Leader nel Gartner® Magic Quadrant™ 2026 per Endpoint Protection. Sei anni consecutivi.Sei anni. Gartner® Magic Quadrant™ Leader.Scopri perché
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Che cos'è la microsegmentazione nella cybersecurity?
Cybersecurity 101/Sicurezza informatica/Microsegmentazione

Che cos'è la microsegmentazione nella cybersecurity?

La microsegmentazione crea confini di sicurezza a livello di workload che bloccano il movimento laterale. Scopri come i controlli basati sull'identità fermano la diffusione del ransomware.

CS-101_Cybersecurity.svg
Indice dei contenuti
Che cos'è la Microsegmentazione?
Perché la Microsegmentazione è Importante nella Cybersecurity?
Come la Microsegmentazione è Diversa dalla Segmentazione di Rete
Componenti Fondamentali della Microsegmentazione
Tipi di Tecniche di Microsegmentazione
Come Funziona la Microsegmentazione
Come la Segmentazione Tradizionale e la Microsegmentazione si Completano a Vicenda
Vantaggi Chiave della Microsegmentazione
Implementazione su Infrastrutture Moderne
Errori Comuni nella Microsegmentazione
Sfide e Limitazioni della Microsegmentazione
Best Practice per la Microsegmentazione
Microsegmentazione come Fondamento dello Zero Trust
Esempi e Casi d'Uso Reali
Distribuire la Microsegmentazione con SentinelOne
Conclusione

Articoli correlati

  • OWASP Top 10: Vulnerabilità, rischi e come risolverli
  • Requisiti di sicurezza GDPR: checklist di conformità e guida
  • Cos'è la conformità CMMC? Definizione, livelli e requisiti
  • Cos'è la strategia di backup 3-2-1? Esempi e best practice
Autore: SentinelOne
Aggiornato: December 4, 2025

Che cos'è la Microsegmentazione?

La microsegmentazione implementa controlli di accesso a livello di workload che impediscono movimenti laterali non autorizzati nelle infrastrutture moderne. A differenza della segmentazione di rete tradizionale che suddivide le reti in grandi zone basate sulla topologia fisica, la microsegmentazione applica policy basate sull'identità tra singoli workload indipendentemente dalla posizione di rete. La definizione di microsegmentazione si è evoluta fino a includere controlli di sicurezza basati sull'identità e centrati sul workload che operano su più livelli di infrastruttura con consapevolezza a livello applicativo.

La microsegmentazione è diventata un pilastro fondamentale dell'architettura Zero Trust. L'architettura si basa su tre principi fondamentali:

  1. Applicazione delle policy centrata sul workload sostituisce i controlli centrati sulla rete. Le policy sono associate alle identità delle applicazioni e alle credenziali degli utenti invece che agli indirizzi IP. Quando si migra un database su AWS o si ridistribuiscono microservizi in Kubernetes, le policy di sicurezza seguono automaticamente il workload.
  2. Consapevolezza applicativa Layer 7 offre un controllo granulare sui modelli di comunicazione. Invece di consentire tutto il traffico tra subnet, si definisce quali specifiche API un microservizio può chiamare su un altro. Questa visibilità a livello applicativo rivela comportamenti di attacco che i firewall a livello di rete non rilevano. Secondo la NIST Special Publication 800-207, questo focus a livello applicativo rappresenta un passaggio da perimetri statici basati sulla rete a controlli di sicurezza centrati su asset e workload. I controlli Layer 7 operano insieme ai tradizionali controlli di rete Layer 2/3 per applicare policy basate sull'identità e rilevare tentativi di movimento laterale che VLAN di livello 2 e firewall di rete non possono identificare.
  3. Impostazione predefinita di deny elimina la fiducia implicita all'interno dei confini di rete. Ogni richiesta di comunicazione richiede un'autorizzazione esplicita basata su identità, contesto e valutazione del rischio in tempo reale. Una credenziale compromessa potrebbe autenticarsi con successo, ma l'analisi comportamentale blocca il tentativo di movimento laterale quando quell'account tenta di accedere a workload al di fuori del suo modello normale.

La propagazione del ransomware dipende dal movimento laterale. Gli attaccanti devono spostarsi dall'accesso iniziale ai target di alto valore. La microsegmentazione crea checkpoint di enforcement in tutto l'ambiente che il ransomware non può aggirare.

Microsegmentation - Featured Image | SentinelOne

Perché la Microsegmentazione è Importante nella Cybersecurity?

La microsegmentazione affronta il fallimento fondamentale della sicurezza basata sul perimetro, dove gli attaccanti operano all'interno della rete con credenziali valide. I modelli di sicurezza tradizionali presumono che tutto ciò che si trova all'interno del perimetro di rete sia affidabile. Una volta che gli attaccanti superano questo perimetro, si muovono lateralmente tra i sistemi senza incontrare ulteriori controlli. Le ricerche dimostrano che gli attaccanti raggiungono il movimento laterale entro 48 minuti dal compromesso iniziale.

