La segmentazione di rete è la pratica di suddividere una rete informatica in sotto-reti (segmenti) logicamente o fisicamente separate, ognuna con proprie politiche di accesso e traffico. L’obiettivo principale è il contenimento: limitare la capacità di un attaccante che ha compromesso un segmento di muoversi liberamente verso gli altri. Una rete piatta — dove ogni dispositivo può comunicare con ogni altro — è il contesto ideale per il movimento laterale; la segmentazione lo trasforma in una serie di barriere esplicite da violare.
Tecniche di segmentazione
VLAN (Virtual LAN): separazione logica su switch di rete a livello data-link (L2). Dispositivi nella stessa VLAN comunicano come se fossero sullo stesso switch fisico; tra VLAN diverse il traffico passa obbligatoriamente per un router o firewall L3. Economica e flessibile, ma la separazione è solo logica: su hardware mal configurato, attacchi di VLAN hopping (tramite 802.1Q double-tagging) possono aggirarla.
Subnetting: separazione a livello IP (L3). Ogni segmento ha il proprio range di indirizzi; il traffico inter-segmento passa per un router con ACL o un firewall. È la base di architetture come la DMZ.
Firewall interni: a differenza del firewall perimetrale (che filtra tra Internet e LAN), i firewall interni filtrano il traffico est-ovest tra segmenti della stessa organizzazione. Fondamentali in ambienti enterprise per isolare reparti, ambienti di sviluppo/produzione, sistemi OT/IT.
Micro-segmentazione: segmentazione a granularità molto fine, tipicamente applicata in ambienti cloud e datacenter virtualizzati. Le policy si applicano al singolo workload (VM, container) piuttosto che al segmento di rete. Ogni workload ha una policy che specifica con chi può comunicare, su quali porte e protocolli. Implementata tramite software-defined networking (SDN) o agent sul sistema operativo.
Principio del minimo privilegio applicato alla rete
La segmentazione è la proiezione del principio del minimo privilegio sull’infrastruttura di rete: ogni sistema riceve solo la connettività di cui ha strettamente bisogno per svolgere la propria funzione. Un server web non deve poter raggiungere un server di backup; un sistema SCADA industriale non deve essere raggiungibile dalla rete office. La matrice di accesso inter-segmento va documentata esplicitamente e verificata periodicamente.
Contenimento delle violazioni
Il beneficio principale della segmentazione si misura in termini di blast radius: l’area di danno potenziale di un incidente. In una rete piatta, un ransomware che infetta un laptop può cifrare tutti i file share raggiungibili in rete in pochi minuti. In una rete segmentata, lo stesso ransomware è confinato al segmento del laptop infetto; per propagarsi deve violare le policy inter-segmento, che rallentano o bloccano la propagazione e danno tempo ai sistemi di rilevamento.
Segmentazione e Zero Trust
Nella Zero Trust Architecture, la micro-segmentazione è uno dei pilastri: l’assunzione è che ogni segmento possa essere compromesso in qualsiasi momento, quindi la fiducia non si basa sulla posizione di rete ma sull’identità verificata del workload. La segmentazione tradizionale (perimetrale) e la micro-segmentazione ZTA sono complementari e non si escludono.