Micro-segmentazione basata su SDN per le reti OT

By Graham Walker

Operation Technology (OT)

L'integrazione dell'intelligenza dell'Industrial IoT e dell'Industria 4.0 comporta la convergenza dell'Information Technology (IT) e dell'Operational Technology (OT) per collegare i flussi di informazioni aziendali e industriali. Le reti OT sono spesso collegate alle reti IT, il che le rende vulnerabili agli attacchi informatici. Una violazione della sicurezza in una rete OT può causare danni fisici, interruzioni della produzione e perdite finanziarie. In questo blog parleremo dell'importanza della sicurezza nelle reti OT e spiegheremo perché la micro-segmentazione è il modo ideale per proteggere queste reti.

Le reti OT sono comunemente utilizzate per controllare e monitorare i processi fisici nei settori della produzione, dei trasporti e dell'energia. Gli attacchi informatici alle reti OT possono provocare:

  • Danni fisici alle apparecchiature che comportano costose riparazioni e interruzioni della produzione.
  • Interruzione dei processi controllati dalle reti OT con conseguenti ritardi e interruzioni della produzione.
  • Pericoli per la sicurezza dei dipendenti e del pubblico.

Che cos'è la segmentazione della rete?

La segmentazione può mitigare queste minacce isolando i sistemi critici dalle altre parti della rete. È un approccio alla sicurezza di rete che permette alle aziende di creare zone sicure all'interno delle loro reti per proteg gere dati e applicazioni sensibili. La micro-segmentazione divide la rete in sezioni più piccole, le isola e applica rigorosi criteri di comunicazione tra i dispositivi. Questo approccio ostacola la capacità degli aggressori di muoversi lateralmente all'interno della rete, limitando i danni che possono essere causati in caso di violazione.

Vantaggi della micro-segmentazione

La micro-segmentazione migliora la sicurezza della rete OT fornendo un ulteriore livello di protezione contro gli attacchi. Permette agli amministratori di rete di implementare controlli di accesso granulari e di limitare l'accesso a specifiche aree della rete.

La micro-segmentazione riduce anche la superficie di attacco limitando il numero di punti di accesso alla rete per gli aggressori. Isolando le applicazioni e i dati all'interno di singoli segmenti, anche se un segmento viene violato, il resto della rete rimane sicuro, proteggendo le risorse critiche dalle minacce informatiche. Estendere la micro-segmentazione dall'infrastruttura di rete all'endpoint è l'approccio migliore per contenere il movimento laterale dell'attaccante.

Gli standard di conformità come la North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection (CIP) richiedono l'implementazione di misure di sicurezza come la segmentazione. La micro-segmentazione aiuta le aziende a soddisfare questi requisiti.

Il rilevamento e la risposta agli incidenti di sicurezza sono facilitati dalla micro-segmentazione grazie alla migliore visibilità del traffico di rete. Se si verifica un attacco, la micro-segmentazione consente di rilevarlo prima perché la minaccia ha molti più confini di sicurezza da attraversare, quindi la diffusione dell'attacco è più lenta.

La micro-segmentazione offre anche flessibilità nella gestione delle reti OT, consentendo agli amministratori di rete di gestire le politiche di sicurezza in modo centralizzato e di apportare rapidamente modifiche per adattarsi alle mutevoli condizioni della rete.

Tuttavia, la micro-segmentazione aggiunge un notevole sovraccarico all'amministrazione della rete e, con l'aggiornamento e l'espansione delle reti, la sicurezza di una strategia di micro-segmentazione gestita manualmente si deteriora inevitabilmente.

Reti software defined (SDN)

Le reti software defined (SDN) sono un'architettura di rete che separa il piano di controllo della rete dal piano dati. Questa separazione permette agli amministratori di rete di gestire centralmente i flussi di traffico e le politiche di sicurezza tramite un'applicazione software. Con l'SDN, la rete viene facilmente suddivisa in segmenti logici più piccoli, noti anche come reti virtuali. Ogni rete virtuale può essere isolata dalle altre reti virtuali e può avere i propri criteri di sicurezza.

Ecco come le reti software defined consentono la micro-segmentazione:

  • Gli amministratori possono usare l'SDN per definire politiche che controllano il traffico di rete tra le reti virtuali (segmenti). Le policy si basano su parametri quali l'identità dell'utente, il tipo di dispositivo, il tipo di applicazione e la posizione. Queste politiche garantiscono che solo il traffico autorizzato possa fluire tra le reti virtuali.
  • L'SDN consente di allocare dinamicamente le risorse di rete in base alle politiche definite dagli amministratori. Questa allocazione dinamica garantisce che le reti virtuali siano isolate l'una dall'altra e che abbiano le risorse necessarie per funzionare correttamente.
  • L'SDN fornisce visibilità in tempo reale sul traffico di rete, consentendo agli amministratori di monitorare i modelli di traffico e di rilevare le anomalie. Questa visibilità è essenziale per identificare e rispondere rapidamente a potenziali minacce alla sicurezza.
  • L'SDN semplifica l'amministrazione, anche su reti di grandi dimensioni, e garantisce l'applicazione automatica dei criteri di sicurezza ogni volta che la rete viene modificata, aggiornata o ampliata. In questo modo la forza della strategia di sicurezza della micro-segmentazione viene mantenuta per tutta la vita della rete.

Conclusioni

La sicurezza delle reti OT è essenziale per il funzionamento sicuro ed efficiente di molte industrie. Gli attacchi informatici alle reti OT possono causare danni fisici, interruzioni della produzione e perdite finanziarie. L'implementazione di una micro-segmentazione basata su SDN può aiutare le aziende a proteggere le risorse critiche, a rispettare le normative, a migliorare la sicurezza delle reti OT, a fornire una migliore visibilità sul traffico di rete e a migliorare la flessibilità nella gestione delle reti OT.

La Open Networking Foundation certifica che gli switch industriali di Allied Telesis sono conformi a OpenFlow (OpenFlow è un protocollo fondamentale per le applicazioni SDN). Di conseguenza, Veracity raccomanda questi switch per l'uso con il suo Micro-Segmentation SDN Controller, una soluzione leader del settore per la sicurezza delle reti OT.

Scopri la nostra gamma di switch Ethernet industriali qui.