La microsegmentazione elimina questa fiducia implicita richiedendo un'autorizzazione esplicita per ogni connessione tra workload. Un attaccante che compromette un web server non può connettersi ai database backend perché le policy verificano sia l'identità che i modelli comportamentali. Comprendere come la microsegmentazione differisce dalla segmentazione di rete tradizionale rivela perché questo cambiamento architetturale è importante per la sicurezza Zero Trust.

Come la Microsegmentazione è Diversa dalla Segmentazione di Rete

La segmentazione di rete tradizionale opera a Layer 2 e Layer 3 con una granularità grossolana basata sulla topologia fisica o virtuale della rete. Le VLAN raggruppano i dispositivi per posizione o funzione, applicando la stessa policy di sicurezza a tutto ciò che si trova all'interno di quel segmento. Quando si posizionano i server di sviluppo in una VLAN e i sistemi di produzione in un'altra, ogni server di sviluppo può comunicare liberamente con ogni altro server di sviluppo.

La microsegmentazione opera su più livelli con controlli a livello applicativo Layer 7. Le policy sono centrate sul workload e basate sull'identità invece che sulla rete. Si definisce che questo specifico API gateway può accedere a questa particolare funzione di database, non che la subnet A può raggiungere la subnet B.

  • Enforcement statico contro dinamico rivela la differenza fondamentale. Le VLAN associano le policy di sicurezza all'infrastruttura fisica, operando a Layer 2 con granularità grossolana basata sulla topologia di rete. Quando si distribuiscono nuovi workload cloud o si scalano i deployment di container, si aggiornano manualmente le configurazioni VLAN e le regole dei firewall. Le policy di microsegmentazione di rete seguono automaticamente i workload perché sono basate su attributi di identità e contesto applicativo invece che su indirizzi di rete, consentendo un enforcement dinamico che si adatta allo spostamento dei workload nell'infrastruttura.
  • Controllo del traffico north-south contro east-west evidenzia il punto cieco della segmentazione tradizionale. I firewall di rete eccellono nel controllare il traffico in ingresso e in uscita dall'ambiente (north-south). Hanno difficoltà con il traffico laterale tra sistemi interni (east-west), dove avviene la maggior parte dei movimenti di attacco. La microsegmentazione mira specificamente a limitare il movimento laterale avversario all'interno della rete di un'organizzazione per accedere a dati sensibili e sistemi critici.

Componenti Fondamentali della Microsegmentazione

L'architettura di microsegmentazione richiede quattro componenti integrati che lavorano insieme per applicare controlli di accesso basati sull'identità. 

  1. Il controller delle policy funge da piano di gestione centrale, mantenendo il repository delle policy di sicurezza e calcolando le decisioni di accesso in base agli attributi dei workload, al contesto utente e ai segnali comportamentali. Questo controller traduce i requisiti di sicurezza di alto livello in regole applicabili che l'automazione del deployment può utilizzare.
  2. Gli agenti di enforcement vengono distribuiti nell'infrastruttura per intercettare e valutare le richieste di connessione. Questi agenti operano come moduli kernel su macchine virtuali, sidecar container nei pod Kubernetes o punti di integrazione con i gruppi di sicurezza cloud. Ogni agente applica le decisioni localmente senza richiedere connettività costante al controller delle policy, mantenendo la protezione anche durante le partizioni di rete.
  3. I provider di identità autenticano workload e utenti tramite certificati, API key o protocolli di identità federata. Il sistema di microsegmentazione interroga questi provider per verificare che le entità richiedenti dispongano di credenziali valide prima di valutare le policy di autorizzazione.
  4. I collector di telemetria aggregano dati di flusso di rete, violazioni delle policy e anomalie comportamentali dagli agenti di enforcement. Questo feedback continuo consente al controller delle policy di rilevare pattern di attacco, raccomandare affinamenti delle policy e attivare risposte automatiche ad attività sospette. La raccolta di telemetria fornisce la visibilità necessaria per un efficace threat hunting e reporting di conformità.

Questi componenti vengono distribuiti tramite diversi approcci tecnici a seconda dell'architettura infrastrutturale e dei requisiti operativi.

Tipi di Tecniche di Microsegmentazione

Le organizzazioni implementano la microsegmentazione attraverso cinque tecniche principali, ciascuna adatta a diversi tipi di infrastruttura e requisiti operativi.

