Segmentazione della rete
Cos'è la segmentazione della rete?

La segmentazione della rete è una pratica di sicurezza che suddivide una rete in sottoreti più piccole per migliorare la protezione, ridurre la congestione del traffico e migliorare le prestazioni.

Ritratto di un ingegnere in un cantiere edile.
  • Segmentazione della rete in dettaglio
  • Quali sono i diversi tipi di segmentazione della rete?
  • Quali sono i vantaggi della segmentazione della rete?
  • Quali sono i principali casi d'uso per la segmentazione della rete?
  • Qual è la differenza tra segmentazione e microsegmentazione della rete?
  • In che modo la segmentazione della rete supporta zero trust?
  • Segmentazione della rete e HPE Aruba Networking
Segmentazione della rete in dettaglio

Segmentazione della rete in dettaglio

La segmentazione della rete è una pratica di sicurezza che consiste nel suddividere una rete in sottoreti più piccole, ciascuna dedicata a gruppi specifici di dispositivi, utenti o risorse. Questa pratica rafforza la cybersicurezza controllando il flusso di traffico tra sottoreti o segmenti, contenendo così potenziali violazioni della sicurezza all’interno di un segmento specifico e contribuendo a evitare la diffusione laterale delle minacce. Migliora inoltre le prestazioni della rete isolando le risorse critiche dai carichi di lavoro non essenziali.

La segmentazione della rete ottimizza la sicurezza nord-sud riducendo la superficie di attacco e regolando il traffico tra diversi segmenti in base a policy predefinite. Ad esempio, in una grande azienda che fornisce l’accesso di rete a dipendenti, collaboratori e dispositivi IoT, la segmentazione può applicare policy di sicurezza in base al livello di affidabilità dei dispositivi che si connettono, impedendo ai dispositivi IoT di accedere a sistemi sensibili, come quelli finanziari o delle risorse umane e dando priorità agli asset di rete per i dipendenti che lavorano con risorse critiche.

Segmentazione della rete che mostra diversi segmenti per diversi gruppi di utenti e dispositivi.
Segmentazione della rete che mostra diversi segmenti per diversi gruppi di utenti e dispositivi.
TOCCA L'IMMAGINE PER INGRANDIRLA
 Quali sono i diversi tipi di segmentazione della rete?

Quali sono i diversi tipi di segmentazione della rete?

Due tipi di segmentazione della rete soddisfano requisiti di sicurezza diversi.

  • Segmentazione fisica: nota anche come segmentazione basata sul perimetro, questo metodo segmenta fisicamente una rete tramite firewall, switch e connessioni Internet. Diversi gruppi di dispositivi sono collegati a switch separati. Questo tipo di segmentazione è più sicuro ma meno scalabile ed economicamente vantaggioso.
  • Segmentazione virtuale: nota anche come segmentazione logica, questo metodo segmenta le reti fisiche in reti virtuali isolate dal punto di vista logico mediante tecnologie come le VLAN (Virtual Local Area Network). Le reti virtualmente segmentate si comportano come reti separate con policy di sicurezza diverse. Questo tipo di segmentazione è economicamente vantaggioso, ma diventa sempre più complesso e ad alta intensità di risorse man mano che la rete si espande.
 Quali sono i vantaggi della segmentazione della rete?

Quali sono i vantaggi della segmentazione della rete?

La segmentazione migliora la sicurezza, l'efficienza e la gestione della rete nei modi seguenti:

  • Contiene le violazioni della sicurezza:  la segmentazione della rete consente un controllo regolamentato dell'accesso in ogni sottorete, limitando le superfici di attacco e impedendo alle violazioni di diffondersi ad altre sottoreti.
  • Migliora la conformità normativa: i framework normativi regionali e di compliance specifici del settore, come GDPR, PCI DSS, ecc., impongono di limitare l'accesso degli utenti e dei dispositivi ai dati. La segmentazione della rete limita l'accesso dei dispositivi e degli utenti controllando a quali sottoreti si connettono. La segmentazione della rete può anche semplificare gli audit di compliance limitando le revisioni solo alle sottoreti interessate (ad esempio i dati finanziari), anziché all'intera rete. 
  • Rende la rete più efficiente: la segmentazione decongestiona la rete separando il traffico essenziale da quello non essenziale. Ad esempio, ospiti e dipendenti possono connettersi a sottoreti separate in modo tale che i problemi di larghezza di banda nella sottorete guest non influiscano sulle prestazioni della rete per i dipendenti.  
  • Attenzione sulla risoluzione dei problemi: la segmentazione della rete aiuta i team IT e di sicurezza a restringere il loro ambito e a risolvere rapidamente i problemi, concentrandosi esclusivamente sulle sottoreti dove si è verificato un problema o è stata riscontrata una violazione alla sicurezza.
 Quali sono i principali casi d'uso per la segmentazione della rete?

Quali sono i principali casi d'uso per la segmentazione della rete?

