Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Microsegmentazione delle reti: quanto è sicura nelle architetture cloud?

pittogramma Zerouno

TechTarget Tech InDepth

Microsegmentazione delle reti: quanto è sicura nelle architetture cloud?

26 Gen 2018

di Riccardo Cervelli - Fonte TechTarget

Grazie alla diffusione delle tecnologie di software-defined datacenter e di software-defined networking, la microsegmentazione si è fatta spazio, come metodologia per gestire meglio la sicurezza e le prestazioni delle risorse IT, negli ambienti on-premises. Ora team di sviluppo e della security sono impegnati a capire come utilizzarla a livello di architetture hybrid cloud

La microsegmentazione è un’opzione sempre più presa in considerazione nella progettazione delle architetture IT delle aziende impegnate a sviluppare la digitalizzazione del loro business. Questa disciplina è concettualmente un’evoluzione della tradizionale segmentazione delle reti IT, un’attività attuata da diversi decenni dai responsabili di networking attraverso la suddivisione delle reti principali in sottoreti (subnet), che permettono a determinati scambi di richieste e trasmissioni di dati fra risorse It di non percorrere tutte le reti aziendali nel loro complesso. Grazie alla segmentazione in sottoreti, gli amministratori di rete e i responsabili della sicurezza possono garantire agli utenti e agli host appartenenti alle singole subnet le migliori prestazioni offerte dai software e dagli hardware utilizzati e, allo stesso tempo, implementare strategie dedicate di access control e sicurezza.

Programmabilità e controllo centralizzato

La creazione delle sottoreti con gli approcci di networking tradizionale necessita di molto lavoro manuale: all’inizio di progettazione del network e di pianificazione della sua implementazione, e quindi di installazione e configurazione ad uno ad uno dei diversi apparati di rete (switch, access point, gateway, router) e di sicurezza (in particolare i firewall). Per queste ragioni, fino all’avvento delle tecnologie software-defined networking (SDN), la segmentazione è stata attuata sempre in modo più parco possibile da parte degli amministratori.

Le tecnologie di software-defined networking consentono, negli ambienti IT già sufficientemente virtualizzati, di centralizzare la creazione, la gestione, il monitoraggio e la sicurezza della segmentazione delle reti. Il tutto via software. Per questo motivo oggi si parla di “programmabilità” della network segmentation e del networking e della security più in generale. Non solo. Grazie alla maggiore facilità e rapidità con cui il SDN consente di segmentare le reti, ha iniziato a diffondersi la tecnica della microsegmentazione (microsegmentation). Alla base sta il riconoscimento dei suoi vantaggi ai fini di un migliore sfruttamento delle prestazioni delle risorse IT presenti all’interno di ambienti omogenei (per utenti, workload, device, ecc) e della sicurezza. Quanto a quest’ultima, la microsegmentazione è vantaggiosa perché riduce le superfici di attacco da parte di hacker e malware, e permette l’applicazione di regole e policy di sicurezza granulari e una maggiore controllo dei traffici cosiddetti East-West, o orizzontali, fra microsegmenti. Sempre a proposito di security, un altro importante vantaggio offerto dalle nuove tecnologie di microsegmentazione è quello di poter abbinare – già in fase di sviluppo applicativo (per questo è importante la creazione di team di development e operation che collaborano fra loro, anche in un’ottica di DevOps)

Pro e contro della microsegmentation sfide cloud

Non c’è un unico modo di implementare e gestire la microsegmentazione. Per quanto riguarda gli ambienti datacenter, le principali sono due:

  • la prima è l’installazione di soluzioni di SDN fornite dai vendor di tecnologie per la virtualizzazione e per la creazione di private cloud;
  • la seconda è l’acquisto di firewall di nuova generazione (Next generation firewall, NGFW) che includono funzionalità per la microsegmentazione e per la creazione e l’enforcement di regole e policy di sicurezza.

È possibile adottare contemporaneamente le due modalità. Il rischio insito nell’”innamoramento” per la microsegmentation è la complessità della gestione di ambienti con centinaia o migliaia di microsegmenti con, al loro interno, workload o virtual machine, ciascuno con peculiari set di security rule, ma che devono comunicare con altri applicativi e VM di altri microsegmenti. Da una parte, quindi, bisogna evitare la cosiddetta overmicrosegmentation, che rischia di rendere difficoltoso mantenere coerenza e controllo ottimale su un’architettura; dall’altra è consigliabile rivolgersi a soluzioni che offrano le migliori funzionalità di automazione, orchestrazione e – possibilmente – machine learning (ML). Sempre di più in futuro l’intelligenza artificiale (AI) avrà un ruolo importante anche nella gestione della microsegmentazione.

Siccome, come si suol dire, l’appetito vien mangiando, oggi le aziende mirano a usufruire dei vantaggi della microsegmentazione anche nell’ambito delle architetture hybrid cloud, in cui esistono workload che operano con elementi in parte all’interno della rete aziendale e in parte sui server di Cloud service provider (CSP) come Amazon Web Service (AWS), Microsoft Azure o Google. Ciascuno di questi provider già utilizza per proprio conto tecnologie di microsegmentation finalizzate a garantire la maggiore sicurezza possibile ai propri clienti pur in un ambiente multi-tenant per definizione (come è un public cloud). Alcuni di questi cloud hanno già iniziato a offrire ai loro clienti (tenant) strumenti per gestire le proprie architetture e i propri workload ospitati sul cloud in ottica di microsegmentation, sia ai fini di sicurezza sia di migliore sfruttamento delle prestazioni, e di conseguenza migliore ritorno degli investimenti (le performance sui public cloud si pagano a consumo).

Va considerato, però, che i tool di microsegmentation che attualmente offrono i provider sono meno ricchi di funzionalità e meno trasparenti, gestibili e aperti (nel senso della facilità di integrazione fra ambienti basati su stack tecnologici di vendor differenti) di quelli che le aziende possono acquistare per implementare nelle loro reti e nei loro datacenter. Nei prossimi mesi, però, sono previste novità da parte sia dei fornitori di tecnologie di software-defined datacenter (SDDC) e di software-defined networking (SDS), sia da parte dei CSP che permetteranno una maggiore integrazione, automazione, controllo e sicurezza di architetture microsegmentate che spaziano in ottica sia hybrid cloud sia multi-cloud. A favorire ciò è anche una sempre maggiore tendenza alla predisposizioni di Application programming interface (API) per favorire l’integrazione fra ambienti di terze parti e quindi anche la migrazione di workload, VM e container nel cloud.

Riccardo Cervelli - Fonte TechTarget

57 anni, giornalista freelance divulgatore tecnico-scientifico, nell’ambito dell’Ict tratta soprattutto di temi legati alle infrastrutture (server, storage, networking), ai sistemi operativi commerciali e open source, alla cybersecurity e alla Unified Communications and Collaboration e all’Internet of Things

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

LinkedIn

Twitter

Whatsapp

Facebook

Link

Articolo 1 di 4