  1. Microsegmentazione basata sulla rete utilizza controller SDN (software-defined networking) e switch virtuali distribuiti per applicare policy a livello di rete. Questo approccio funziona bene nei datacenter virtualizzati dove i controller SDN centralizzati possono programmare dinamicamente le flow table degli switch virtuali in base all'identità del workload.
  2. Microsegmentazione basata su host distribuisce agenti di enforcement direttamente sui sistemi operativi, controllando il traffico tramite firewall host o filtri di pacchetti a livello kernel. Questa tecnica offre protezione per server fisici, sistemi legacy e ambienti dove il controllo a livello di rete non è disponibile.
  3. Microsegmentazione cloud-native sfrutta costrutti specifici della piattaforma come i security group AWS, i network security group Azure o le regole firewall GCP. I provider cloud gestiscono l'infrastruttura di enforcement mentre i motori di policy centralizzati traducono le identità dei workload in configurazioni specifiche del cloud tramite automazione API.
  4. Microsegmentazione container-native si integra con architetture service mesh come Istio o Linkerd. Il service mesh intercetta tutta la comunicazione pod-to-pod, applicando policy a livello applicativo con autenticazione mTLS tra microservizi.
  5. Microsegmentazione a livello applicativo opera a Layer 7, controllando chiamate API specifiche, query di database o funzioni applicative invece di limitarsi a consentire o bloccare connessioni. Questa tecnica richiede un'integrazione profonda con i framework applicativi ma offre il controllo più granulare sul comportamento dei workload.

Comprendere questi approcci di implementazione spiega perché le organizzazioni adottano la microsegmentazione nonostante la complessità operativa.

Come Funziona la Microsegmentazione

La microsegmentazione applica controlli di accesso tramite verifica dell'identità e enforcement delle policy a livello di workload. L'architettura richiede tre componenti fondamentali che lavorano insieme: policy decision point (PDP) che calcolano e rilasciano decisioni di accesso, policy enforcement point (PEP) che applicano tali decisioni abilitando, monitorando o terminando le connessioni, e sistemi di monitoraggio continuo che forniscono visibilità sul traffico di rete e sulla postura di sicurezza.

  1. I policy decision point valutano le richieste di accesso utilizzando identità del workload, contesto applicativo, credenziali utente e attributi comportamentali. Quando un'applicazione containerizzata tenta di comunicare con un database, il motore di policy verifica: questa identità di workload ha l'autorizzazione? L'operazione richiesta rientra nei modelli comportamentali normali? La sessione utente mostra segni di compromissione?
  2. I policy enforcement point si posizionano tra i workload e applicano le decisioni consentendo, bloccando o monitorando le connessioni. Questi enforcement point operano su più livelli, inclusi interfacce di rete, firewall host, service mesh o gruppi di sicurezza cloud. La differenza chiave rispetto ai firewall tradizionali: i punti di enforcement ricevono decisioni dinamiche basate sull'identità invece di regole statiche basate su IP. I punti di enforcement della microsegmentazione di rete funzionano come Policy Enforcement Point (PEP) che applicano decisioni calcolate dai Policy Decision Point (PDP) utilizzando policy dinamiche che incorporano identità, stato applicativo, caratteristiche dell'asset e attributi comportamentali.
  3. Il monitoraggio continuo invia telemetria ai motori di policy per analisi comportamentale e rilevamento delle minacce. Ogni connessione consentita genera dati su modelli di comunicazione, volumi di dati e tempistiche di accesso. Comportamenti anomali, come un web server che improvvisamente avvia connessioni in uscita verso database, attivano una rivalutazione delle policy o il blocco automatico. Questa verifica continua consente di prevenire i tentativi di movimento laterale che i controlli di rete tradizionali non rilevano.

Secondo la NIST Special Publication 800-207, questa architettura sposta le difese di cybersecurity dai perimetri di rete statici al focus su asset, risorse e utenti. Le decisioni di accesso avvengono per sessione con verifica continua, non una sola volta al perimetro di rete.

Come la Segmentazione Tradizionale e la Microsegmentazione si Completano a Vicenda

Non si sostituisce la segmentazione di rete con la microsegmentazione. Si stratifica la microsegmentazione sopra i confini di rete esistenti per creare una difesa in profondità.

La segmentazione di rete fornisce isolamento a livello macro tra le principali zone di sicurezza. Tuttavia, secondo le ricerche che confrontano segmentazione di rete e microsegmentazione, la segmentazione di rete tradizionale opera a Layer 2 con granularità grossolana basata sulla topologia di rete, dove tutti i dispositivi all'interno di un segmento condividono la stessa policy di sicurezza. La DMZ, la rete aziendale e l'ambiente OT possono essere separati a livello di rete tramite VLAN o subnet, ma questi confini da soli offrono una protezione limitata contro il movimento laterale.

Le moderne architetture Zero Trust richiedono microsegmentazione, controlli di accesso basati sull'identità e a livello di workload che operano su più livelli con controlli a livello applicativo Layer 7, per prevenire efficacemente il movimento laterale. 

Mentre la segmentazione di rete tradizionale protegge da errori di configurazione e offre un contenimento grossolano se gli attaccanti superano le difese perimetrali, è insufficiente contro avversari che operano con finestre di movimento laterale medie di 48 minuti. La microsegmentazione va oltre l'isolamento a livello macro per applicare policy granulari e centrate sull'identità tra singoli workload indipendentemente dalla posizione di rete, fornendo i requisiti di autorizzazione esplicita e la postura di deny predefinita necessari per un contenimento efficace nelle infrastrutture moderne.

La microsegmentazione aggiunge controlli granulari all'interno di queste zone. All'interno del segmento di rete aziendale, la microsegmentazione impedisce a un laptop compromesso di accedere a tutti i server. All'interno di un cluster Kubernetes, garantisce che i container comunichino solo con servizi esplicitamente autorizzati. Si mantiene la segmentazione tradizionale per l'infrastruttura che non può supportare controlli basati sull'identità, espandendo progressivamente la copertura della microsegmentazione agli asset critici.

Vantaggi Chiave della Microsegmentazione

La microsegmentazione offre miglioramenti di sicurezza misurabili che affrontano direttamente i limiti delle difese basate sul perimetro. I vantaggi includono:

  • Contenimento del movimento laterale impedisce agli attaccanti di spostarsi tra i sistemi dopo il compromesso iniziale. Le ricerche dimostrano che gli attaccanti si muovono lateralmente entro 48 minuti dall'accesso. La microsegmentazione crea checkpoint di enforcement che bloccano questo movimento indipendentemente dal possesso di credenziali valide da parte degli attaccanti.
  • Riduzione del blast radius limita la portata degli attacchi riusciti. Quando un ransomware cifra un workload, le policy di microsegmentazione gli impediscono di propagarsi ai sistemi adiacenti. Le organizzazioni vedono i tempi di contenimento ridursi da ore a secondi.
  • Semplificazione della compliance risponde ai requisiti di audit per l'isolamento dei dati e i controlli di accesso. PCI DSS, HIPAA e SOC 2 impongono accesso ristretto ai sistemi sensibili. La microsegmentazione fornisce prove verificabili dell'enforcement delle policy con log completi del traffico che mostrano esattamente quali workload hanno comunicato.
  • Visibilità della superficie di attacco rivela tutti i percorsi di comunicazione tra workload, esponendo connessioni non autorizzate che non dovrebbero esistere. Questa visibilità identifica drift di configurazione, shadow IT e servizi dimenticati che il monitoraggio di rete tradizionale non rileva.
  • Portabilità delle policy mantiene la sicurezza coerente mentre i workload migrano tra datacenter e cloud. Le policy basate sull'identità seguono automaticamente le applicazioni senza richiedere aggiornamenti manuali delle regole firewall per ogni cambiamento infrastrutturale.

Questi vantaggi comportano sfide di implementazione che le organizzazioni devono affrontare tramite una pianificazione accurata e un'allocazione adeguata delle risorse.

Implementazione su Infrastrutture Moderne

La microsegmentazione deve applicare policy coerenti su infrastrutture eterogenee senza richiedere la riscrittura dei controlli di sicurezza per ogni piattaforma. L'infrastruttura comprende datacenter on-premises, più cloud pubblici, applicazioni containerizzate e funzioni serverless.

  • Gli ambienti cloud-native presentano sfide uniche. I workload scalano dinamicamente, gli indirizzi IP cambiano costantemente e i confini di rete tradizionali non esistono. Secondo le linee guida CISA, la microsegmentazione deve affrontare esplicitamente "ambienti cloud pubblici e privati" che coprono IaaS, PaaS, SaaS e architetture ibride. Si implementa tramite costrutti cloud-native, security group in AWS, network security group in Azure, regole firewall in GCP, gestiti da motori di policy centralizzati che traducono le identità dei workload in enforcement specifici della piattaforma. Una protezione completa dei workload cloud richiede policy di microsegmentazione che si adattino automaticamente all'infrastruttura cloud dinamica.
  • Piattaforme di orchestrazione container come Kubernetes richiedono integrazione con il service mesh. Il service mesh si posiziona tra i microservizi, intercettando tutta la comunicazione per applicare policy di microsegmentazione a livello di pod. Quando gli sviluppatori distribuiscono nuove versioni di container tramite pipeline CI/CD, le policy di sicurezza vengono distribuite automaticamente in base alle etichette dei workload e alle identità dei servizi. Le organizzazioni che implementano la sicurezza Kubernetes devono garantire che le policy di microsegmentazione si integrino senza soluzione di continuità con i workflow di orchestrazione dei container.
  • L'infrastruttura legacy non supporterà immediatamente i controlli basati sull'identità. Si implementa la microsegmentazione progressivamente, iniziando dagli asset critici che giustificano lo sforzo di integrazione. I punti di enforcement per i sistemi che non possono partecipare ad architetture identity-aware includono firewall host-based, meccanismi di tap-and-forward di rete o soluzioni firewall che operano su più livelli per fornire confini di segmentazione.

Errori Comuni nella Microsegmentazione

Le organizzazioni falliscono nella microsegmentazione quando la affrontano come un progetto di ingegneria di rete invece che come una trasformazione dell'architettura di sicurezza. Questi fallimenti sono prevedibili e prevenibili se affrontati come uno sforzo architetturale di sicurezza completo piuttosto che come una semplice iniziativa tecnica di rete.

