Condividi tramite

Isolamento della rete (Secure Future Initiative)

Nome pilastro: Proteggere le reti
Nome modello: Isolamento rete

Contesto e problema

Gli attori moderni delle minacce sfruttano le debolezze dei confini di rete per muoversi lateralmente ed aumentare i privilegi. I percorsi di attacco comuni includono credenziali rubate, abusi del protocollo e riproduzione dei token. Una volta all'interno, gli avversari spesso sfruttano la segmentazione scarsa, le autorizzazioni eccessivamente permissive o l'infrastruttura condivisa per accedere a carichi di lavoro sensibili.  

Le reti flat tradizionali rendono difficile applicare l'accesso con privilegi minimi e spesso lascia le risorse facilmente raggiungibili. Senza isolamento chiaro, sia le minacce interne che esterne possono compromettere rapidamente più sistemi. La sfida consiste nel standardizzare la segmentazione di rete, applicare i perimetri e garantire che i flussi di traffico siano rigorosamente controllati per impedire lo spostamento laterale e contenere violazioni.

Soluzione

L'isolamento della rete protegge le reti dividendo e isolando le reti in segmenti e controllando l'accesso alla rete. Combina soluzioni di sicurezza di rete in grado di riconoscimento delle identità e miglioramenti nella visibilità, nel monitoraggio e nelle funzionalità di rilevamento. Le procedure di base includono:

  • Segmentazione di rete e perimetri definiti dal software: assumere la violazione e limitare lo spostamento laterale con il partizionamento della rete e l'accesso dinamico basato sul rischio. Applicare il principio del privilegio minimo con accesso con ambiti specifici e verificare in modo esplicito con controlli di accesso basati sull'identità.

  • SASE e ZTNA: usare le architetture SASE (Secure Access Service Edge) e Zero Trust Network Access (ZTNA) per integrare la sicurezza e la rete. Allineare i principi Zero Trust concedendo e limitando l'accesso in base al contesto, all'identità e ai controlli di accesso condizionale.

  • Crittografia e comunicazione: presupporre la violazione proteggendo i dati in transito e limitando i rischi di manomissione dei dati con crittografia e comunicazione avanzata, moderna e bloccando i protocolli deboli.

  • Visibilità e rilevamento delle minacce: presupporre una violazione con visibilità e monitoraggio continui e la registrazione delle attività di rete. Applicare privilegi minimi e verificare in modo esplicito con i controlli di accesso e il rilevamento delle minacce per individuare e rilevare anomalie. Applicare Zero Trust automatizzando la distribuzione, la gestione e l'allocazione di risorse e controlli di rete su larga scala. Senza automazione, ritardi, incoerenze e lacune possono verificarsi rapidamente.

  • Controlli basati su criteri: verificare in modo esplicito e applicare privilegi minimi con controlli granulari, adattivi incentrati sulle identità e sui criteri di accesso condizionale. Si supponga una violazione con negazione per impostazione predefinita e rivalutazione costante del rischio.

  • Sicurezza di rete cloud e ibrida: presupporre violazioni e verificare in modo esplicito in ambienti multicloud e ibridi isolando i carichi di lavoro cloud in micro-perimetrali protetti e usando proxy con riconoscimento delle identità e soluzioni CASB (Cloud Security Access Broker) per le app SaaS e PaaS. Applicare principi Zero Trust con criteri di sicurezza unificati in tutti i meccanismi di connessione ibrida cloud e locale, migliorare il comportamento di sicurezza cloud/ibrido e il monitoraggio centralizzato della sicurezza.

