Zonizzazione della rete nel 2023: come l’intelligenza artificiale e l’automazione cambiano le cose
Klaus Haller | 07 giugno 2023
La zonizzazione della rete è un fondamentale controllo preventivo di sicurezza che riduce la superficie di attacco di un'azienda e ostacola i movimenti laterali. Rende la vita degli aggressori più difficile perché non possono raggiungere direttamente tutte le macchine virtuali (VM) da Internet. Inoltre, anche se entrano nella rete aziendale, non possono passare rapidamente da una VM all'altra se firewall e zone limitano la connettività e il traffico della rete interna. Tuttavia, l’ascesa dell’intelligenza artificiale e dell’automazione IT mette in discussione un principio fondamentale di zonizzazione: le fasi. La differenziazione tra zone di produzione, preproduzione e integrazione, test e sviluppo è ancora adeguata? Quali adattamenti portano gli anni 2020?
La zona di sviluppo, la zona di test, la zona di preproduzione e la zona di produzione: metodologie di ingegneria agili hanno sostituito il buon vecchio modello a cascata, ma le fasi sono sopravvissute (Figura 1). Alcuni dipartimenti IT hanno tre (o solo due) fasi, alcuni parlano di fasi di test di integrazione o test unitari. Gli obiettivi sono gli stessi:
Correlato: Il problema più grande nell'intelligenza artificiale? Chatbot bugiardi
Le organizzazioni con certificazioni ISO 27001 devono comunque separare i sistemi di sviluppo, test e produzione per la conformità ISO (ISO 27001:2022 Allegato A 8.31).
Figura 1: un concetto classico e sofisticato di zonizzazione della rete
Correlato: L'ex consigliere tecnico di Biden su ciò che manca a Washington riguardo all'intelligenza artificiale
In pratica, i progetti di rete più ampi distinguono tra zone interne ed esterne (vale a dire, raggiungibili da Internet) e inseriscono firewall per applicazioni Web e soluzioni di gestione dell'interfaccia dell'applicazione (API) tra Internet e le zone esterne. I paesi o le unità di business sono altre dimensioni di zonizzazione diffuse. Gli stessi concetti di zonizzazione o più semplici potrebbero essere applicati nelle fasi non produttive.
Quella era la configurazione tradizionale. Negli ultimi anni, l’intelligenza artificiale e l’automazione IT sono entrate sotto i riflettori e hanno portato cambiamenti.
L'elevata disponibilità e i cicli rapidi dalla codifica all'implementazione richiedono entrambi l'automazione nei data center. Inoltre, l’automazione rende gli amministratori molto più efficienti. Oggi installare e configurare il software è un'attività con un solo clic, rispetto a un lavoro a tempo pieno negli anni passati, in cui gli amministratori si destreggiavano tra venti floppy disk. I server di monitoraggio odierni dispongono di allarmi automatizzati. Informano gli amministratori in modo proattivo se sono necessari interventi manuali. Inoltre, le pipeline CI/CD sono standard. Tuttavia, questi incrementi di efficienza richiedono una modifica dei concetti di zonizzazione della rete (Figura 2).
L'impatto dei componenti di monitoraggio e distribuzione e delle pipeline CI/CD sulla zonizzazione della rete
Le soluzioni di monitoraggio controllano la disponibilità delle macchine virtuali e dei componenti di rete e cercano eventi che potrebbero suggerire incidenti di sicurezza. Nel Regno Unito esiste una soluzione di monitoraggio per l'intero data center, ma non per la zona di produzione. In Spagna ce n’è uno per lo sviluppo e in India ce n’è uno per i test. Le applicazioni di monitoraggio implicano la necessità di un accesso multistadio. È possibile posizionare i componenti di monitoraggio in una zona dedicata all'interno della zona di produzione o completamente separatamente. Ovviamente, gli errori operativi sono meno probabili se queste applicazioni vengono separate in termini di zone. Inoltre, i firewall dovrebbero essere aperti in modo selettivo anziché limitarsi ad aprire tutti i firewall.
Le soluzioni di monitoraggio ne sono un esempio; altre soluzioni (ad esempio, per la gestione delle patch o la scansione delle vulnerabilità) rientrano nella stessa categoria. Tuttavia, anche se potrebbe essere possibile (ma non necessariamente sempre sensato) eludere l’accesso multistadio per tali soluzioni, le pipeline CI/CD, per definizione, sono multistadio. Innanzitutto, distribuisci il codice sul tuo laptop locale, quindi su un server di test, un ambiente di integrazione e infine in produzione. Pertanto, la natura pura delle pipeline CI/CD richiede un accesso multistadio. Ancora una volta, se uno strumento deve distribuire e modificare le VM in tutte le fasi, i firewall tra le zone non dovrebbero essere demoliti completamente ma solo aperti selettivamente per questo strumento.