Man mano che le organizzazioni crescono, le loro reti diventano spesso più difficili da controllare. Dipendenti, collaboratori, ospiti, dispositivi personali, dispositivi IoT e sistemi connessi al cloud potrebbero avere tutti bisogno di accesso, ma non dovrebbero tutti raggiungere le stesse risorse
Quando l’accesso è troppo esteso, i team IT hanno meno controllo su chi può connettersi ai sistemi sensibili, su come i dispositivi si spostano nella rete e se le autorizzazioni corrispondono ancora al ruolo di ciascun utente. Le credenziali Wi-Fi condivise, le VLAN assegnate manualmente e le regole di accesso statiche possono rendere questo problema più difficile da gestire man mano che gli ambienti diventano più complessi.
Tenendo presente questo, vediamo cosa significa la segmentazione della rete, perché è importante, come funziona e come i controlli di accesso basati sull’identità possono aiutare ad applicare la segmentazione in tutta la tua organizzazione.
Cosa significa segmentazione di rete?
La segmentazione della rete consiste nel dividere una rete in sezioni più piccole, in modo che utenti e dispositivi possano accedere solo alle risorse di cui hanno bisogno. È una pratica fondamentale di cybersecurity che aiuta a limitare il potenziale impatto di un account, dispositivo o sistema compromesso, riducendo l'accesso esteso in tutta la rete.
La segmentazione della rete crea zone definite all'interno di una rete a cui possono accedere solo determinati utenti, dispositivi o applicazioni. Il traffico tra queste zone è controllato tramite VLAN, firewall, liste di controllo degli accessi, criteri di autenticazione e regole di accesso basate sui ruoli. Ciò significa che solo utenti e dispositivi autorizzati possono connettersi a parti specifiche di una rete, quindi un account compromesso non concede automaticamente un accesso esteso.
Una segmentazione efficace dovrebbe tenere conto sia della struttura della rete sia delle decisioni di accesso. Ciò significa che autorizzazioni, metodi di autenticazione e assegnazioni VLAN devono rimanere aggiornati man mano che utenti, ruoli, dispositivi e ambienti cambiano. La segmentazione della rete diventa meno efficace quando gli utenti condividono le credenziali, i vecchi account restano attivi, ai dispositivi non gestiti è consentito connettersi o le assegnazioni VLAN vengono gestite manualmente.
Le forme comuni di segmentazione della rete includono:
Per gruppo di utenti, ad esempio dipendenti, collaboratori, studenti, docenti, ospiti o amministratori.
Per reparto, ad esempio finanza, risorse umane, IT, ingegneria o operations.
Per tipo di dispositivo, ad esempio laptop gestiti, dispositivi BYOD, dispositivi IoT, server o sistemi point-of-sale.
Per ambiente, ad esempio sviluppo, staging, produzione o applicazioni interne.
Per metodo di accesso, ad esempio Wi-Fi, VPN, reti cablate o accesso al server.
Per livello di attendibilità, ad esempio dispositivi gestiti, dispositivi autenticati tramite certificato o dispositivi guest non gestiti.
Perché la segmentazione di rete è importante
La segmentazione offre diversi vantaggi, soprattutto per la cybersecurity, che possono migliorare il controllo operativo e aiutare i team IT a limitare gli accessi troppo estesi.
I vantaggi della segmentazione della rete includono:
Riduci gli accessi non necessari in tutta la rete.
Movimento laterale limitato se un utente, un dispositivo o un account viene compromesso.
Protezione per i sistemi sensibili, poiché sono separati dal traffico di rete generale.
Policy di accesso più chiare per utenti, dispositivi, reparti e ruoli.
Supporto per l'accesso con privilegi minimi tramite Wi‑Fi, VPN, reti cablate e sistemi interni.
Maggiore visibilità su quali utenti e dispositivi possono accedere a ciascun segmento.
Supporto per la conformità agli audit, grazie a chiari confini di accesso.
Aiuto per i team IT a gestire in modo più coerente BYOD, accesso ospite, accesso degli studenti e ambienti distribuiti.