  • Iniziare senza visibilità condanna le implementazioni prima ancora dell'enforcement. Non si possono definire policy di minimo privilegio senza sapere quali workload comunicano legittimamente. Le organizzazioni applicano subito l'enforcement, bloccano traffico business legittimo e tornano a policy permissive che non offrono valore di sicurezza. È necessaria visibilità sugli asset di rete e sui pattern di traffico tramite discovery e analisi dei cluster prima dell'enforcement, richiedendo fasi iniziali di pianificazione e analisi prima di passare all'enforcement.
  • Trattare la microsegmentazione come un prodotto invece che come un programma ignora la trasformazione operativa richiesta. Non si acquista un firewall e si configurano regole. Si cambia il modo in cui le policy di sicurezza si integrano con il deployment applicativo, il provisioning dell'infrastruttura e la gestione degli incidenti.
  • Implementare policy basate su indirizzi IP vanifica lo scopo. Se le policy di microsegmentazione fanno riferimento a indirizzi IP o subnet specifici, si è costruita una versione più granulare della segmentazione tradizionale. Il valore deriva da policy basate sull'identità che seguono i workload attraverso i cambiamenti infrastrutturali. Quando le policy basate su IP falliscono durante le migrazioni cloud, le organizzazioni abbandonano completamente la microsegmentazione, perdendo il modello di sicurezza centrato sul workload che definisce la moderna architettura Zero Trust.
  • Ignorare le dipendenze applicative crea outage che erodono la fiducia degli stakeholder. Le applicazioni moderne coinvolgono decine di microservizi, API esterne e dipendenze di dati. Omettere una singola dipendenza nella definizione delle policy blocca funzionalità business critiche. È necessario documentare i flussi completi delle transazioni applicative prima di definire le policy di enforcement per garantire che le policy di microsegmentazione abilitino e non ostacolino le operazioni business legittime.
  • Impostare aspettative di copertura irrealistiche porta a percepire il fallimento anche quando le implementazioni hanno successo. Non si mette in sicurezza tutto immediatamente. Si espande progressivamente la copertura dagli asset critici verso l'esterno. Definire il successo come "copertura al 100% in 6 mesi" garantisce delusione.

Sfide e Limitazioni della Microsegmentazione

La microsegmentazione introduce complessità operativa che le organizzazioni devono affrontare tramite cambiamenti di processo e sviluppo delle competenze.

  • Overhead operativo aumenta poiché i team di sicurezza gestiscono migliaia di policy granulari invece di decine di regole firewall. Ogni deployment applicativo richiede definizione, test e validazione delle policy. Le organizzazioni sottovalutano il personale necessario per la gestione del ciclo di vita delle policy, portando a policy sprawl dove le regole obsolete si accumulano più velocemente di quanto i team possano auditarle.
  • La mappatura delle dipendenze applicative diventa un requisito bloccante. La microsegmentazione fallisce quando le policy non tengono conto dei flussi completi delle transazioni applicative. Mappare queste dipendenze in ambienti con centinaia di microservizi e integrazioni di terze parti richiede strumenti di discovery automatizzati e periodi di osservazione estesi che ritardano l'implementazione.
  • L'impatto sulle prestazioni varia in base alla tecnica di enforcement e alla qualità dell'implementazione. Gli agenti host-based aggiungono overhead CPU per l'ispezione dei pacchetti. Le soluzioni network-based introducono latenza tramite hop aggiuntivi. La microsegmentazione cloud-native affronta limiti di rate API durante l'aggiornamento dinamico dei security group. Le organizzazioni devono testare le prestazioni dei punti di enforcement sotto carico di produzione prima del deployment.
  • Le lacune di competenze limitano la velocità di adozione. I team di sicurezza comprendono i firewall di rete ma non hanno esperienza con policy basate sull'identità, automazione API e networking container. Questo gap di conoscenza crea rischi di deployment quando i team implementano policy senza comprendere l'architettura applicativa.
  • Le limitazioni dei sistemi legacy impediscono una copertura universale. Mainframe, sistemi di controllo industriale e applicazioni proprietarie non possono partecipare ad architetture identity-aware, costringendo le organizzazioni a mantenere la segmentazione tradizionale per questi asset.

Nonostante queste sfide, organizzazioni di diversi settori distribuiscono con successo la microsegmentazione quando comprendono i pattern di implementazione reali.

Best Practice per la Microsegmentazione

Si aumenta il successo dell'implementazione seguendo una metodologia strutturata e a fasi che dà priorità alla visibilità e alla discovery degli asset, stabilisce policy di segmentazione granulari ed espande progressivamente mantenendo monitoraggio completo e verifica della compliance.

