Segmentazione della rete VLAN vs segmentazione della rete SDN
La VLAN è stato uno dei primi modi per isolare i segmenti di rete ed è uno dei più semplici.
Per avere un'idea più precisa del funzionamento della VLAN, confrontiamola con una forma più moderna di approccio alla segmentazione della rete: il Software Defined Networking (SDN).
Segmentazione VLAN
Ecco come funziona la segmentazione VLAN.
Connessione a una VLAN
Quando un host desidera connettersi alla propria sottorete VLAN, la richiesta del dispositivo viaggia via Internet verso un router, che quindi smista la richiesta e la invia allo switch pertinente.
Porte e switch
Questo interruttore trasferisce i dati da e verso il segmento di rete corrispondente.
Il controllo degli utenti che accedono a quale VLAN è fondamentale per proteggere la segmentazione della rete. In molte organizzazioni, l'accesso viene gestito assegnando un'appartenenza specifica alla VLAN alle porte o agli indirizzi MAC. Questi switch consentono quindi l'invio e la ricezione dei dati solo alle porte corrette, consentendo agli amministratori di rete di imporre l'accesso VLAN all'interno di un'organizzazione.
Assegnazione di tag VLAN
Le porte non sono l'unico modo, tuttavia, e le connessioni a VLAN singola possono essere ottenute anche con il tagging VLAN.
In questo modo viene aggiunta una piccola intestazione ai frame Ethernet inviati; durante il trasferimento di questi pacchetti, lo switch ricontrolla il tag, impedendo la perdita di dati in altre subnet VLAN. Ancora meglio, i tag VLAN sono Layer 2 – separati dall'indirizzo IP – i dispositivi possono essere collegati fino alla stessa struttura VLAN, anche se si trovano in intervalli di indirizzi IP diversi.
Sebbene scalabili e molto flessibili, gli switch rimangono parte integrante dell'implementazione VLAN. Ma questa forma fisica di strategia di segmentazione della rete non è più l'unica opzione.
Segmentazione del Software Defined Networking (SDN)
L'SDN astrae completamente il piano di controllo dall'hardware fisico. Ciò significa che, invece di affidarsi alla segmentazione fisica, gli SDN possono utilizzare la segmentazione logica per ottenere un effetto simile.
La distinzione
Per quanto riguarda la segmentazione della rete, tuttavia, l'importante distinzione risiede nel modo in cui la VLAN suddivide i gruppi statici di dispositivi in sottoreti fisiche, mentre l'SDN è un approccio più ampio in grado di gestire i gruppi di rete, i dispositivi e l'accesso alla rete dei carichi di lavoro da un pannello di controllo centrale.
Vantaggi della segmentazione VLAN
Il vantaggio principale della segmentazione dell'intera rete è che limita il movimento laterale, o da est a ovest.
Ciò limita in modo esplicito il movimento che gli attori malintenzionati e il malware potrebbero utilizzare quando attaccano l'organizzazione. Oltre a questo, la segmentazione VLAN offre alcuni altri vantaggi, unici per la sua semplicità.
Prestazioni di rete migliorate
All'interno di una LAN, tutti i dispositivi inviano costantemente frequenti trasmissioni, comunicano e localizzano le risorse di rete. Quando le LAN aumentano di dimensioni, questo traffico in background può diventare rapidamente problematico.
Le VLAN riducono la congestione della rete semplicemente suddividendo una rete più grande in parti pertinenti.
In questo modo, le VLAN riducono le richieste di risposta a ciascun dispositivo a queste infinite query in background e quindi consentono loro di dedicare risorse esclusivamente al traffico pertinente. Infine, dal punto di vista di un amministratore, è possibile limitare o impostare limiti sull'utilizzo della larghezza di banda di ciascuna subnet, contribuendo a moderare l'uso delle risorse a pagamento.
