Segmentazione della rete Pratiche migliori di sicurezza

La segmentazione della rete consente a un'organizzazione di ridurre il rischio di cybersicurezza e agisce come un primo passo fondamentale verso la definizione di una politica di sicurezza a fiducia zero. La segmentazione della rete crea i confini della rete dove una politica di sicurezza a fiducia zero può applicare i controlli di accesso.

 

In passato, molte organizzazioni definivano un confine sicuro solo nel perimetro della rete. I passi seguenti illustrano come implementare una segmentazione efficace all'interno della rete aziendale.

Checkup della sicurezza Guida IDC IoT Security

#1. Identificare i dati e le risorse di valore

Non tutti i dati e gli asset di un'organizzazione hanno lo stesso valore. Alcuni sistemi, come il database dei clienti, possono essere essenziali per mantenere le normali operazioni. Altri, come una stampante, sono utili ma non vitali per il funzionamento dell'azienda.

 

L'assegnazione di livelli di importanza e di valore agli asset è un primo passo importante per la segmentazione della rete. Queste etichette saranno poi utilizzate per definire le varie zone di fiducia all'interno della rete.

#2. Assegnazione di etichette di classificazione a ogni asset

Oltre al valore degli asset, è importante considerare anche la sensibilità dei dati che contengono. Le attività che contengono dati molto sensibili, come le informazioni sui clienti, i dati di ricerca e sviluppo, eccetera, possono richiedere protezioni aggiuntive per la conformità alle normative sulla protezione dei dati o alla politica di sicurezza aziendale.

 

Queste etichette devono prendere in considerazione sia la sensibilità dei dati (ad esempio. da pubblico a altamente riservato) e i tipi di dati che un asset contiene. Questo aiuta a definire politiche di segmentazione conformi alle normative vigenti, come il Payment Card Industry Data Security Standard (PCI DSS).

#3. Mappare i flussi di dati attraverso la rete

La segmentazione della rete aiuta a migliorarne la sicurezza, suddividendo la rete in segmenti isolati. Questo rende più difficile per un attaccante muoversi lateralmente attraverso la rete dopo aver ottenuto un punto d'appoggio iniziale.

 

Tuttavia, ci sono alcuni flussi di dati legittimi che devono essere consentiti. Tutti i flussi di dati attraverso tutti i sistemi della rete devono essere mappati, compresi:

 

  • Traffico North-bound: Il traffico diretto a nord lascia la rete aziendale, come i dipendenti che visitano saleforce.com da dispositivi gestiti collegati alla rete aziendale.
  • Traffico est-ovest: Il traffico est-ovest si muove tra i sistemi all'interno del perimetro di rete, come ad esempio un server web front-end e i server di database back-end nella retedata center .
  • Traffico South-bound: Il traffico verso sud comprende i dati che entrano in un segmento o in una zona della rete, ad esempio i clienti o i dipendenti che accedono a un server web situato in sede in una rete DMZ o nell'intranet aziendale.

#4. Definire i gruppi di attività

Alcuni asset all'interno della rete di un'organizzazione sono utilizzati per scopi simili e comunicano regolarmente. Segmentare questi sistemi l'uno dall'altro non ha senso, in quanto sarebbe necessaria una serie di eccezioni per mantenere la normale funzionalità.

 

Quando si definiscono i gruppi di asset, è importante considerare sia questa funzionalità simile che la sensibilità dei vari asset della rete aziendale. Tutte le attività che servono a scopi simili e con livelli di sensibilità simili dovrebbero essere raggruppate in un segmento separato da altre attività con livelli di fiducia o funzioni diverse.

#5. Implementare un gateway di segmentazione

Definire i confini dei segmenti è importante, ma non fornisce alcun beneficio all'organizzazione se questi confini non vengono applicati. L'applicazione dei controlli di accesso su ciascun segmento di rete richiede la creazione di un gateway di segmento all'indirizzo deployment.

 

Per far rispettare il confine di un segmento, tutto il traffico di rete che entra ed esce da quel segmento deve passare attraverso il gateway. Di conseguenza, un'organizzazione potrebbe aver bisogno di più gateway per implementare una segmentazione efficace. Questi requisiti possono aiutare a decidere se selezionare un firewall hardware o un firewall virtuale.

#6. Creare politiche di controllo dell'accesso

Il traffico tra gli asset all'interno di un particolare segmento può essere consentito senza limitazioni. Tuttavia, le comunicazioni intersegmento devono essere monitorate dal gateway di segmento e rispettare le politiche di controllo degli accessi.

 

Queste politiche devono essere definite in base al principio del minimo privilegio, secondo il quale un'applicazione, un dispositivo o un utente devono avere il livello minimo di permessi necessari per svolgere il proprio lavoro. Questi permessi devono essere basati sui flussi di dati legittimi identificati al punto 3.

#7. Eseguire controlli e revisioni periodiche

Dopo aver definito i micro-segmenti, aver implementato un gateway di segmentazione e aver creato e applicato le politiche di controllo degli accessi, il processo di implementazione della segmentazione della rete è in gran parte completo. Tuttavia, la definizione di una politica di segmentazione della rete non è un esercizio da fare una volta sola.

 

Le politiche di segmentazione della rete possono cambiare a causa dell'evoluzione della rete aziendale o di sviste ed errori nel processo di progettazione iniziale. Per affrontare questi potenziali problemi, è necessario effettuare audit periodici per determinare se sono state apportate modifiche, se esistono rischi inutili nel sistema e come aggiornare i segmenti di rete e i controlli di accesso per mitigare questi rischi.

#8. Automatizzare dove possibile

Definire una politica di segmentazione della rete può essere un compito enorme, soprattutto per le reti di livello aziendale. Tentare di eseguire tutti questi passaggi manualmente può essere difficile o impossibile.

 

Per questo motivo, è importante sfruttare le capacità di automazione ogni volta che è possibile. Soprattutto nella fase di scoperta e classificazione, l'automazione può essere preziosa per identificare i nuovi asset aggiunti alla rete, i loro flussi di comunicazione, se contengono vulnerabilità e applicare la politica di segmentazione della rete.

Implementazione della segmentazione della rete per l'IoT con Check Point

Il rilevamento e l'etichettatura automatizzati sono diventati più preziosi con la crescita del sito Internet of Things (IoT). Questi dispositivi sono spesso insicuri e la segmentazione è necessaria per isolarli dai sistemi critici della rete aziendale. Tuttavia, per implementare un'efficace IoT Security richiede un firewall che comprenda i protocolli IoT. Per vedere la segmentazione della rete per l'IoT in azione, può richiedere una demo.

Per iniziare

Carta bianca sulla sicurezza Zero Trust

Soluzione di sicurezza Zero Trust

Guida all'acquisto dei firewall di nuova generazione

Argomenti correlati

Che cos'è la segmentazione della rete?

Che cos'è la microsegmentazione?

What is Macro-Segmentation?

Sicurezza ICS

Sicurezza della tecnologia operativa (OT)

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK