L'Internet delle Cose è diventata oramai una realtà. Tutte le periferiche sono oggi capaci di collegarsi in rete ed interagire fra loro e con noi. La segmentazione di rete assume un ruolo chiave per garantire l'adeguata protezione e le prestazioni richieste.
Le VLAN o Virtual LAN sono un metodo di configurazione logica degli switch che consente di separare differenti tipi di traffico in base al tipo di utenti, alle caratteristiche delle informazioni o alla priorità che si vuole garantire. In sostanza lo stesso apparato agisce come se si trattasse di apparati differenti, ciascuno associato ad una tipologia di traffico o di utilizzo. Il tutto come se si avessero reti fisicamente distinte e separate.
Quando si configura uno switch con delle VLAN, si fa in modo che le sue porte siano associate alle VLAN create. Gli apparati che vengono collegati alle varie porte, operano solo all'interno della VLAN a cui sono associati. Ogni VLAN richiede che sia usata con reti IP distinte e separate. Con questa configurazione un apparato collocato in una VLAN, non può comunicare con un differente apparato collocato in un'altra VLAN senza che un router, o una appropriata configurazione su switch di Layer 3, lo consenta.
Tecnicamente, la VLAN modifica il frame di Layer 2 che viene identificato (taggato) con un identificativo univoco (il numero della VLAN), lo switch si occupa di ricevere il dato su una porta associata ad una determinata VLAN e renderlo visibile in modo trasparente solo agli apparati collegati a porte della medesima VLAN.
Ogni segmento di rete consente una sicurezza equivalente a reti fisiche distinte, separando granularmente i dati in base alla loro tipologia (es. utenze, ospiti, voce, ecc) nonchè ottimizzare le regole di protezione e privacy e di integrare la priorizzazione del traffico (QoS - Quality of Service), aumentando le prestazioni di ogni segmento.
Se la rete è configurata per utilizzare le funzioni di Network Admission Control (vedi sezione sulla sicurezza), allora gli switch possono associare dinamicamente le porte alle vlan in base al client che vi si collega, impedendo che persone non autorizzate si colleghino alla rete in modo non controllato.
Perchè la segmentzione di rete è essenziale per l'Internet delle Cose
Le soluzioni basate sulle tecnologie dell'Internet of Things pongono in maggiore evidenza l'importanza dell'utilizzo della segmentazione di rete per garantire le le periferiche connesse siano adeguatamente protette e che il loro funzionamento sia supportato da risorse garantite in termini di prestazioni e affidabilità.
E' sempre più frequente che le aziende ci pongano le loro preoccupazioni sul come poter supportare i nuovi modelli di business relativi alla mobility, al cloud e all'Internet delle cose (Internet of Things o IoT), garantendo la flessibilità necessaria senza incorrere in rischi per la sicurezza.
Man mano che le reti sono cresciute e si sono evolute negli ultimi anni, si è passato da un modello operativo dove si pensava a collegare sistemi fra loro e fra luoghi differenti ad una realtà dove tutto è collegato ed interconnesso. Di conseguenza sono anche cambiate le metodologie di supervisione necessarie per garantire che le informazioni pubblicate non vengano corrotte o sottratte con scopi malevoli.
Vi basta pensare che rispetto ad alcuni anni fa, parlando delle tecnologie legate al business d'impresa, è comune usare termini quali periferiche mobili, applicazioni orientate al web, hypervisor, social media, periferiche personali, ecc. Questi elementi sono diventati indispensabili strumenti di lavoro, ma nel contempo espandono la superficie di attacco potenziale alla rete.
Una adeguata separazione degli ambiti operativi di queste diverse tipologie di apparati, consente di definire in modo più granulare come le risorse nella vostra rete possano essere separate e come le comunicazioni improprie o malevoli fra le risorse di rete possano essere limitate o bloccate.
Per illustrare come questa soluzione possa applicarsi nel mondo reale, immaginate le implicazioni per un ambiente della pubblica amministrazione quale un ospedale: in questo ambiente, la segmentazione è cruciale.
Lo staff clinico ha bisogno di un accesso ininterrotto con gli strumenti e i sistemi clinici, quali i sistemi di monitoraggio dei pazienti, o l'accesso ai dati delle cartelle cliniche. allo stesso tempo i pazienti e i loro ospiti cercano momenti di distrazione dall'ambiente di ricovero tramite l'uso di Internet. La segmentazione consente di garantire che un paziente possa navigare in Internet sul proprio tablet o laptop, senza rischiare che possa avere accesso ai dati di altri pazienti o che possa compromettere il funzionamento dei sistemi informatici vitali per la struttura ospedaliera.
Oggi esistono 10 miliardi di periferiche connesse in tutto il mondo, questo numero è in costante aumento e si prevede che superi i 50 miliardi di sensori, oggetti e altre "cose" connesse entro il 2020. Non è possibile pensare di rimanere fuori da questa evoluzione ed è quindi indispensabile prepararsi ed evolvere tecnicamente.