Internal Segmentation Firewall (ISFW)

GUIDA ALLE SOLUZIONI
Internal Segmentation Firewall (ISFW)
Per controllare la rete interna e proteggerla dalla propagazione di minacce e da eventuali danni
Introduzione
Gli attacchi informatici aumentano e migliorano per qualità e impatto. Le violazioni attirano l'attenzione del pubblico,
compromettendo la reputazione delle imprese e la fiducia dei clienti, con conseguenze economicamente molto onerose.
Più si diffonde l'adozione di piattaforme mobili e cloud, più si complicano il controllo e la protezione dei tradizionali confini di rete.
Per accedere a una rete aziendale esistono ora molte vie.
Le imprese hanno investito nella sicurezza perimetrale a diversi livelli della rete – uffici distaccati, campus e data center – per evitare che
le minacce potessero penetrare nell'infrastruttura interna. Per un decennio questa strategia si è dimostrata preziosa ed efficace.
Oltre ai firewall collocati sul perimetro di rete, vengono aggiunte soluzioni di sicurezza dedicate per una protezione multilivello da
minacce ATP e aggressioni rivolte alle applicazioni. Eppure gli attacchi più sofisticati riescono comunque a penetrare la rete aziendale.
Se si accetta la realtà che le minacce attraversano il perimetro, occorre un ulteriore livello di sicurezza da aggiungere nella rete interna,
che sia capace di segmentare l'accesso di potenziali vettori di attacco alle risorse critiche e sappia anche garantire protezione di nuova
generazione e maggiore visibilità arginando i possibili danni derivanti dalle violazioni.
2
www.fortinet.com
GUIDA ALLE SOLUZIONI: INTERNAL SEGMENTATION FIREWALL (ISFW)
La sfida
1° dato di fatto: le minacce aumentano e si fanno più sofisticate e incisive. Negli ambienti di oggi, i punti di accesso alla rete
aziendale si sono letteralmente moltiplicati. Il crescente impiego di dispositivi mobili, smartphone e servizi cloud amplifica la possibile
superficie di attacco attraverso cui minacce e aggressioni sempre più numerose e raffinate possono introdursi nella rete.
2° dato di fatto: la rete interna è piatta e aperta. Per rendersi più flessibili e agili, le reti diventano, giorno dopo giorno, più piatte
e aperte. Il sistema di sicurezza presente nella rete interna è per lo più elementare e limitato a VLAN ed elenchi di accessi Layer 4. Una
volta superato il perimetro, quindi, exploit e hacker possono facilmente propagarsi senza intoppi all'intero ambiente e ottenere l'accesso
a credenziali, risorse e dati. La mancanza di un'infrastruttura di sicurezza interna alla rete interna limita inoltre notevolmente la visibilità dei
comportamenti di traffico sospetti, delle minacce e dei flussi di dati, ostacolando anche la capacità di rilevare un'eventuale violazione.
3° dato di fatto: la segmentazione in VLAN è semplicemente insufficiente. La segmentazione della rete interna è sempre stata
effettuata con la realizzazione di VLAN, la cui comunicazione interna avviene tramite routing. La segmentazione in VLAN può limitare
la diffusione di una minaccia semplice ai membri della stessa VLAN. Le minacce più sofisticate possono, però, passare facilmente da
una VLAN all'altra, poiché i router non sono appliance di sicurezza e non assicurano i servizi di protezione e le informazioni indispensabili
per identificare e bloccare con efficacia le aggressioni.
Il modello di segmentazione in VLAN ha una scalabilità estremamente limitata e può supportare solo fino a 4.000 VLAN, ostacolando
la microsegmentazione necessaria negli odierni ambienti aziendali, che possono contenere migliaia di server e macchine virtuali.
La soluzione: l'Internal Segmentation Firewall
Per risolvere i suddetti problemi, le imprese dovrebbero distribuire firewall di fascia enterprise dotati di funzionalità di nuova generazione
e collocati in punti strategici della rete interna, per integrare un livello di sicurezza aggiuntivo. La distribuzione di siffatti firewall, noti come
Internal Segmentation Firewall (ISFW), offre i seguenti vantaggi per la sicurezza:
1. Controllo dell'accesso alle risorse critiche implementato il più vicino possibile all'utente e realizzato mediante segmentazione basata
su policy.
2. Creazione di barriere di sicurezza per limitare o arrestare la diffusione indisturbata di minacce e attività di hacker nella rete interna
mediante segmentazione fisica con meccanismi di sicurezza avanzati.