Indicazioni

Le organizzazioni possono adottare un modello simile usando le procedure praticabili seguenti:

Caso d'uso Azione consigliata Conto risorse
Microsegmentazione
  • Usare gruppi di sicurezza di rete (NSG) e ACL per applicare l'accesso con privilegi minimi tra i carichi di lavoro.
 Panoramica dei gruppi di sicurezza di rete di Azure
Isolare le reti virtuali
  • Usare strumenti come Microsoft Defender Vulnerability Management per analizzare i sistemi e classificare in ordine di priorità i CVEs
 Isolamento delle reti virtuali - Reti virtuali di Azure
Protezione perimetrale per le risorse PaaS
  • Usare Sicurezza di rete di Azure per proteggere l'accesso a servizi come Archiviazione, SQL e Key Vault.
 Che cos'è un perimetro di sicurezza di rete
Proteggere la connettività alle macchine virtuali
  • Usare Azure Bastion per stabilire una connettività RDP/SSH sicura alle macchine virtuali senza esporre risorse a Internet.
 Informazioni su Azure Bastion
Limitare l'accesso virtuale in uscita
  • Rimuovere l'accesso Internet in uscita predefinito e applicare la rete con privilegi minimi per l'uscita del servizio.
 Accesso in uscita predefinito in Azure - Rete virtuale di Azure
Difesa perimetrale a più livelli
  • Applicare firewall, tag di servizio, gruppi di sicurezza di rete e protezione DDoS per applicare la sicurezza a più livelli.
 Panoramica di Protezione DDoS di Azure
Gestione centralizzata dei criteri
  • Usare Gestione rete virtuale di Azure con regole di amministratore della sicurezza per gestire centralmente i criteri di isolamento della rete.
 Regole di amministrazione della sicurezza in Gestione rete virtuale di Azure

Risultati

Vantaggi

  • Resilienza: limita il raggio di esplosione di un'intrusione.  
  • Scalabilità: l'isolamento di rete standardizzato supporta ambienti su scala aziendale.  
  • Visibilità: l'assegnazione di tag e il monitoraggio dei servizi forniscono un'attribuzione più chiara dei flussi di traffico.  
  • Allineamento alle normative: supporta la conformità ai framework che richiedono una rigorosa separazione delle risorse sensibili.  

Trade-offs

  • Sovraccarico operativo: la progettazione e la gestione di reti segmentate richiedono la pianificazione e gli aggiornamenti in corso.
  • Complessità: una maggiore segmentazione può introdurre livelli di gestione aggiuntivi e richiedere l'automazione per la scalabilità.  
  • Considerazioni sulle prestazioni: alcune misure di isolamento possono aumentare leggermente la latenza.  

Fattori chiave di successo

Per tenere traccia dell'esito positivo, misurare quanto segue:

  • Numero di carichi di lavoro distribuiti in reti virtuali isolate senza esposizione diretta a Internet.  
  • Percentuale di servizi regolati da regole di amministrazione della sicurezza centralizzate.  
  • Riduzione dei percorsi di spostamento laterale identificati durante i test red-team.  
  • Conformità ai criteri con privilegi minimi in tutti gli ambienti.  
  • Tempo necessario per rilevare e correggere le attività di rete anomale.  

Riassunto

L'isolamento della rete è una strategia fondamentale per impedire lo spostamento laterale e la protezione dei carichi di lavoro sensibili. Segmentando le risorse, applicando i perimetri e applicando difese a più livelli, le organizzazioni riducono la superficie di attacco e creano resilienza contro gli avversari moderni.

L'isolamento delle reti non è più facoltativo---it è un controllo necessario per proteggere gli ambienti cloud e ibridi. L'obiettivo isolamento rete fornisce un framework chiaro per ridurre lo spostamento laterale, allinearsi con Zero Trust e proteggere gli ambienti su scala aziendale.  

Inoltre, tutte le attività di rete, identità e dispositivo devono essere monitorate continuamente. Centralizzare la registrazione e correlare gli avvisi di sicurezza usando soluzioni di rilevamento e risposta estese (XDR) e strumenti SIEM per rilevare in modo efficace anomalie e minacce. Associare il rilevamento con l'analisi comportamentale, l'ispezione approfondita dei pacchetti e la risposta automatizzata alle minacce per contenere rapidamente attività sospette e supportare una risposta efficiente agli eventi imprevisti.

Valutare la topologia di rete corrente e implementare i controlli segmentazione e perimetro per allinearsi all'obiettivo di isolamento della rete.

  • Last updated on