La cybersecurity per le infrastrutture critiche vive da anni un compromesso difficile da spezzare: più protezione significa spesso più complessità, più impatto sulle prestazioni e maggior rischio di interferenze con sistemi delicati. Akamai prova ora a ribaltare l’equazione annunciando una nuova soluzione, disponibile entro giugno 2026, basata su tecnologia NVIDIA che unisce Akamai Guardicore Segmentation e le NVIDIA BlueField Data Processing Units (DPU) con un obiettivo esplicito: rendere praticabile la segmentazione Zero Trust anche dove l’installazione di agenti software è di fatto impraticabile.
Il punto centrale è la protezione degli ecosistemi Operation Technology (OT) e Industrial Control System (ICS), inclusi quei dispositivi industriali “non gestibili da agenti” – macchinari pesanti, controllori specializzati, sistemi di supervisione – che alimentano processi essenziali in settori come energia, manifatturiero e trasporti. In questi ambienti, l’hardening tradizionale si scontra con una realtà operativa fatta di vincoli: piattaforme datate, firmware proprietari, finestre di manutenzione ridotte, requisiti di stabilità che rendono rischioso ogni componente aggiuntivo. Il risultato, in molti casi, è un paradosso: le risorse più sensibili finiscono per essere quelle meno protette, perché la protezione classica rischia di compromettere l’operatività. Per questo la proposta Akamai-NVIDIA propone un approccio diverso: spostare una parte cruciale della sicurezza fuori dall’host, evitando di gravare su CPU e sistema operativo delle macchine industriali costruendo un controllo più vicino all’infrastruttura.
Segmentazione Zero Trust spostata “sulla DPU”
L’integrazione annunciata trasferisce i processi di sicurezza configurabili dall’utente dal sistema host alla DPU NVIDIA BlueField. In pratica, la segmentazione Zero Trust viene abilitata senza installare agenti sui sistemi legacy o fragili, perché l’enforcement e la capacità di osservazione si appoggiano a un livello hardware dedicato.
Il valore promesso è duplice: da un lato una visibilità approfondita e “out of band” su sistemi, reti e applicazioni, dall’altro la possibilità di applicare policy in tempo reale, costruendo un perimetro protettivo attorno ai carichi operativi critici senza interrompere le attività. In un contesto OT/ICS, dove la priorità resta la continuità, la disponibilità e la sicurezza funzionale, l’idea di isolare e controllare i flussi senza toccare direttamente l’endpoint “delicato” punta a ridurre l’attrito che spesso frena l’adozione di controlli moderni.
Inoltre, l’annuncio va oltre la segmentazione e aggiunge un ulteriore tassello operativo: la soluzione è anche in grado di identificare connessioni anomale e indicatori di compromissione, con un’impostazione che favorisce l’isolamento rapido dei segmenti compromessi.
L’approccio “agentless” è un vantaggio soprattutto nella fase di contenimento: la possibilità di filtrare le minacce e isolare sistemi compromessi direttamente a livello hardware dovrebbe limitare la proliferazione laterale degli attacchi anche nello scenario peggiore, cioè quando il computer principale di una struttura risulta violato.
Performance e resilienza: il messaggio al business e alle operation
I messaggi scelti dai due marchi mirano ai contesti in cui le prestazioni sono parte del requisito di sicurezza. Ofer Wolf, Senior Vice President, Enterprise Security di Akamai, mette l’accento sul fatto che “non ci si può permettere che il software di sicurezza comprometta le prestazioni”, richiamando anche scenari che vanno oltre l’OT puro, come i cluster HPC, dove ogni overhead può diventare un problema economico e operativo. La tesi è che portando segmentazione e osservabilità sulla DPU si possano bloccare gli attacchi sul nascere mantenendo più CPU disponibile per i carichi critici.
Kevin Deierling, Senior Vice President Networking di NVIDIA, collega il tema alla trasformazione in atto: l’AI e l’automazione aumentano l’esposizione e amplificano l’esigenza di protezione, “tuttavia, la sicurezza non deve erodere stabilità e prestazioni produttive”.
Un elemento interessante dell’annuncio è l’esplicito riferimento ai requisiti normativi e alla postura assicurativa. La soluzione viene descritta come un modello che consente alle organizzazioni di allinearsi a requisiti regolatori più rigorosi e di ridurre il profilo di rischio in ambito assicurativo informatico. È un segnale del modo in cui, oggi, la cybersecurity sulle infrastrutture critiche si gioca anche sul terreno della governance: non basta “mettere controlli”, servono controlli applicabili davvero in ambienti dove l’interruzione del servizio non è un’opzione, e servono evidenze più solide di separazione, isolamento e capacità di contenimento.