La segmentazione della rete è una tecnica di sicurezza della rete che divide una rete in sottoreti più piccole e distinte. I team di rete possono suddividere le sottoreti in compartimenti e fornire a ciascuna controlli e servizi di sicurezza unici.

Il processo di segmentazione della rete comporta il partizionamento di una rete fisica in diverse sottoreti logiche. Una volta che la rete è stata suddivisa in unità più piccole e più gestibili, i controlli vengono applicati ai singoli segmenti suddivisi in compartimenti.

La segmentazione della rete fornisce servizi di sicurezza unici per segmento di rete, offrendo un maggiore controllo sul traffico di rete, ottimizzando le prestazioni della rete e migliorando il livello di sicurezza.

Innanzitutto, una maggiore sicurezza. Sappiamo tutti che con la sicurezza si è forti solo quanto l'anello più debole. Una rete piatta di grandi dimensioni presenta inevitabilmente un'ampia superficie di attacco. Tuttavia, quando una rete di grandi dimensioni viene suddivisa in sottoreti più piccole, l'isolamento del traffico di rete all'interno delle sottoreti riduce la superficie di attacco e impedisce lo spostamento laterale. Pertanto, in caso di violazione del perimetro della rete, i segmenti di rete impediscono agli hacker di spostarsi lateralmente all'interno della rete.
Inoltre, la segmentazione fornisce un modo logico per isolare un attacco attivo prima che si diffonda nella rete. Ad esempio, la segmentazione assicura che il malware in un segmento non influisca sui sistemi in un altro. La creazione di segmenti limita la diffusione di un attacco e riduce al minimo la superficie di attacco.

Parliamo ora delle prestazioni. La segmentazione riduce la congestione della rete e migliora le prestazioni della rete rimuovendo il traffico non necessario in un particolare segmento. Ad esempio, i dispositivi medici di un ospedale possono essere segmentati dalla rete dei visitatori in modo che non siano interessati dal traffico di navigazione web degli ospiti.

Grazie alla segmentazione della rete, abbiamo un minor numero di host per sottorete, riduciamo al minimo il traffico locale per sottorete e limitiamo il traffico esterno solo a quello designato per la sottorete.

La segmentazione della rete crea più segmenti isolati all'interno di una rete più ampia, ognuno dei quali può avere policy e requisiti di sicurezza diversi. Questi segmenti contengono tipi di applicazioni o endpoint specifici con lo stesso livello di affidabilità.

Esistono diversi modi per eseguire la segmentazione della rete. Esamineremo prima la segmentazione basata sul perimetro implementata con le VLAN, quindi la segmentazione eseguita più in profondità nella rete con tecniche di virtualizzazione della rete.

Segmentazione basata sul perimetro

La segmentazione basata sul perimetro crea segmenti interni ed esterni in base all'attendibilità: ciò che è interno al segmento di rete è considerato attendibile, mentre ciò che è esterno non lo è. Di conseguenza, ci sono poche restrizioni sulle risorse interne, che comunemente operano su una rete piatta con una segmentazione interna minima. Il filtro e la segmentazione avvengono in punti di rete fissi.

Originariamente, le VLAN sono state introdotte per suddividere i domini di broadcast e migliorare le prestazioni della rete. Nel corso del tempo, le VLAN sono state utilizzate sempre di più come strumento di sicurezza, ma non sono mai state concepite per questo. Il problema con le VLAN è che non esiste alcun filtro all'interno della VLAN; il loro livello di accesso è molto ampio.

Inoltre, per spostarsi tra i segmenti, è necessaria una policy. Con la policy, puoi interrompere il flusso di traffico da un segmento all'altro o limitarlo (in base al tipo di traffico, all'origine e alla destinazione).
Il firewall di rete è uno strumento comunemente utilizzato per la segmentazione basata sul perimetro. Originariamente veniva impiegato per controllare lo spostamento nord-sud del traffico di rete, consentendo al contempo la comunicazione any-to-any all'interno di un segmento.

Virtualizzazione della rete

Oggi, molte organizzazioni gestiscono una varietà di aree di rete con funzioni specifiche che richiedono la segmentazione in numerosi punti della rete. Inoltre, gli endpoint che la rete deve supportare sono cresciuti fino a includere numerose tipologie, ciascuna con diversi livelli di affidabilità.

Di conseguenza, la segmentazione basata sul perimetro non è più sufficiente. Con l'avvento, ad esempio, del cloud, del BYOD e dei dispositivi mobili, il perimetro è ora sfumato senza punti di demarcazione chiari. Ora abbiamo bisogno di una segmentazione più profonda della rete per migliorarne la sicurezza e le prestazioni. Inoltre, con gli attuali modelli di traffico est-ovest, è necessaria una segmentazione della rete ancora maggiore. È qui che entra in gioco la virtualizzazione della rete, che porta la segmentazione a un livello superiore.

Nella sua forma più semplice, la virtualizzazione della rete consiste nel provisioning di servizi di rete e sicurezza indipendenti dall'infrastruttura fisica. Abilitando la segmentazione nell'intera rete e non solo nel perimetro, la virtualizzazione della rete svolge un ruolo chiave nel promuovere una segmentazione efficiente della rete. In effetti, la segmentazione basata sul perimetro a cui eravamo abituati in passato è ora virtualizzata e distribuita, insieme a policy di sicurezza flessibili e granulari, fino a ogni singolo segmento della rete.