Caricamento
12/02/2019

Network Segmentation: un approfondimento

arrow_back

Back to Blog
Network Segmentation: un approfondimento

Tra le best practice più importanti in materia Cyber Defense c’è la Network Segmentation, fisica o virtuale che sia. Perché?

La risposta è semplice, ed è inutile illudersi, perché tanto “un’infezione prima o poi te la prendi”. A volte è importante prendere in considerazione questo statement, in quanto aiuta a riflettere e su quale sarebbe il danno in caso si subisse un’infezione, ma non solo,  è utile anche per studiare le contromisure che possano ridurre il rischio di propagazione all’interno della rete.

Come del resto anche in questo specifico ambito, lo slogan la rete non ha confini è molto azzeccato. Infatti, nel pianificare il percorso di Network Segmentation non si può escludere nessuno dei possibili punti e metodi di accesso alla rete: wired, wireless e VPN. Oltre a prendere in considerazione questi punti potrebbe aver senso concentrarsi in maniera differente sui vari segmenti di rete, in base al livello di rischio che possono nascondere. Un esempio è la distinzione tra la rete IT e la rete OT.

La proliferazione dei dispositivi in rete è ben visibile agli occhi di tutti, non solo nei contesti di Mobility Everywhere. Inconsciamente si tende a dare accesso a chiunque ma soprattutto a qualsiasi dispositivo. Del resto è impossibile impedire questo processo e probabilmente sarebbe sbagliato farlo a prescindere, soprattutto oggi che esistono tecnologie in grado di rendere l’accesso alla rete un percorso semplice e sicuro oltre che automatizzato, sia che si tratti di un utente ospite, che si tratti di un dispositivo Smart, di IoT, di BYOD e così via.

Ma quali sono le esigenze che un reparto IT necessita di affrontare nella gestione quotidiana della rete?

  • Avere consapevolezza e visibilità in tempo reale degli apparati connessi, delle loro caratteristiche e condizioni
  • Regolamentare l’accesso ad utenti e dispositivi autorizzati, impedendo tutto ciò che non è autorizzato
  • Essere informati tempestivamente sui cambi di stato e comportamento dei dispositivi connessi
  • Disporre di un supporto automatizzato per la gestione dei cambi di stato dei dispositivi
  • Limitare al massimo la proliferazione di infezioni in qualsiasi direzione nord-sud / est-ovest

tanto per citarne alcune.

Ciascun utente e dispositivo che richiede accesso alla rete merita un’attenzione differente perché intrinsecamente ogni dispositivo porta con sé un livello di rischio differente. È necessario assegnargli un profilo che possa tenere conto della tipologia, del sistema operativo in uso, delle applicazioni che vi risiedono, dell’utente che lo sta utilizzando (se c’è), della location dalla quale si collega, della modalità di accesso, … e che possa essere d’aiuto ai dispositivi in rete che ne devono gestire il traffico e che eventualmente hanno il compito di applicare contromisure.

L’azienda deve impegnarsi nella definizione di una policy che stabilisca in che modo la rete deve agire ogni qualvolta viene effettuato l’accesso da parte di un dispositivo od utente e quali contromisure deve adottare quando il traffico da essi prodotto non corrisponde alla compliancy definita.

Le tecnologie in campo devono rendere semplice l’attivazione di automatismi in grado di analizzare dispositivo ed utente non appena richiede accesso alla rete, anzi ancora prima che gli venga assegnato un IP (altrimenti sarebbe troppo tardi) e che continuino ad analizzarne lo stato di salute per reagire tempestivamente in caso di problemi. Assegnare un accesso vuol dire assegnare un profilo e istruire dinamicamente tutti i Network Access Device (NAD) a prendere le decisioni necessarie per regolamentare il traffico del client nel tempo.

In questo contesto è molto importante avere le idee chiare e molto spesso è più difficile raggiungere la definizione della policy che si vuole applicare, piuttosto che definire ed implementare gli aspetti tecnici/tecnologici.

Ma la sicurezza è un processo, non un prodotto. 

Sappiamo che non possiamo esimerci dalla definizione delle policy.

Le tecnologie, oggi, sono decisamente mature e complete e non chiedono altro che essere se implementate seguendo le best practice, con tecnologie di vendor strategici e l’esperienza consolidata del partner riescono a semplificare la gestione della rete, piuttosto che complicarla.

Insomma, nel nostro modo di approcciare la Cyber Defense, la Network Segmentation gioca un ruolo indiscutibile e fondamentale, rappresentando uno dei primi step che le aziende devono affrontare per creare il contesto IT corretto per qualsiasi implementazione successiva.

La nostra storia ci vede da sempre concentrati sulle tematiche di Network Security e negli ultimi anni abbiamo consolidato l’esperienza in materia di 802.1x e NAC in diversi contesti, in termini di tipologia, dimensione, su reti distribuite, per qualsiasi tipologia di accesso wired, wireless, VPN, etc. così come in entrambi gli ambiti IT ed OT.

 

A cura di Fabrizio Grasso - Business Manager Security 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Tag List Community
academy accademia zucchetti Alcatel-Lucent Enterprise Analytics audio-video backup Behaviour Analysis Big Data branch security C4You case history certifications Certificazioni Check Point checkpoint Cisco cloud Cloud4Wi clusit Collaboration connectup Corporate Social Responsibility covid-19 cPacket Networks criptovalute cyberbit cybersecurity Datacenter datacore digital restart digital skills Digital Transformation dns eForhum email security Endpoint protection Eventi ferie 2020 GDPR Gruppo Zucchetti HPE HR Hyperconverged Imagicle Incident Resonse Industry 4.0 infoblox infobox IoT Iperconvergenza ISMS iso iso 20000 iso 27001 ISO 9001:2015 IT Academy Lantech Longwave Plebiscito Padova Lion Machine Learning malware Microsoft mindfulness mobility monitoring Network Academy Networking one digital advisor Palo Alto Networks partnership performance Plantronics press review privacy Progetto Junior Cisco protocollo sicurezza Purestorage qualità quality Rainbow Ransomware recruiting Remote Expert resilienza aziendale Security service management servizi for you Servizi gestiti SGQ smart collaboration Smart Working smartworking sophos sophos EVOLVE Storage Supporto tecnico Team Unified Communication VDI voice.for.you Web Isolation Webex Webinar Wi-Fi WiFi workshop zucchetti
Tag List Other Category
backup Big Data case history Cisco Cloud CMX Digital Transformation for.you Lion Mobile Networking Performance Security Telco