3. Limitazione dei possibili danni causati da minacce all'interno del perimetro.
4. Maggiore visibilità delle minacce e potenziamento del rilevamento delle violazioni e dell'attenuazione dei rischi.
5. Consolidamento della strategia di sicurezza complessiva dell'impresa.
Per ottimizzare il controllo delle minacce e la limitazione dei possibili danni, la distribuzione degli ISFW deve fondarsi su:
nn Segmentazione firewall basata su policy
nn Segmentazione firewall fisica e virtuale
ISFW: segmentazione basata su policy
La segmentazione basata su policy mira a segmentare l'accesso degli utenti alla rete, alle applicazioni e alle risorse associandone
le identità a policy di sicurezza, per limitare i potenziali vettori di attacco e le minacce provenienti dagli utenti.
Questo modello di segmentazione prevede l'associazione automatica dell'identità dell'utente e delle policy di sicurezza applicate.
Siccome l'identità di un utente - definibile tramite una serie di attributi come la posizione fisica, il tipo di dispositivo impiegato per
accedere alla rete, le applicazioni utilizzate e così via - può cambiare in modo dinamico, le policy di sicurezza applicate devono evolvere
in automatico e con altrettanta dinamicità. Può accadere, ad esempio, che un utente sia associato a diverse policy sulla base del tipo
di dispositivo che usa per accedere alla rete.
3
GUIDA ALLE SOLUZIONI: INTERNAL SEGMENTATION FIREWALL (ISFW)
Per ottenere la necessaria identificazione dell'utente e i parametri generali indispensabili per creare e applicare policy di sicurezza
granulari, l'ISFW deve poter:
1. Consentire l'identificazione di utenti, dispositivi e applicazioni
2. Garantire l'integrazione con i servizi di directory dell'azienda, come ad esempio Microsoft Active Directory, per identificare
dinamicamente l'utente
3. Mappare dinamicamente l'identità di un utente a specifiche policy di sicurezza da applicare
L'associazione del profilo utente che attiva l'applicazione di una particolare policy di sicurezza deve avvenire il più vicino possibile alla
fonte o al punto di accesso. Pertanto, tutti i firewall installati a vari livelli dell'organizzazione, dagli uffici distaccati al campus o alla sede
centrale, devono saper identificare dinamicamente l'utente e applicare le policy del caso in tutto l'ambiente. L'intera infrastruttura
firewall si trasforma in realtà in un veicolo di segmentazione intelligente basata su policy.
ISFW: segmentazione fisica e virtuale
La segmentazione basata su policy definisce anche i servizi di sicurezza applicati dal firewall, quali antivirus, IPS e Application
Control, ma, per quanto possano essere efficienti questi servizi, è evidente che una minaccia ignota può comunque penetrare
la rete. Per ottimizzare il rilevamento delle minacce e la protezione e contenere la diffusione degli attacchi nella rete interna occorre
una segmentazione fisica. La necessità di una segmentazione fisica è determinata dalla dura realtà delle violazione e dalla crescente
adozione del modello di sicurezza Zero Trust, che implica la microsegmentazione di tutte le risorse presenti nella rete aziendale
tramite la realizzazione di un'infrastruttura di sicurezza adattata e di meccanismi capaci di isolare con efficacia server, repository di dati
e applicazioni.
L'ISFW nell'intera impresa
ISFW virtuali per il Software Defined Data Center (SDDC). Considerata la massiccia presenza della virtualizzazione e di sistemi
informatici software-defined nei data center aziendali di mezzo mondo, la microsegmentazione è già realizzata mediante la distribuzione
di appliance firewall virtuali avanzate che segmentano ogni singola macchina virtuale (VM). Questi ISFW virtuali, come FortiGate-VM
e FortiGate-VMX, erogano i servizi di sicurezza richiesti per la visibilità, l'analisi e la protezione dei flussi di dati che passano da una
macchina virtuale all'altra, noti anche come traffico “est-ovest”.
ISFW fisici. Per i flussi di dati che entrano ed escono dal perimetro di rete e dal data center, noti anche come traffico “nord-sud”,
è necessaria l'installazione di ISFW fisici, soluzioni convenienti e scalabili per estendere la segmentazione della sicurezza e la visibilità
all'intera impresa, procedendo:
nn dalla distribuzione di ISFW virtuali per la microsegmentazione delle macchine virtuali
nn all'installazione di ISFW fisici nella rete interna per garantire la segmentazione con impostazioni di protezione avanzate di server,
applicazioni, dati, funzioni e reparti
nn fino alla segmentazione logica dell'accesso degli utenti alle risorse sensibili tramite l'applicazione di policy ISFW.
