Il nuovo approccio alla cyber security impone di implementare sistemi che consentano di avere una perfetta visibilità del network. Le soluzioni di microsegmentazione consentono di ottenere questo risultato, ma quali strumenti scegliere e quali caratteristiche devono essere privilegiate nella scelta e nella definizione della strategia di controllo della rete?
Gli obiettivi della microsegmentazione
Gli attacchi dei pirati informatici sono sempre più sofisticati e si articolano, normalmente, in più fasi: dopo aver ottenuto un accesso iniziale alla rete della vittima, i cyber criminali eseguono un “movimento laterale” che consente loro di raggiungere gli obiettivi più sensibili e sferrare il loro attacco.
Da un punto di vista logico, le soluzioni di microsegmentazione mirano a creare un ambiente che consenta di avere un controllo estremamente raffinato del traffico dati interno alla rete. L’uso degli strumenti software e della virtualizzazione, infatti, permettono non solo di separare porzioni di rete per filtrare il traffico da una zona all’altra, ma di introdurre un sistema di analisi delle comunicazioni anche a livello delle sottosezioni del network, tra le singole macchine. Semplificando il concetto, è come se ogni server fosse dotato di un firewall con regole personalizzate, attraverso il quale è possibile individuare eventuali attività sospette. Un approccio, questo, che consente di garantire il controllo anche all’interno di reti estremamente articolate e complesse.
La criticità dei sistemi legacy e la visibilità
Rispetto ai sistemi tradizionali, le soluzioni di microsegmentazione consentono di introdurre sistemi firewall tramite agent con caratteristiche che rendono possibile, per esempio, applicare strategie di protezione anche per i sistemi più vulnerabili, cioè quelli per cui non è più attivo il supporto a livello di sicurezza. Si tratta di uno scenario che, a livello aziendale, si presenta con una certa frequenza. Applicazioni personalizzate, o linee di produzione con limiti di compatibilità e legate di conseguenza a sistemi operativi legacy, rappresentano fattori di vulnerabilità che possono pregiudicare il livello complessivo delle infrastrutture. Attraverso la microsegmentazione questi nodi possono essere protetti in maniera puntuale, limitandone la connessione solo allo stretto necessario. Ancora più importante, però, è la possibilità di ottenere una visibilità puntuale dei flussi di comunicazione tra i diversi sistemi.
La declinazione pratica delle soluzioni di microsegmentazione
L’implementazione di un sistema di segmentazione passa per l’installazione di agent specializzati su ogni singola macchina, avviando una catalogazione dei sistemi attraverso tag. In questo modo è possibile ottenere una mappatura “intelligente” che permette di usare i criteri di catalogazione per creare le regole di accesso per host, applicazioni e utenti. L’adozione di soluzioni di microsegmentazione con una buona versatilità a livello di catalogazione offre un vantaggio strategico in prospettiva della definizione delle policy di accesso a dati e servizi. Altro elemento critico è quello legato all’accuratezza e alla consistenza dei dati raccolti dall’agent a livello del singolo sistema. Una maggiore visibilità delle applicazioni e degli accessi (anche a livello utente) consente infatti di definire in maniera più precisa le regole da applicare a livello di microsegmentazione.
Quale strategia adottare?
Le caratteristiche degli agent determinano, a monte, il livello di controllo sui sistemi informatici. Se la capacità degli agenti di andare a fondo nell’analisi del traffico di rete rappresenta un indubitabile vantaggio in termini assoluti, l’opportunità di tararne la pervasività dipende dal contesto in cui le soluzioni di microsegmentazione vengono implementate. In altre parole, ci sono ambiti in cui è auspicabile operare a livello di ogni singola macchina per avere la massima visibilità e profondità di analisi possibile. In altri contesti, per esempio quando la sensibilità dei dati suggerisce di limitare l’analisi del traffico a livello del virtualizzatore o dei container, si limita l’analisi a livello numerico e viene eseguita solo attraverso chiamate a sistema. La scelta, come succede spesso in ambito cyber security, è quindi definita dalle esigenze concrete e non da un modello ideale o astratto.