  • Accesso guest: la segmentazione della rete consente ai team di sicurezza di offrire agli ospiti l'accesso alla rete con un rischio minimo. Ogni volta che un utente effettua l'accesso come ospite, viene connesso solo alla sottorete dedicata, che offre una connessione Internet ma un accesso limitato o nullo alla rete aziendale.
  • Accesso dei dispositivi IoT e BYOD: i dispositivi BYOD e IoT possono rappresentare un bersaglio frequente per le violazioni della sicurezza. Collegarli a una sottorete isolata con rigide policy di accesso è un modo pratico per limitare le violazioni della sicurezza provenienti da questi dispositivi. 
  • Accesso dei gruppi di utenti: gruppi di utenti diversi necessitano di livelli di accesso diversi. Un team di ingegneri non dovrebbe avere accesso ai dati finanziari o ai sistemi delle risorse umane. Collegando diversi gruppi di utenti a diverse sottoreti, i team di sicurezza possono limitare gli accessi dei vari gruppi, colmando così eventuali lacune nella sicurezza.
  • Audit di rete: la compliance normativa richiede che informazioni critiche come dati finanziari, dettagli delle carte di credito o informazioni personali siano conservate in modo sicuro e questo richiede controlli e verifiche più rigorosi. La segmentazione della rete limita l'accesso alle informazioni critiche inserendo i dati in una sottorete separata e proteggendoli con rigide policy di sicurezza. 
 Qual è la differenza tra segmentazione e microsegmentazione della rete?

Qual è la differenza tra segmentazione e microsegmentazione della rete?

La segmentazione della rete consiste nel suddividere una rete di grandi dimensioni in segmenti più piccoli o sottoreti per migliorarne l'efficienza e la sicurezza. La microsegmentazione è un'ulteriore segmentazione delle sottoreti in base ai carichi di lavoro o alle applicazioni. La microsegmentazione porta la sicurezza a un livello più granulare e protegge le applicazioni all'interno di diverse sottoreti mediante policy di sicurezza più rigorose. 

La segmentazione della rete garantisce un forte controllo del traffico nord-sud, mentre la microsegmentazione viene generalmente utilizzata per controllare il traffico est-ovest. 

 In che modo la segmentazione della rete supporta zero trust?

In che modo la segmentazione della rete supporta zero trust?

Zero trust segue il principio dell’accesso con privilegi minimi. La segmentazione della rete supporta zero trust a livello di rete limitando l'accesso agli utenti e ai dispositivi in base alla loro tipologia. Gli ospiti e i collaboratori possono essere separati dai segmenti dei dipendenti e i gruppi di dispositivi IoT operativi possono essere separati dai sistemi finanziari.
 
La segmentazione della rete aggiunge un ulteriore livello di sicurezza alle diverse risorse e può contribuire a impedire che le violazioni si estendano ai segmenti laterali.  
 Segmentazione della rete e HPE Aruba Networking

Segmentazione della rete e HPE Aruba Networking

HPE Aruba Networking propone un approccio moderno alla segmentazione della rete tramite la Dynamic Segmentation. Dynamic Segmentation utilizza il controllo degli accessi basato su policy nell’ambito di infrastrutture cablate, wireless e WAN, in modo tale che gli utenti e i dispositivi possano comunicare solo con destinazioni coerenti con le loro autorizzazioni di accesso, un aspetto fondamentale per i framework zero trust e SASE.
 
HPE Aruba Networking supporta due modelli di Dynamic Segmentation basati sull'architettura di rete complessiva dell'organizzazione e sulla scelta dell'overlay. Centralizzato e distribuito.
 
Con la Dynamic Segmentation centralizzata, il traffico viene protetto e separato costantemente tramite tunnel GRE tra gli access point e i gateway HPE Aruba Networking. Il controllo accesso di rete (NAC) cloud-native Cloud Auth, HPE Aruba Networking ClearPass Policy Manager e HPE Aruba Networking Central NetConductor forniscono funzionalità di definizione e gestione dei ruoli e degli accessi. I gateway fungono da punti di applicazione delle policy di ingresso tramite il firewall di applicazione delle policy (PEF) di livello 7 di HPE Aruba Networking.
 
La Dynamic Segmentation distribuita utilizza un overlay EVPN/VXLAN, oltre a NAC e servizi HPE Aruba Networking Central NetConductor cloud-native. La policy viene applicata in linea tramite i gateway e gli switch compatibili con il fabric di HPE Aruba Networking, che interpretano le informazioni di controllo degli accessi contenute nei GPID (Global Policy Identifier) basati su standard.
 

Soluzioni, prodotti o servizi correlati

HPE Aruba Networking ClearPass

Supporta una solida protezione della rete e un accesso semplificato per utenti e dispositivi autorizzati con controlli basati sul principio del privilegio minimo. 

Puoi ottenere ulteriori informazioni

Dynamic Segmentation di HPE Aruba Networking

Controllo degli accessi basato sull’identità per la sicurezza zero trust e SASE dall’edge al cloud su scala globale.

Per saperne di più

HPE Aruba Networking Central NetConductor

Orchestrazione di rete e sicurezza cloud-native che automatizza la configurazione, la definizione delle policy e l’applicazione su scala globale.

Per saperne di più

Argomenti correlati

Dynamic Segmentation

Per saperne di più

Zero trust

Per saperne di più

Protezione della rete

Per saperne di più

Controllo accesso di rete

Per saperne di più

Firewall di rete

Per saperne di più

Sicurezza del cloud

Ulteriori informazioni