Cosa si intende per cloud enclaving?

Qual è la differenza tra il cloud enclaving e la sicurezza informatica tradizionale?

Il cloud enclaving è concepito per soddisfare le esigenze delle aziende digitali moderne in un modo semplicemente irrealizzabile con delle soluzioni di sicurezza tradizionali. Cerchiamo di capirne il motivo con un po' di contesto storico.

Anni fa, quando le applicazioni e i dati risiedevano nel data center on-premise di un'organizzazione e i dipendenti lavoravano in gran parte dagli stessi locali, la sicurezza di rete tradizionale basata sul perimetro offriva un livello di sicurezza adeguato. Oggi, la globalizzazione e il lavoro ibrido hanno favorito la diffusione del cloud computing, rendendo i modelli precedenti inefficaci.

Sul cloud, i diversi carichi di lavoro critici di una singola organizzazione possono risiedere su più provider di servizi cloud (ad esempio, Amazon Web Service [AWS] o Microsoft Azure) e gli utenti possono accedervi tramite Internet. In termini pratici, ciò significa che non esiste più un "perimetro della rete", e questo apre la strada a molti più attacchi. Il cloud enclaving risponde a questo rischio con policy di sicurezza su misura, che limitano il traffico da e verso carichi di lavoro specifici, e lo autorizzano solamente verso entità espressamente consentite.

Che cos'è un'enclave?

Un'enclave è una porzione di rete separata dal resto e disciplinata da policy di sicurezza granulari. Lo scopo di un'enclave sicura è quello di imporre l'accesso con privilegi minimi alle risorse critiche nell'ambito di una strategia di sicurezza di difesa avanzata.

Segmentazione della rete e cloud enclaving a confronto

La segmentazione della rete è più indicata per il traffico nord-sud (tra l'ambiente interno e le sedi esterne), mentre il cloud enclaving aggiunge un livello di protezione per il traffico est-ovest (da server a server, da app a server, da web a server e così via, all'interno dell'ambiente). Analizziamo entrambe le soluzioni nel dettaglio.

Segmentazione della rete

Rispetto a un modello basato sul perimetro, che protegge la rete solo dall'esterno, la segmentazione della rete è un approccio più articolato. In particolare, divide una rete in "sottoreti" e applica a ciascuna di esse protocolli di sicurezza e conformità. In genere, il traffico tra segmenti viene separato mediante una VLAN, prima di passare attraverso un firewall.

Purtroppo, poiché questo approccio si basa sugli indirizzi IP, è in grado di identificare solo il modo in cui una richiesta è arrivata (ad esempio, il suo indirizzo IP originario, la porta o il protocollo), non il contesto o l'identità dell'entità che l'ha effettuata. Le comunicazioni ritenute sicure vengono quindi consentite, anche se l'IT non sa esattamente cosa siano. Una volta all'interno di un segmento, l'entità viene considerata attendibile, anche se si tratta di un utente malintenzionato che cerca di spostarsi lateralmente all'interno dell'ambiente.

La segmentazione della rete crea una rete "piatta", e lascia scoperti percorsi non protetti che consentono agli aggressori di spostarsi lateralmente e compromettere i carichi di lavoro negli ambienti cloud e nei data center. Inoltre, i costi, la complessità e il tempo necessari per gestire la segmentazione della rete utilizzando firewall o macchine virtuali (VM) legacy, vanificano il vantaggio che ne deriverebbe in termini di sicurezza.

Creazioni di enclavi cloud

Il cloud enclaving, ovvero la microsegmentazione con base cloud, consente un controllo del traffico più granulare, riducendo al minimo la superficie di attacco di un'organizzazione e permettendo, rispetto alla segmentazione della rete, di ottenere una segmentazione più semplice e sicura a livello operativo. Questo è il risultato di un approccio che va oltre gli indirizzi IP, le porte e i protocolli e autentica le richieste in base a identità e contesto. Inoltre, offre una protezione granulare a livello dei singoli workload, per controllarne in modo più efficace le comunicazioni.

Il cloud enclaving non solo riduce al minimo le minacce interne, offrendo una protezione molto più vicina ai carichi di lavoro stessi, ma impedisce anche la diffusione di minacce provenienti dall'esterno in caso di violazione del perimetro.

Quali sono i vantaggi del cloud enclaving?

Proprio come la segmentazione della rete, il cloud enclaving esiste per rafforzare la sicurezza della rete e dei dati di fronte a un panorama di minacce informatiche in continua evoluzione. I criminali informatici sviluppano tecniche sempre più sofisticate per eludere le misure di sicurezza, e le organizzazioni di ogni regione e settore sono sotto assedio. Per rimanere al passo e difendersi, le organizzazioni stesse devono adattare loro stesse e la loro sicurezza.