  1. Mappare i pattern di traffico prima di applicare le policy. Distribuire il monitoraggio in modalità osservazione nell'ambiente per 30-90 giorni. Rilevare quali workload comunicano, quali protocolli utilizzano, pattern di volume dati e tempistiche delle connessioni. Questa baseline identifica le dipendenze legittime da preservare e i comportamenti anomali da indagare prima dell'enforcement.
  2. Iniziare con asset ad alto valore e bassa complessità. Il primo deployment di microsegmentazione dovrebbe riguardare workload critici con dipendenze ben comprese come database di produzione, sistemi di pagamento o infrastrutture di privileged access management. Questi asset giustificano lo sforzo di integrazione e dimostrano una riduzione del rischio misurabile.
  3. Implementare il deny predefinito a fasi. Iniziare con la modalità monitor-only in cui le policy generano alert ma non bloccano il traffico. Passare a block-on-alert dove i team di sicurezza revisionano e approvano le eccezioni. Infine, passare all'enforcement autonomo con workflow di eccezione. Questo approccio a fasi identifica le lacune nelle policy prima che causino outage.
  4. Integrare con le pipeline CI/CD per ambienti DevOps. Le policy di sicurezza devono essere distribuite automaticamente quando gli sviluppatori rilasciano nuovo codice. La gestione delle policy tramite API consente di definire i requisiti di sicurezza come codice, revisionarli nelle pull request e versionarli insieme alle configurazioni applicative. Questo tratta le policy di sicurezza come parte della definizione applicativa invece che come configurazione di rete separata.
  5. Definire workflow di eccezione chiari. Saranno necessarie eccezioni alle policy come integrazioni di terze parti, applicazioni legacy, processi di change d'emergenza. Senza workflow di eccezione documentati, le organizzazioni creano eccezioni "temporanee" ad hoc che diventano falle di sicurezza permanenti. Il processo dovrebbe richiedere giustificazione business, approvazioni a tempo limitato e scadenza automatica.
  6. Misurare copertura e tasso di enforcement. Monitorare la percentuale dell'ambiente con policy di microsegmentazione distribuite e la percentuale di traffico su cui tali policy sono effettivamente applicate. Queste metriche quantificano i progressi e identificano le lacune. Secondo la NIST Special Publication 800-207, le aziende dovrebbero raccogliere informazioni su asset, rete e stato delle comunicazioni e utilizzarle per migliorare continuamente la postura di sicurezza.

Microsegmentazione come Fondamento dello Zero Trust

La microsegmentazione applica il principio "never trust, always verify" della Zero Trust Architecture eliminando la fiducia implicita all'interno dei confini di rete. Tre principali framework di sicurezza convergono sulla microsegmentazione come infrastruttura fondamentale per l'implementazione Zero Trust, fornendo linee guida complementari su principi architetturali, progressione della maturità e salvaguardie operative.

  • Secondo NIST SP 800-207, la Zero Trust Architecture richiede di spostarsi dai perimetri basati sulla rete al focus su asset, risorse e utenti con verifica continua. Il rapporto tra microsegmentazione e zero trust è diventato fondamentale, con la microsegmentazione che funge da principale meccanismo di enforcement per le policy di sicurezza di rete Zero Trust.
  • L'architettura si collega direttamente al pilastro dell'identità dello Zero Trust. Quando gli attaccanti rubano credenziali, ottengono accesso di autenticazione, ma la microsegmentazione impedisce loro di sfruttare quell'accesso per il movimento laterale. La credenziale compromessa potrebbe autenticarsi con successo, ma il tentativo di connessione a workload non autorizzati attiva blocco e alert.
  • Il modello di maturità Zero Trust di CISA Versione 2.0 fornisce una roadmap su cinque pilastri: Identità, Dispositivi, Reti, Applicazioni e Workload, e Dati. La microsegmentazione si colloca principalmente nel pilastro Reti ma dipende dal pilastro Identità per l'autenticazione e dal pilastro Applicazioni e Workload per l'analisi comportamentale e la visibilità a livello di workload. Le organizzazioni possono rafforzare la propria postura di sicurezza combinando la microsegmentazione con la segmentazione dell'identità per applicare controlli di accesso granulari e basati sull'identità in tutta l'infrastruttura.
  • Il modello CISA definisce fasi di progressione: Tradizionale → Iniziale → Avanzato → Ottimale. La maggior parte delle organizzazioni opera attualmente a maturità Tradizionale o Iniziale. Le organizzazioni che implementano architetture zero trust con microsegmentazione devono adottare un approccio a fasi invece di una trasformazione "big bang", dando priorità agli asset a rischio più elevato ed espandendo progressivamente la copertura.
  • I CIS Controls Versione 8 forniscono inoltre salvaguardie a supporto della microsegmentazione su cinque controlli: Controllo 9 (Gestione di porte, protocolli e servizi di rete), Controllo 11 (Configurazione sicura di asset e software aziendali), Controllo 12 (Gestione dell'infrastruttura di rete), Controllo 13 (Monitoraggio e difesa della rete) e Controllo 14 (Consapevolezza della sicurezza e formazione delle competenze). Questi controlli forniscono un framework per l'implementazione operativa in linea con la progressione della maturità Zero Trust. 

