Come funziona la macrosegmentazione
La macrosegmentazione è spesso implementata come overlay sull'infrastruttura di rete fisica di un'organizzazione. Questo si ottiene con una combinazione di firewall e reti locali virtuali (VLAN).
Una VLAN è una rete virtualizzata che definisce il modo in cui il traffico deve essere instradato sulla rete fisica. Ciò significa che, se due sistemi si trovano su VLAN diverse, potrebbe non essere possibile instradare il traffico direttamente tra loro. Invece, le VLAN sono configurate in modo che tutto il traffico tra le VLAN debba prima passare attraverso un firewall. Ciò consente al firewall di imporre i confini tra le VLAN - cioè di bloccare qualsiasi traffico che tenti di attraversare un confine VLAN senza autorizzazione - e di eseguire l'ispezione di sicurezza e l'applicazione delle politiche di controllo degli accessi.
Macro-segmentazione vs Micro-segmentazione
La macro-segmentazione e la micro-segmentazione sono entrambi metodi per dividere la rete di un'organizzazione in sezioni e possono offrire una serie di vantaggi. Tuttavia, le politiche di macro-segmentazione e micro-segmentazione sono molto diverse:
- Macro-segmentazione: La macrosegmentazione suddivide una rete in gruppi di sistemi, offrendo la possibilità di dividere l'infrastruttura di rete e i sistemi in base ai reparti o ad altri criteri. In genere viene implementato utilizzando VLAN e firewall.
- Micro-segmentazione: La micro-segmentazione solitamente divide l'infrastruttura di un'organizzazione a livello di sistema o addirittura di applicazione. Viene utilizzato per fornire una visibilità e un controllo altamente granulare sui flussi di dati all'interno della rete di un'organizzazione, consentendo l'implementazione di una strategia di sicurezza zero trust. Spesso viene distribuito utilizzando soluzioni definite dal software, perché questi sistemi richiedono già una visibilità e un controllo profondi ai fini del routing (facilitando l'ispezione e l'applicazione di criteri).
I principali vantaggi della macrosegmentazione
La macrosegmentazione trasforma la rete di un'organizzazione da un monolite a una collezione di sottoreti discrete. Questo offre una serie di vantaggi all'organizzazione:
- Visibilità e controllo migliorati: Senza l'implementazione della macro-segmentazione, un'organizzazione ha una visibilità profonda e un controllo sul traffico di rete solo nel perimetro della rete, dove passa attraverso il firewall perimetrale. Con la macro-segmentazione, i firewall di rete interni forniscono un livello molto più profondo di comprensione e controllo dei flussi di dati all'interno della rete di un'organizzazione.
- Miglioramento della sicurezza: Uno dei motivi principali per cui le organizzazioni implementano la macro-segmentazione è quello di fornire una maggiore resistenza ai cyberattacchi. Un aggressore all'interno della rete di un'organizzazione avrà probabilmente bisogno di muoversi lateralmente per raggiungere il suo obiettivo, perché è improbabile che i sistemi comunemente compromessi (postazioni di lavoro degli utenti, ecc.) siano l'obiettivo dell'aggressore. La macrosegmentazione consente all'organizzazione di ispezionare i flussi di dati interni ai confini dei segmenti, aumentando la probabilità di rilevare questo movimento laterale.
- Aumento delle prestazioni della rete: La macrosegmentazione consente a un'organizzazione di segmentare una rete in base alle sue esigenze aziendali. Questo può contribuire a ridurre la latenza e la congestione della rete, assicurando che i sistemi che comunicano frequentemente tra loro siano strettamente collegati e che i flussi di rete superflui non consumino una preziosa larghezza di banda.
- Conformità normativa: Alcune normative sulla protezione dei dati, come il Payment Card Industry Data Security Standard (PCI DSS), impongono alle organizzazioni di limitare l'accesso ai dati protetti (come le carte di pagamento) in base alla necessità di sapere. La macrosegmentazione è un componente essenziale della Conformità normativa PCI DSS, perché le organizzazioni conformi devono isolare i sistemi utilizzati per l'elaborazione delle carte di pagamento dal resto della rete aziendale.
Implementazione della macrosegmentazione con Check Point
La macrosegmentazione utilizza i firewall di rete interni per definire le VLAN ed eseguire l'ispezione dei contenuti del traffico che scorre attraverso i confini delle VLAN. Questo offre una serie di vantaggi diversi a un'organizzazione e probabilmente è un componente critico della sicurezza dei dati e della strategia di Conformità normativa di un'azienda.
Tuttavia, le organizzazioni devono considerare anche l'usabilità della loro infrastruttura di rete quando progettano e implementano una strategia per l'implementazione della macro-segmentazione all'interno delle loro reti. Se tutto il traffico di rete interno che attraversa i confini dei segmenti sarà costretto a passare attraverso i firewall di rete interni, le organizzazioni hanno bisogno di firewall con un elevato throughput e solide funzionalità di ispezione di sicurezza, per massimizzare sia le prestazioni di rete che la sicurezza.
Le soluzioni di sicurezza di Check Point consentono alle organizzazioni di implementare una macro-segmentazione efficace attraverso l'intera infrastruttura di rete. Check Point Next Generation Firewall (NGFW) fornisce una solida sicurezza e un elevato throughput per l'infrastruttura on-premise, mentre Check Point CloudGuard offre visibilità e soluzioni di sicurezza cloud-native per l'infrastruttura cloud-based di un'organizzazione deployment. Per vedere queste soluzioni in azione, richieda le demo delle soluzioni Check Point NGFW e CloudGuard Infrastructure as a Service (IaaS).
Feedback