Un approccio efficace di microsegmentazione con base cloud offre:

• Sicurezza proattiva della rete e dell'IT: il cloud enclaving crea policy sensibili alle applicazioni che viaggiano con tutte le app e i servizi che possono potenzialmente contenere violazioni dei dati delle risorse interessate, e non con l'intero ambiente. Alcuni servizi di enclave sfruttano l'automazione per identificare tutte le comunicazioni, suggerire policy zero trust e applicare queste ultime in un solo clic.
• Vulnerabilità ridotta: anziché controlli statici basati su indirizzi IP, porte e protocolli, il team di sicurezza può creare delle impronte digitali per ogni carico di lavoro e fornire una protezione uniforme, che si operi in un data center interno o sul cloud. La creazione di impronte digitali svincola la sicurezza dei carichi di lavoro dai costrutti degli indirizzi IP, e in questo modo è possibile evitare i problemi dei controlli basati sugli IP.
• Valutazione continua del rischio: le enclavi cloud consentono di misurare automaticamente la superficie di attacco visibile per quantificare il rischio. I servizi di enclaving più efficaci verificano l'identità di un'entità ogni volta che effettua una richiesta; ciò consente di ridurre ulteriormente il rischio, rispondere agli obblighi di conformità alle normative e fornire informazioni per generare report sui rischi.
• Gestione più semplice delle policy: poiché le policy delle enclave cloud si applicano ai carichi di lavoro e non agli indirizzi IP, alle porte, ai protocolli o all'hardware, rimangono inalterate, anche se l'infrastruttura cambia. Il team di sicurezza può quindi estendere il set di controlli ovunque e proteggere un segmento con poche policy basate sull'identità, invece che con centinaia di regole basate sull'indirizzo.

Zscaler e il cloud enclaving

Zscaler Workload Communications è un nuovo modo per creare enclavi sicure sul cloud. Con un solo clic puoi rafforzare la sicurezza, consentendo a ZWS di rivelare il livello di rischio e applicare una protezione basata sull'identità ai workload, senza apportare modifiche alla rete.

Workload Communications offre una protezione completa grazie a policy che si adattano automaticamente ai cambiamenti negli ambienti, eliminando così la superficie di attacco della rete. Inoltre, Zscaler Workload Communications è una soluzione basata su API, e può quindi integrarsi con gli strumenti di sicurezza e con i processi di DevOps esistenti, con la possibilità di eseguire la segmentazione automatica in un solo clic.

Basandosi sull'approccio zero trust, Zscaler consente solo ai carichi di lavoro verificati di comunicare nell'ambiente cloud pubblico, privato o ibrido, mitigando così il rischio e offrendo il massimo livello di protezione dalle violazioni dei dati.

Workload Communications include:

Protezione basata sull'identità del software

Vai oltre gli indirizzi di rete e verifica la sicurezza dell'identità delle applicazioni e dei workload che comunicano su cloud pubblici o privati, cloud ibridi, data center on-premise o ambienti container.

Motore di automazione delle policy

Utilizza il machine learning per automatizzare l'intero ciclo di vita delle policy per la microsegmentazione e la protezione dei workload. Non è necessario creare policy manualmente durante la distribuzione o mentre sono in corso le operazioni: quando vengono aggiunte o modificate app, Workload Communications suggerirà policy nuove o aggiornate.

Visibilità e misurazione della superficie di attacco

Costruisci automaticamente una topologia delle applicazioni in tempo reale e una mappa delle dipendenze fino al livello del processo. La soluzione evidenzia quindi i percorsi necessari, li confronta con il totale dei percorsi di rete disponibili e suggerisce policy per ridurre al minimo la superficie di attacco e proteggere il necessario.

Guardalo in azione

Richiedi una dimostrazione per scoprire in prima persona il modo in cui Zscaler Workload Communications ti consente di creare enclavi cloud per potenziare la tua sicurezza.

How Zscaler Secures Cloud Workloads

Zscaler Zero Trust Cloud delivers simplified, consistent security for modern workloads across multicloud environments. Built on zero trust principles, it secures all workload traffic—whether ingress, egress, or east-west flows—with a unified approach that eliminates lateral movement and reduces the attack surface.

With granular microsegmentation and AI-powered policy recommendations, Zscaler protects mission-critical applications, simplifies management, and speeds up deployment. Flexible deployment options let you manage the infrastructure yourself or use the solution as a gateway service.

Zero Trust Cloud unifies multicloud security in one solution, providing:

• Comprehensive traffic security: Protect east-west, ingress, egress, and micro-flows with consistent controls.
• Peerless risk reduction: Stop lateral movement of threats and isolate high-risk workloads with segmentation.
• Reduced admin complexity: Simplify management with automated policy creation and AI-powered recommendations.