Questi framework spiegano perché la microsegmentazione è importante per l'architettura Zero Trust. È il meccanismo di enforcement che impedisce alle credenziali compromesse di abilitare il movimento laterale. Con la microsegmentazione si creano checkpoint di verifica in tutta l'infrastruttura che fermano gli attaccanti indipendentemente dal successo dell'autenticazione. L'implementazione richiede la traduzione di questi principi architetturali in policy applicabili su infrastrutture eterogenee.

Esempi e Casi d'Uso Reali

La microsegmentazione blocca la propagazione del ransomware, previene l'esfiltrazione dei dati e protegge la tecnologia operativa applicando policy basate sull'identità che la segmentazione di rete tradizionale non può offrire. Ecco alcuni scenari di applicazione reale:

  1. I fornitori sanitari isolano i sistemi di dati dei pazienti. Una rete multi-ospedaliera ha separato cartelle cliniche elettroniche, dispositivi medici e workload amministrativi con policy di microsegmentazione. Quando un ransomware ha infettato il reparto fatturazione tramite phishing, le policy hanno bloccato il movimento laterale verso i database dei pazienti. L'ospedale ha contenuto l'incidente a 12 workstation mantenendo l'assistenza ai pazienti. La segmentazione VLAN tradizionale avrebbe permesso al ransomware di diffondersi in tutta la rete ospedaliera.
  2. Le aziende di servizi finanziari proteggono l'elaborazione dei pagamenti. Un processore di carte di credito ha limitato l'accesso al database a specifiche funzioni API invece di consentire una connettività ampia. Durante penetration test, gli attaccanti che hanno compromesso un'applicazione web non hanno potuto eseguire query al di fuori dei normali pattern di transazione. Questo ha impedito l'esfiltrazione dei dati che i firewall di rete avrebbero consentito.
  3. Le aziende manifatturiere proteggono la tecnologia operativa. Un produttore automobilistico ha consentito alle workstation di ingegneria di inviare aggiornamenti di configurazione ai controller di assemblaggio ma ha bloccato le connessioni inverse. Quando un malware ha infettato la rete aziendale, la microsegmentazione gli ha impedito di raggiungere i sistemi di produzione nonostante l'infrastruttura condivisa.

Queste implementazioni hanno avuto successo perché le organizzazioni hanno seguito metodologie di deployment comprovate invece di tentare una copertura completa immediata.

Distribuire la Microsegmentazione con SentinelOne

SentinelOne utilizza policy di quarantena di rete che possono aiutare a rispondere e contenere immediatamente le minacce alla fonte. Può prevenire il movimento laterale e si può utilizzare il motore AI comportamentale di SentinelOne per rilevare varie minacce malevole. È possibile configurare il suo agente per disconnettere automaticamente i dispositivi dalle reti e mantenere l'accesso di gestione anche dopo che un endpoint è stato messo in quarantena. I dispositivi possono impostare policy granulari; è possibile utilizzare anche la funzionalità integrata di controllo firewall di SentinelOne che consente di estendere le policy di sicurezza di rete ad altri dispositivi indipendentemente dalla loro posizione. 

È possibile configurare le regole firewall di SentinelOne dalla stessa console Singularity utilizzata per le altre funzioni di sicurezza degli endpoint. Si ottiene piena visibilità sul traffico di rete. Singularity™ Network Discovery (Ranger) di SentinelOne è anche una funzionalità utile che consente di scoprire e fingerprintare automaticamente tutti i dispositivi abilitati IP sulla rete. Può fornire visibilità su asset gestiti e non gestiti. E insieme a tutte queste funzionalità combinate, è possibile rilevare e neutralizzare autonomamente le minacce.

Un altro aspetto che vogliamo evidenziare è la funzionalità di accesso condizionale di SentinelOne, che è possibile provare tramite Singularity™ Identity Solution. Si integra direttamente con i principali provider di identità come Microsoft Entra ID (Azure AD), Okta e Ping Identity.

La funzionalità di accesso condizionale di SentinelOne aiuta ad applicare un modello zero trust e ad adattare dinamicamente l'accesso degli utenti alle risorse aziendali in base allo stato di salute e alla postura di sicurezza degli endpoint in tempo reale. Può valutare lo stato di salute e conformità di tutti gli endpoint e applicare policy di accesso condizionale predefinite. L'accesso che applica o consente non è binario, il che significa che è contestuale e adattivo. Le policy di SentinelOne saranno consapevoli della situazione e applicate automaticamente per i dispositivi compromessi e ridotte quando le minacce vengono risolte.

SentinelOne aiuta anche ad applicare l'autenticazione a più fattori e ad aggiungere dinamicamente utenti a rischio elevato all'interno della sua soluzione IdP. È inoltre possibile configurarlo per generare alert dettagliati per i security operations center per facilitare indagini manuali successive.

