il modello Zero Trust presume che ogni utente, dispositivo, sistema o connessione siano già compromessi per impostazione predefinita, sia che derivino dall'interno o dall'esterno della rete. La parte coinvolta serve a creare un'architettura che supporti questo principio ma che consenta, nel frattempo, le attività aziendali legittime, per continuare senza interruzioni o latenze. Questo nuovo modello ha riecheggiato tra i professionisti della sicurezza della rete fin dall'inizio. Tuttavia, sono occorsi anni a fornitori e aziende per capire come realizzarlo negli ambienti senza aggiungere complessità all'infrastruttura.
Oggi, il modello Zero Trust di Forrester, e le tecnologie da esso abilitate come la microsegmentazione, sono maturati al punto da essere pratici da implementare su larga scala in organizzazioni di qualsiasi dimensione. Anche se non esiste un unico fornitore di soluzioni di sicurezza in grado di rispettare ogni aspetto del modello Zero Trust di Forrester, la microsegmentazione può aiutare i team di sicurezza della rete a far progredire significativamente le loro iniziative Zero Trust.
Il primo passo verso la realizzazione del modello Zero Trust è quello di ottenere una comprensione completa del vostro ambiente e delle risorse critiche che state cercando di proteggere. Una buona soluzione di microsegmentazione può aiutarvi a raccogliere informazioni dettagliate da workload, endpoint e reti. Queste informazioni vi aiuteranno a capire le relazioni e le dipendenze tra i vostri workload ed endpoint e i loro normali schemi di comunicazione.
Potete usare questi dati per creare la base del vostro programma Zero Trust, iniziando dalle risorse che hanno la massima priorità. Usando controlli di segmentazione granulari, potete creare intorno ad applicazioni e ambienti specifici dei microperimetri che consentano le attività solo ai team da voi esplicitamente autorizzati. L'approccio Zero Trust consiste, soprattutto, nell'implementare policy che negano tutte le azioni che non sono state espressamente consentite e verificate. Tuttavia, la microsegmentazione definita dal software offre ai team di sicurezza IT anche l'agilità di modificare rapidamente le policy in modo da soddisfare nuovi casi d'uso di sicurezza o eventuali cambiamenti ai requisiti aziendali.
Oltre a servire da base per la visibilità e le policy per l'approccio Zero Trust, una soluzione di microsegmentazione potrebbe anche monitorare in maniera continua i vostri ambienti alla ricerca di possibili minacce e violazioni delle vostre policy Zero Trust. Ciò vi garantirà che la vostra strategia Zero Trust resti solida anche se le vostre applicazioni, i vostri sistemi e i vostri ambienti cambiano nel tempo.
La microsegmentazione può agevolare la conformità alle normative?
Quando si tratta di rispettare la conformità normativa, le aziende fanno fatica a causa dell'ambiente sempre più dinamico in cui operano oggi. Mentre le normative stesse diventano più rigide, le verifiche di sicurezza diventano più comuni, e le conseguenze della mancata conformità sempre più gravi. Possono includere sanzioni, danni alla reputazione aziendale e perfino perdita di profitto finché non viene ristabilita la conformità.
La segregazione fisica dell'infrastruttura IT non è più sufficiente. I workload sono diventati dinamici e il CDE non è statico, inclusi i livelli che consentono il ridimensionamento automatico o modifiche imprevedibili. Le reti e le applicazioni che sono nel mirino delle normative PCI DSS sono complessi. Possono implicare più computer, includere ambienti ibridi come container e VM, e perfino espandersi in più sedi fisiche o fusi orari.
La microsegmentazione sta diventando una scelta popolare per rispettare le normative in termini di conformità, come il PCI DSS. La giusta soluzione può fornire una visibilità impareggiabile nel traffico e nei flussi di dati che attraversano la vostra intera infrastruttura, inclusi gli ambienti ibridi. Può aiutarvi a segmentare la vostra rete, riducendo l'ambito e limitando la comunicazione a livello di processo. Ciò può proteggere il vostro CDE, anche dai movimenti laterali o dai pivot, in caso di violazione. Un motore di policy flessibile per la creazione di regole vi garantirà di mantenere il massimo controllo sul vostro approccio alla microsegmentazione, rispettando requisiti più rigidi, come le autorizzazioni e il comportamento per protocolli non sicuri.
Per la conformità PCI e altre, la microsegmentazione può consentirvi di ottenere una potente visibilità su tutte le vostre applicazioni e i vostri workload a livello di processo, di creare policy flessibili che permettano di rispettare le normative in termini di conformità, e di applicarle per controllare la strategia di sicurezza complessiva che vi renda pronti per qualsiasi verifica.
Perché i clienti scelgono Akamai
Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, la nostra innovativa intelligence sulle minacce e il nostro team operativo su scala globale forniscono una difesa approfondita in grado di proteggere i dati e le applicazioni aziendali ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi, grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere la loro attività senza rischi.