Segmentazione statica vs. segmentazione di rete basata sull’identità
Esistono diversi modi per segmentare le reti, ma in sostanza si tratta principalmente di segmentazione statica o basata sull'identità. Ognuno ha i suoi vantaggi, quindi è utile sapere cosa funziona meglio per le esigenze della tua azienda.
Segmentazione statica della rete
La segmentazione statica della rete si basa in genere su VLAN assegnate manualmente, elenchi di indirizzi MAC, SSID o regole di accesso fisse. Può funzionare bene per ambienti piccoli o di base, in cui le esigenze di segmentazione sono meno complesse.
Tuttavia, man mano che le organizzazioni aggiungono più utenti, dispositivi, collaboratori esterni, ecc., può diventare più difficile scalare e gestire le autorizzazioni individuali. Inoltre, la segmentazione statica può essere vulnerabile allo spoofing ed è scollegata dall'identità dell'utente e dall'affidabilità del dispositivo.
Segmentazione della rete basata sull'identità
La segmentazione basata sull'identità si basa sull'autenticazione e sull'autorizzazione degli utenti per determinare a quali segmenti di rete possono accedere gli utenti. Gli utenti e i loro dispositivi possono essere collocati nella VLAN o nel segmento di rete appropriato in base all’identità, all’appartenenza al gruppo, al ruolo o al livello di attendibilità, e viene quindi concesso loro l’accesso ai segmenti di conseguenza.
La segmentazione di rete basata sull’identità aiuta a mantenere l’accesso allineato all’identità dell’utente, ai dispositivi che sta utilizzando e alle risorse a cui dovrebbe avere accesso. Poiché queste autorizzazioni si basano su categorie di utenti, è facile aggiornarle quando il ruolo di un utente cambia.
Assegnazione dinamica delle VLAN
L'assegnazione dinamica delle VLAN è un modo per applicare la segmentazione basata sull'identità. Durante l'autenticazione, colloca automaticamente utenti o dispositivi nella VLAN corretta.
Ad esempio, se un istituto scolastico utilizza l'assegnazione dinamica delle VLAN, docenti e studenti avranno accesso a segmenti diversi quando si collegano, anche se usano tutti lo stesso ambiente di rete.
Come funziona la segmentazione della rete
Visti i vantaggi della segmentazione della rete e le diverse forme che può assumere, è utile capire come funziona. Quindi, analizziamo la segmentazione della rete ed esaminiamo alcuni metodi comuni per separare il traffico e proteggere le reti.
1. VLAN e subnet
Alcuni dei modi più comuni per segmentare le reti sono l'uso di VLAN e subnet. Possono essere utilizzate per separare il traffico in aree di rete logiche, ad esempio per dispositivi dei dipendenti, dispositivi guest, sistemi POS e dispositivi Internet of Things (IoT).
L’uso delle VLAN può anche essere un metodo di segmentazione scalabile, poiché le assegnazioni possono essere legate all’identità e all’appartenenza a un gruppo, invece di assegnare manualmente i permessi per utente o dispositivo.
2. Firewall e liste di controllo degli accessi
Con firewall e liste di controllo degli accessi, i team IT possono definire quale traffico è consentito tra i segmenti di rete. Possono consentire o limitare l'accesso in base a categorie come origine e destinazione, porte o protocolli, e definire le autorizzazioni in conformità con la policy aziendale. Di conseguenza, questi strumenti possono aiutare a limitare il movimento tra i segmenti, restringendo l'accesso laterale dagli account compromessi.
3. Autenticazione RADIUS
L'autenticazione RADIUS è uno strumento potente per verificare gli utenti e i loro dispositivi prima di concedere l'accesso a reti WiFi, VPN o cablate. Quando gli utenti provano ad accedere a una rete, il server RADIUS esamina le credenziali dell'utente, le verifica rispetto a un servizio di directory centrale, come Active Directory o LDAP, e controlla le policy di accesso prima di consentire l'accesso.
RADIUS può integrarsi con i provider di identità e l'infrastruttura di rete per supportare informazioni sulle policy, come l'assegnazione VLAN. Questo lo rende più robusto, garantendo al contempo una solida sicurezza degli accessi.