Piattaforma Singularity

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Conclusione

La microsegmentazione elimina la fiducia implicita che gli attaccanti sfruttano durante il movimento laterale applicando policy basate sull'identità tra singoli workload. A differenza delle ampie zone IP-based della segmentazione di rete tradizionale, la microsegmentazione offre consapevolezza applicativa Layer 7 con controlli centrati sul workload che seguono le applicazioni attraverso i cambiamenti infrastrutturali. L'architettura funge da pilastro fondamentale dello Zero Trust, richiedendo autorizzazione esplicita per ogni connessione tramite policy decision point, enforcement point e monitoraggio comportamentale continuo. 

L'implementazione richiede una progressione strutturata, a partire dalla visibilità del traffico e dalla mappatura delle dipendenze, concentrandosi prima sugli asset di alto valore ed espandendo la copertura tramite deployment a fasi che si integrano con pipeline CI/CD e workflow applicativi.

Domande frequenti

La microsegmentazione applica controlli di accesso basati sull'identità tra singoli workload indipendentemente dalla posizione di rete. A differenza della segmentazione di rete tradizionale che utilizza zone basate su IP, applica policy granulari a livello applicativo per prevenire il movimento laterale.

La microsegmentazione impedisce il movimento laterale dopo che gli attaccanti hanno violato le difese perimetrali. La segmentazione di rete tradizionale consente agli attaccanti con credenziali valide di muoversi liberamente all'interno delle zone di sicurezza. La microsegmentazione applica un'autorizzazione esplicita per ogni connessione, impedendo agli attaccanti di spostarsi tra i workload anche con credenziali rubate.

La microsegmentazione utilizza punti di decisione delle policy per valutare le richieste di accesso in base all'identità e al comportamento del workload, punti di enforcement delle policy per consentire o bloccare le connessioni e un monitoraggio continuo per rilevare pattern anomali e adattare automaticamente le policy.

La microsegmentazione viene implementata tramite controller SDN basati su rete, agenti host-based sui sistemi operativi, gruppi di sicurezza cloud-native, service mesh per container e controlli a livello applicativo. Ogni tecnica si adatta a diversi tipi di infrastruttura e le organizzazioni spesso combinano più approcci in ambienti ibridi.

La segmentazione di rete utilizza VLAN e regole basate su IP per creare zone ampie. La microsegmentazione applica policy basate sull'identità tra singoli workload a livello applicativo, seguendo automaticamente i workload mentre si spostano nell'infrastruttura.

No, si completano a vicenda. La segmentazione di rete fornisce isolamento a livello macro delle zone. La microsegmentazione aggiunge controlli granulari a livello di workload all'interno di queste zone, prevenendo il movimento laterale anche dopo una violazione del perimetro.

Gli errori comuni includono l'applicazione di policy senza prima mappare i pattern di traffico, l'utilizzo di indirizzi IP invece di policy basate sull'identità, l'ignorare le dipendenze applicative causando interruzioni e l'aspettarsi una copertura completa immediata invece di un'implementazione graduale.

Pianificare 30-90 giorni per l'analisi del traffico prima dell'applicazione delle policy. Il primo deployment in produzione avviene tipicamente entro 3-6 mesi per gli asset critici. Una copertura aziendale significativa richiede 12-18 mesi. La microsegmentazione è una sicurezza continua, non un progetto una tantum.

La microsegmentazione si integrerà con rilevamento delle minacce basato su AI per l'adattamento autonomo delle policy, si estenderà al edge computing e ai dispositivi IoT, e diventerà obbligatoria per i framework di conformità Zero Trust. Le implementazioni cloud-native semplificheranno la distribuzione tramite enforcement serverless e integrazione con infrastructure-as-code.

Scopri di più su Sicurezza informatica

Cos'è il Purdue Model? Definizione, livelli e best practiceSicurezza informatica

Cos'è il Purdue Model? Definizione, livelli e best practice

Il Purdue Model è lo standard federale per la segmentazione delle reti ICS, organizzando gli ambienti OT in sei livelli gerarchici con confini di trust applicati.

Per saperne di più
Che cos'è un Secure Web Gateway (SWG)? Difesa della rete spiegataSicurezza informatica

Che cos'è un Secure Web Gateway (SWG)? Difesa della rete spiegata

I Secure Web Gateway filtrano il traffico web, bloccano il malware e applicano le policy per workforce distribuite. Scopri i componenti SWG, i modelli di deployment e le best practice.

Per saperne di più
Che cos'è l'OS Command Injection? Sfruttamento, impatto e difesaSicurezza informatica

Che cos'è l'OS Command Injection? Sfruttamento, impatto e difesa

L'OS Command Injection (CWE-78) consente agli attaccanti di eseguire comandi arbitrari tramite input non sanificato. Scopri le tecniche di sfruttamento, CVE reali e le difese.

Per saperne di più
Statistiche MalwareSicurezza informatica

Statistiche Malware

Scopri le ultime statistiche malware per il 2026 nei mondi del cloud e della cyber security. Scopri contro cosa si trovano ad affrontare le organizzazioni, preparati per i tuoi prossimi investimenti e altro ancora.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano