La microsegmentazione della rete è una tecnica per la sicurezza IT pensata per tenere sotto stretto controllo il traffico della rete aziendale. Il suo modo di operare, che prevede che due risorse possano comunicare solo se rispettano precisi permessi e policy, la rende indipendente dall’infrastruttura sottostante e consente di garantire il controllo anche all’interno di reti estremamente articolate e complesse. Ma come si realizza una microsegmentazione della rete a regola d’arte? Vediamolo assieme.
1. Prima fase per la microsegmentazione della rete: censimento della rete
Il punto di partenza in una strategia di microsegmentazione della rete è avere ben chiara la struttura della rete e i flussi di comunicazione per poi decidere le regole da applicare. Alcune aziende hanno una situazione abbastanza organizzata, quindi conoscono quello che c’è nella loro rete e come funziona. Magari hanno già un CMDB (Configuration Management Database) molto accurato in cui sono elencate tutte le componenti che fanno funzionare le loro applicazioni. Spesso, però, la situazione è più complessa e la catalogazione richiede molto tempo perché ci sono molte macchine e applicazioni vecchie, installate magari da persone che hanno da tempo lasciato l’azienda, per cui capita che le interazioni tra i vari server per una certa applicazione siano del tutto ignote.
Ricostruita manualmente nel modo più chiaro possibile la topologia della rete, si può partire con la microsegmentazione vera e propria. Va però precisato che è una tecnica di sicurezza che non può essere applicata in blocco a tutto il network aziendale, ma prevede di procedere per gradi, in modo da arrivare ad avere il totale controllo della rete secondo step successivi. Quindi è necessario attribuire delle priorità ai server o alle attività da coinvolgere nella microsegmentazione e procedere di conseguenza. Per esempio, si potrebbe partire proteggendo le applicazioni che elaborano i dati più sensibili e critici, lasciando altri server per una fase successiva.
L’obiettivo di questa fase è creare i tag, cioè le label che saranno associate ai vari server e che sono alla base della microsegmentazione. Queste etichette possono essere ottenute tramite il CMDB o da interviste con il management o con i tecnici IT.
Da questa fase si deve iniziare a fare una sgrossatura sui contenuti delle label e identificare per esempio i server database che contengono dati sanitari, economici o amministrativi.
2. Seconda fase: consolidamento
Dopo aver definito le applicazioni da cui si intende partire, si installano sui relativi server i primi agenti che serviranno per la microsegmentazione. Questi agenti non fanno ancora attività di microsegmentazione, ma consentono di avere visibilità sui server. A volte, ancor prima della microsegmentazione e quindi dell’applicazione delle regole, uno degli obiettivi principali è proprio arrivare a questo livello di visibilità per sapere com’è davvero strutturata la rete. Per esempio, con i dati raccolti dagli agenti, si possono individuare delle comunicazioni non note con altri server che potrebbero anche essere fisicamente esterni all’azienda. Quindi si allarga il perimetro su cui va estesa la sicurezza, perché se uno dei server “sconosciuti” fornisce informazioni indispensabili al funzionamento dell’applicazione presa in esame, dovrà essere protetto e dovrà avere una label relativa a quell’applicazione che vogliamo proteggere.
Anche al primo deploy di label dovrà seguire un affinamento, una rianalisi della fase precedente, e quindi l’eventuale creazione di altre label. La procedura potrebbe anche essere ripetuta tre o quattro volte, fino a ottenere una visibilità dell’applicazione che ci interessa, con tutti gli attori coinvolti e dove ciascuno avrà una propria label.
Questo processo si ripete poi per le altre applicazioni/server secondo la priorità definita inizialmente. In altre parole, il lavoro di microsegmentazione procede secondo ondate successive: dopo aver protetto in una prima fase ciò che è più importante, si eseguono degli affinamenti sempre più accurati.
L’obiettivo è raggiungere una situazione stabile, una fase di controllo totale sulle applicazioni e sulla rete che assicuri che non ci possa essere niente che non sia già stato considerato. In pratica si arriva a una sorta di stato altamente consolidato.
Possiamo dire che la prima fase (quella di censimento) e la seconda fase (quella di consolidamento) siano strettamente collegate.
3. Terza fase: visibilità sulla rete
Con la fase precedente si raggiunge la piena visibilità sulla rete e sulle interazioni tra le varie macchine che consentirà di evidenziare eventuali anomalie oppure controllare le variazioni. Proprio perché le reti non sono statiche e cambiano nel tempo, come anche le applicazioni, è difficile che rimanga qualcosa uguale per più di sei mesi.
4. Quarta fase: definizione delle regole
Ottenuta la piena visibilità della propria rete di comunicazione tra le proprie applicazioni, si sfrutteranno le label per definire le regole di segregazione. L’ideale sarebbe partire con una logica zero trust, ma questo bloccherebbe l’attività aziendale perché si dovrebbero fermare tutti i server. Solitamente si procede accertandosi anzitutto di “chi parla con chi” e con quali protocolli/processi. Stabilite le varie connessioni, si controlla il flusso del traffico dati e quindi si impongono delle regole: per esempio si permette un determinato flusso dati tra i soli server con label ‘Amministrazione’.
In questo modo è come se si andasse a inserire un firewall all’interno di ogni macchina: bisogna pertanto agire cautamente per evitare di bloccare l’attività e fare in modo che si crei la minore turbativa possibile per gli utenti, dal momento che tutto il traffico dati che non sarà stato autorizzato in maniera specifica risulterà totalmente bloccato.
Step conclusivo: monitoring
La microsegmentazione è completata, d’ora in poi va eseguita una sorta di monitoring continuativo. Con gli strumenti che un software di microsegmentazione rende disponibili si può averel’analisi della quantità di traffico o del tipo di traffico all’interno delle macchine, con la segnalazione automatica di eventuali alterazioni. Nel caso ciò accada si può stabilire quale azione seguire. Se il cambiamento è lecito, perché avvenuto per esempio a fronte dell’aggiornamento di un’applicazione, si potrà modificare la baseline di controllo e si avrà quindi un nuovo standard di riferimento. Se invece la causa dovesse risultare qualcosa di diverso, si avrà la possibilità di effettuare un’analisi per individuare il motivo dell’inaspettata variazione e, nel caso di malware, di intervenire istantaneamente su ogni server in modo adeguato, tramite il controllo centralizzato offerto dallo strumento di microsegmentazione.