4 autenticazione basata su certificato
Con l'autenticazione basata su certificati, le reti possono verificare i dispositivi attendibili senza affidarsi esclusivamente alle password. Questo aggiunge un ulteriore livello di sicurezza e autenticazione, quindi anche se la password di un utente viene rubata, non sarà sufficiente per consentire agli aggressori di accedere.
Questo è particolarmente utile per i dispositivi gestiti, le organizzazioni con policy Bring-Your-Own-Device (BYOD) e gli ambienti in cui i team IT desiderano un accesso alla rete basato sull'affidabilità del dispositivo, grazie alla sicurezza combinata e alla flessibilità che offre.
Esempi di segmentazione della rete
Le organizzazioni possono voler segmentare la propria rete in diversi modi, ciascuno dei quali può contribuire a garantire un accesso sicuro e un maggiore controllo su chi può connettersi a cosa.
1. Wi-Fi per gli ospiti e Wi-Fi per i dipendenti
Una delle segmentazioni di rete più comuni è quella tra il Wi-Fi degli ospiti e quello dei dipendenti. Gli ospiti che si collegano alla rete WiFi di un'azienda non dovrebbero ricevere lo stesso livello di accesso dei dipendenti, ma dovrebbero comunque poter accedere a internet.
Con una corretta segmentazione della rete, gli ospiti possono connettersi facilmente alla rete WiFi senza ottenere l'accesso ai sistemi interni, alle stampanti, ai file condivisi o ad altre applicazioni aziendali. Tuttavia, questo richiede solidi controlli degli accessi, poiché l'accesso dei dipendenti dovrebbe essere autenticato con credenziali univoche o certificati attendibili anziché con password condivise.
2. Studenti, docenti e ospiti
Per gli istituti scolastici, la segmentazione della rete è importante per mantenere connessi docenti, amministratori, studenti e ospiti senza dare a tutti l’accesso agli stessi sistemi. Con la segmentazione basata sull’identità, queste istituzioni possono assegnare gli utenti alle VLAN appropriate in base ai gruppi di directory, così gli studenti non possono accedere alle reti di docenti o amministrazione, mentre gli ospiti possono connettersi in modo sicuro senza compromettere la sicurezza informatica.
3. Ambienti di sviluppo, staging e produzione
I team di Engineering e DevOps hanno spesso bisogno di accedere agli ambienti di sviluppo, staging e produzione. Tuttavia, tale accesso non dovrebbe essere troppo ampio e, con una corretta segmentazione della rete, può essere limitato in base al ruolo e alle necessità.
In casi come questo, la segmentazione della rete può separare gli ambienti, mantenendo sviluppo, staging e produzione isolati tra loro. L'organizzazione può quindi usare l'autenticazione e criteri basati sui gruppi per controllare chi ha accesso a ciascuno di essi, tenendo fuori gli utenti non autorizzati.
4. Sedi retail e filiali
Le aziende del retail e le loro filiali hanno spesso bisogno di sistemi di punto vendita separati, Wi-Fi per gli ospiti, dispositivi di back-office e altro ancora. In questi casi, tenerli segmentati è importante per l'accesso e la sicurezza.
La segmentazione della rete aiuta a prevenire accessi non necessari tra sistemi che svolgono funzioni diverse. I dipendenti non dovrebbero poter accedere ai dispositivi di back-office presenti nelle diverse filiali e gli ospiti non dovrebbero potersi collegare al WiFi per poi accedere ai sistemi PoS. La segmentazione limita l’accesso solo a chi ne ha bisogno.
5. Sanità e sistemi regolamentati
Negli ambienti regolamentati, come quelli sanitari e finanziari, i sistemi possono contenere informazioni sensibili che dovrebbero essere separate dall'accesso generale alla rete. La segmentazione della rete aiuta a creare confini di accesso più chiari attorno a questi sistemi.
Con la segmentazione, le organizzazioni possono supportare la preparazione agli audit e le pratiche di controllo degli accessi mostrando confini più chiari attorno ai sistemi sensibili. Autenticazione forte e controlli degli accessi aiutano a mantenere l'accesso limitato agli utenti autorizzati e ai dispositivi attendibili.
6. BYOD e dispositivi non gestiti
I dispositivi personali, gli endpoint non gestiti, i dispositivi IoT e altri dispositivi a bassa affidabilità devono essere gestiti con attenzione e non devono ricevere un accesso senza restrizioni. L’uso della segmentazione di rete consente alle aziende di concedere a questi dispositivi l’accesso a segmenti riservati senza rischiare un accesso più ampio a dispositivi potenzialmente sconosciuti.
Le aziende possono anche includere l'accesso basato su certificati e sull'identità per rendere più sicuro l'accesso da questi dispositivi. Con questo, ai dispositivi gestiti e attendibili può essere concesso un accesso più ampio, mentre ai dispositivi non gestiti può essere dato accesso a VLAN più limitate. In questo modo i dipendenti in movimento o che usano dispositivi non gestiti mantengono un accesso semplice, mentre le reti restano protette.
Dove si inserisce il controllo degli accessi nella segmentazione della rete
Il controllo degli accessi e la segmentazione della rete lavorano insieme per definire e applicare i confini della rete. La segmentazione della rete suddivide la rete in diverse sezioni, mentre il controllo degli accessi determina chi può accedere a quale sezione, rendendoli una combinazione essenziale.
Senza controlli di accesso efficaci, le organizzazioni potrebbero continuare ad affidarsi a strumenti poco affidabili per gestire gli accessi, come password Wi-Fi condivise, assegnazioni VLAN gestite manualmente o processi di accesso ai server incoerenti. Con il controllo degli accessi basato sull'identità, invece, le organizzazioni possono rafforzare la segmentazione della rete collegando l'accesso a utenti e dispositivi affidabili con metodi di autenticazione avanzati e policy di accesso in tempo reale.
Il controllo degli accessi può rafforzare la segmentazione e aiutare i team IT in molti modi, tra cui:
Autenticazione degli utenti con credenziali univoche.
Verifica dei dispositivi attendibili prima della connessione.
Utilizzo dei certificati per l'autenticazione dei dispositivi senza password.
Assegnazione dell'accesso alla rete in base all'appartenenza ai gruppi della directory.
Assegnazione di utenti e dispositivi alle VLAN corrette durante l'autenticazione.
Sincronizzazione dell'accesso con i provider di identità.
Rimuovere l'accesso o modificare le autorizzazioni quando gli utenti lasciano l'azienda o cambiano ruolo.
Applicazione dell'MFA dove è necessaria una verifica aggiuntiva.
Mantenimento dei log per garantire visibilità e preparazione agli audit.
Come Foxpass aiuta ad applicare la segmentazione della rete basata sull'identità
La segmentazione basata sull'identità richiede un metodo affidabile per autenticare utenti e dispositivi, quindi assegnarli al segmento di rete corretto. Foxpass utilizza l'autenticazione RADIUS basata sull'identità per supportare la segmentazione della rete e l'assegnazione dinamica delle VLAN, consentendo alle organizzazioni di autenticare in modo sicuro gli utenti e permettere loro di connettersi alla rete e alle risorse di cui hanno bisogno.
Foxpass può sincronizzarsi con la directory aziendale e assegnare gli utenti alla VLAN appropriata in base all'identità, al ruolo e all'appartenenza al gruppo. Aiuta a far rispettare la segmentazione nelle reti cablate, Wi-Fi e VPN, così le policy di accesso restano coerenti tra i diversi metodi di connessione.
Le funzionalità chiave di Foxpass per la segmentazione basata sull’identità includono:
1. Assegnazione VLAN dinamica con Foxpass RADIUS
Foxpass RADIUS aiuta ad assegnare in modo sicuro utenti e dispositivi alla VLAN corretta, con autenticazione avanzata e assegnazioni dinamiche.
Il funzionamento è semplice: una volta che un utente si collega, Foxpass lo autentica e controlla a quale gruppo appartiene (ad esempio guest, admin, IoT o developer). Il server RADIUS risponde quindi con un'assegnazione VLAN, collocando l'utente nel segmento appropriato. Di conseguenza, gli utenti possono connettersi rapidamente ed essere indirizzati al segmento di rete di cui hanno bisogno senza compromettere la sicurezza o l'efficienza.
2. Accesso basato sui gruppi di directory
Foxpass può collegare l'accesso all'appartenenza ai gruppi della directory, garantendo che gli utenti accedano solo ai segmenti di cui il loro gruppo ha bisogno. Si integra con provider di identità e directory come Google Workspace, Okta, Microsoft Entra ID, OneLogin e LDAP, così l'accesso può rimanere allineato all'appartenenza ai gruppi della directory.
Quando il ruolo o il gruppo di un utente cambia nella directory, Foxpass può aggiornare automaticamente il suo accesso di conseguenza. Questo riduce la necessità per i team IT di riassegnare manualmente le VLAN a singoli utenti o dispositivi e aiuta a ridurre gli accessi obsoleti quando gli utenti lasciano l’azienda o cambiano ruolo.
3. Autenticazione EAP-TTLS ed EAP-TLS
Foxpass supporta metodi di autenticazione che aiutano le organizzazioni ad applicare controlli di accesso più rigorosi. Supporta EAP-TTLS per l'autenticazione dell'identità e della password, oltre a EAP-TLS per l'autenticazione basata su certificato, così le aziende hanno più modi per mantenere gli account sicuri.
Di conseguenza, i team IT possono utilizzare i modelli di autenticazione più adatti alla loro azienda, in base al proprio ambiente, all'approccio alla gestione dei dispositivi e ai requisiti di attendibilità. Foxpass offre ai team IT diverse opzioni di autenticazione, così l’accesso può essere adattato all’ambiente dell’organizzazione, al modello di gestione dei dispositivi e ai requisiti di attendibilità.
4. Segmentazione su reti Wi‑Fi, VPN e cablate
Foxpass RADIUS può aiutare ad applicare la segmentazione della rete su Wi-Fi, VPN e reti cablate, così gli utenti possono essere assegnati al segmento appropriato in base all'autenticazione e alle policy.
Invece di richiedere segmenti separati per ogni tipo di connessione, Foxpass offre un’esperienza coerente e intuitiva su tutte le reti. Non è necessario creare manualmente processi separati per ogni metodo di accesso, perché tutto viene gestito da una posizione centralizzata.
5. Registrazione e visibilità delle policy
Sebbene la segmentazione della rete e l'autenticazione degli utenti contribuiscano a mantenere sicure le reti, anche la registrazione è essenziale per aiutare i team IT a monitorare i tentativi di autenticazione, l'attività di accesso alla rete e le decisioni delle policy su chi ottiene l'accesso a cosa.
Foxpass offre opzioni di registrazione per aiutare i team a monitorare i tentativi di accesso per VLAN e policy. Questo offre ai team IT una migliore visibilità sulle attività di autenticazione, sulle decisioni di accesso e sulle potenziali lacune nelle policy.
Best practice per la segmentazione della rete
Quando segmenti la tua rete, è importante trovare il giusto equilibrio tra sicurezza e accessibilità. All’inizio può sembrare un compito difficile, ma seguendo queste best practice puoi mantenere la tua rete segmentata in modo sicuro, dando ai dipendenti l’accesso alle aree di cui hanno bisogno.
Mappa utenti, dispositivi, sistemi e flussi di dati: Il primo passo è la preparazione. Identifica quali utenti devono accedere a quali sistemi e le connessioni che usano per il lavoro quotidiano, così puoi mappare correttamente i tuoi segmenti.
Identifica i sistemi sensibili e i percorsi di accesso ad alto rischio: Dare priorità ai tuoi sistemi è altrettanto essenziale. Assicurati di identificare i sistemi che archiviano dati sensibili, risorse vitali o infrastrutture critiche, così da poter concentrarti prima sulla loro protezione.
Separa l'accesso di ospiti, dipendenti, server, BYOD e IoT: la segmentazione dovrebbe includere accessi separati per dipendenti, ospiti e diversi dispositivi. Assicurati di evitare di dare a tutti lo stesso livello di accesso.
Usa regole di accesso basate sull'identità: Le regole di accesso basate sull'identità aiutano a garantire che gli utenti si connettano ai segmenti di cui hanno bisogno in base ai loro ruoli. Assicurati di collegare le decisioni di accesso a utenti, gruppi, dispositivi e certificati secondo necessità.
Usa l’assegnazione dinamica delle VLAN quando possibile: l’assegnazione dinamica delle VLAN riduce la gestione manuale delle VLAN assegnando utenti e dispositivi al segmento corretto durante l’autenticazione, invece di richiedere ai team IT di aggiornare le autorizzazioni per ogni utente.
Applica l'accesso con privilegi minimi: L'uso dei principi del privilegio minimo offre a utenti e dispositivi l'accesso di cui hanno bisogno in base ai loro ruoli, e nulla di più, riducendo al minimo i movimenti in caso di compromissione di un account.
Automatizza l'onboarding e il deprovisioning: sincronizzare l'accesso alla rete con i provider di identità può aiutarti a mantenere le autorizzazioni aggiornate rimuovendo o modificando automaticamente l'accesso quando gli utenti lasciano l'azienda o cambiano ruolo.
Monitora l'autenticazione e l'attività di accesso: registri di accesso chiari sono fondamentali per gli audit e la cybersicurezza, poiché i team IT possono usarli per esaminare i modelli di accesso, identificare attività sospette e individuare lacune nelle policy.
Rivedi regolarmente le policy di segmentazione: assicurati di aggiornare i segmenti e le regole di accesso quando cambiano i tuoi team, dispositivi, sedi, applicazioni ed esigenze aziendali.
Errori comuni nella segmentazione della rete da evitare
Data l’importanza e la sicurezza della segmentazione della rete, è importante assicurarti di farla correttamente. Tuttavia, la segmentazione può anche essere un’attività complessa senza una pianificazione e un’esecuzione adeguate, quindi ci sono diversi errori a cui dovrai prestare attenzione.
Gli errori più comuni includono:
Affidarsi a password Wi-Fi condivise, il che rende difficile tracciare l’accesso degli utenti e mantenere la responsabilità, oltre a introdurre problemi di sicurezza se un dipendente lascia l’azienda e la password non viene cambiata.
Utilizzo di assegnazioni VLAN statiche difficili da gestire e che richiedono aggiornamenti manuali.
Basandosi sugli elenchi di indirizzi MAC come metodo principale di controllo degli accessi, anziché sulle directory utenti.
Dare a ospiti, appaltatori o dispositivi BYOD lo stesso accesso dei dipendenti, il che può consentire loro di accedere a segmenti di rete contenenti informazioni sensibili o proprietarie.
Dimenticare di revocare l'accesso quando gli utenti lasciano l'azienda o cambiano ruolo.
Segmentare le reti senza definire regole di accesso chiare, rendendo difficile per gli utenti accedere ai segmenti di cui hanno bisogno.
Consentire a dispositivi non gestiti di accedere a reti sensibili, il che può aumentare l'esposizione e indebolire il controllo degli accessi.
Trattare la segmentazione come un progetto una tantum, anziché come un processo continuo.
Mancano i log che mostrano quali utenti e dispositivi hanno avuto accesso a quali segmenti.
Creare policy eccessivamente complesse che i team IT non riescono a mantenere.
Conclusione: una segmentazione efficace richiede un'applicazione rigorosa dei controlli di accesso
La segmentazione della rete è uno strumento potente che aiuta i team IT a creare confini chiari all'interno dei loro ambienti di rete e a ridurre gli accessi non necessari. Tuttavia, questi limiti devono essere applicati tramite la gestione delle identità, i gruppi di directory e un'autenticazione affidabile.
Con Foxpass, i team IT possono applicare una segmentazione della rete basata sull'identità e gestire gli accessi in modo più coerente. Foxpass utilizza l’assegnazione dinamica delle VLAN tramite autenticazione RADIUS per applicare il controllo degli accessi basato sull’identità e la segmentazione della rete su Wi-Fi, VPN e reti cablate, mantenendo le reti sicure e gli utenti verificati.
Vuoi vedere come Foxpass protegge la tua rete con la segmentazione e la gestione degli accessi basata sull’identità? Inizia oggi con una prova gratuita.