Ridimensionamento facile
Man mano che un'organizzazione si espande da una semplice LAN al territorio VLAN, è importante scegliere un'architettura in grado di scalare ben oltre il futuro. La VLAN è adatta per un'ulteriore crescita, in quanto le nuove sottoreti possono essere configurate rapidamente senza dover rivedere la struttura più ampia.
Amministrazione di rete semplificata
Raggruppando i dispositivi in modi più strategici, l'amministrazione della rete può beneficiare di una notevole semplificazione. A tale scopo, l'infrastruttura VLAN supporta la gestione pratica con la VLAN di gestione. Per impostazione predefinita, si tratta della VLAN 1 che monitora in remoto il dispositivo in ogni sottorete tramite SSH, Telnet e syslog.
Con una miriade di vantaggi rispetto alla tipica architettura LAN, la VLAN è un primo passo altamente accessibile verso un'architettura più sicura.
Svantaggi della VLAN
Tuttavia, la sua accessibilità comporta una serie di problemi di sicurezza e prestazioni.
Non intrinsecamente Zero Trust
Con ogni dispositivo e utente che dispone di una VLAN di gruppo, la minaccia di un utente malintenzionato che irrompe e ottiene l'accesso a ogni segreto aziendale diminuisce. Tuttavia, il rischio non è scomparso per sempre: si presume che ogni dispositivo all'interno della VLAN sia ancora affidabile.
Ciò significa che, per gli aggressori, alcuni ruoli diventano intrinsecamente più preziosi da prendere di mira: DevOps merita una menzione d'onore per l'attenzione dannosa che ricevono.
Rispetto agli approcci di microsegmentazione più ristretti, il design relativamente semplice della VLAN significa che non è in grado di reagire alle mutevoli condizioni della rete segmentata e al comportamento del dispositivo senza ulteriori strumenti.
Segmentazione non universale
Sebbene le VLAN offrano assolutamente un modo per segmentare una rete, la loro idoneità per le organizzazioni più grandi inizia a degradarsi se si considera che segmentano una singola rete fisica.
Pertanto, se si dispone di due uffici, entrambi con i propri team IT e una rete separata, la segmentazione VLAN non è in grado di gestire le subnet a cui entrambi i team IT devono accedere congiuntamente. Dopotutto, le VLAN sono progettate per separare il traffico di rete: se si desidera consentire l'accesso tra due VLAN, è necessario il routing tra VLAN, che è intrinsecamente a rischio più elevato e richiede revisioni regolari degli elenchi di controllo degli accessi tra VLAN.
Può introdurre vulnerabilità
Il fatto che l'infrastruttura VLAN sia così consolidata significa che gli aggressori hanno decenni di esperienza nell'utilizzo degli attacchi contro di essa. Ciò espone il rischio di una leggera cattiva gestione che porta al salto della VLAN.
Un traffico oggetto di spoofing proveniente dalla VLAN 1 concede l'accesso dannoso alle porte trunk e quindi al resto dei segmenti di rete.
Crea una topologia a prova di futuro con Check Point
Zero trust è più di una parola d'ordine aziendale: è una filosofia di sicurezza che limita ogni dispositivo ai singoli sistemi e alle risorse di cui ha bisogno. La segmentazione delle macro, come le subnet VLAN, è un ottimo primo passo per l'implementazione di questo approccio, ma è fondamentale introdurre un'ulteriore protezione per ogni subnet.
Per l'implementazione on-premise, i Next Generation Firewall (NGFW) di Check Pointgarantiscono visibilità e controllo completi sul traffico e sulle richieste che fluiscono da e verso le subnet. Con opzioni di throughput ad alta larghezza di banda, l'ispezione approfondita dei pacchetti dell'NGFW consente di rilevare e bloccare le richieste dannose al momento giusto. Scopri come con una demo qui.
Le configurazioni basate su cloud, d'altra parte, richiedono la virtualizzazione della rete e la sicurezza offerte da CloudGuard Infrastructure as a Service (IaaS). Scopri come implementare la sicurezza automatizzata nel cloud pubblico, privato e ibrido e inizia subito ad adottare la topologia di rete zero-trust.
Feedback