Diversamente da quanto accade nell'implementazione di ISFW in ambiente virtuale, dove un singolo FortiGate ISFW segmenta
e protegge tutte le VM di un server, la granularità della segmentazione fisica (dimensione, performance e numero di porte Ethernet)
dipende da diversi fattori, quali la posizione fisica del firewall, l'architettura della rete; la struttura di trust dell'impresa e la criticità
e l'ubicazione delle risorse del data center.
4
www.fortinet.com
GUIDA ALLE SOLUZIONI: INTERNAL SEGMENTATION FIREWALL (ISFW)
ISFW end-to-end. Sebbene siano indipendenti, se abbinati, gli ISFW basati su policy e virtuali/fisici offrono i seguenti vantaggi:
1. Limitazione dell'accesso di utenti e vettori di attacco alle risorse sensibili
2. Segmentazione interna, fisica e virtuale, dell'intera rete
3. Limitazione delle minacce e del relativo impatto al segmento di rete di penetrazione
4. Maggiore visibilità di applicazioni, utenti, dispositivi e flussi di dati nella rete interna
5. Riduzione dei tempi di rilevamento delle violazioni e attenuazione dei rischi
Considerazioni sulla tecnologia ISFW. L'implementazione di un'infrastruttura ISFW può avvenire tramite:
1. Modifica dell'infrastruttura firewall esistente dell'azienda
2. Aggiunta di firewall che fungono da ISFW designati
Questa seconda soluzione offre il vantaggio di semplificare e velocizzare la distribuzione con l'ausilio della modalità trasparente.
In modalità trasparente, il firewall opera come “bump in the wire” (BITW), la sua funzione di router hop per i dispositivi connessi viene
mascherata e non si rendono quindi necessarie modifiche agli indirizzi IP.
Qualunque sia l'opzione di distribuzione scelta, vanno considerati i seguenti criteri:
nn ISFW fisici e virtuali per una soluzione end-to-end completa
nn Integrazione con servizi di directory
nn Miglioramento delle policy di sicurezza applicate per consentire la segmentazione basata su policy
nn Aggiunta di porte di rete firewall per una maggiore segmentazione fisica, se necessario
nn Necessità dell'ISFW di soddisfare i requisiti di throughput e latenza previsti assicurando sicurezza di nuova generazione
in un ambiente altamente segmentato
Internal Segmentation Firewall con Fortinet
Fortinet ha introdotto per prima il concetto di Internal Segmentation Firewall nell'ambito del suo Advanced Threat Protection (ATP)
Framework, per proteggere le aziende dalle più sofisticate minacce di oggi.
Fortinet offre una soluzione ISFW dinamica, gestibile e scalabile:
1. Policy firewall FortiGate con rilevamento di utenti, dispositivi e applicazioni per una segmentazione basata su policy
2. Integrazione con RADIUS, LDAP, Active Directory per l'autenticazione e la gestione degli utenti
3. Firewall FortiGate con un'ampia serie di servizi di sicurezza, inclusi antivirus, IPS e Application Control, per la massima protezione
della rete interna
4. Appliance fisiche FortiGate basate su ASIC, per offrire l'elevato livello di performance e velocità e la bassa latenza indispensabili in
un ambiente altamente segmentato
5. Firewall virtuali FortiGate con funzionalità ISFW per ambienti SDDC e cloud pubblici
6. Ampia gamma di appliance fisiche e virtuali FortiGate ISFW per garantire le performance e la scalabilità necessarie per ottimizzare
la segmentazione nell'intera rete
7. Soluzione end-to-end scalabile, gestibile e automatica, con FortiManager, FortiAnalyzer/FortiView e FortiAuthenticator
5
GUIDA ALLE SOLUZIONI: INTERNAL SEGMENTATION FIREWALL (ISFW)
Management
L'ISFW è parte integrante della piattaforma di sicurezza end-to-end di Fortinet, che spazia dall'accesso wireless protetto ai firewall per
data center fisici e virtuali, fino alle appliance implementate a livello applicativo: il tutto gestito da un'unica console, con FortiManager
e FortiAnalyzer.
Nell'ambito di una distribuzione ISFW, il numero di policy definite è destinato a crescere con la segmentazione interna basata su policy.
Inoltre, ogni firewall presente nella rete aziendale deve essere in grado di applicare dinamicamente una segmentazione basata su policy,
riconoscendo l'intera serie di policy definite.
Questi requisiti possono diventare un vero incubo per la gestione e incidere pesantemente sulle risorse firewall.
Le soluzioni FortiManager, FortiAnalyzer e FortiAuthenticator di Fortinet risolvono i problemi illustrati:
1. FortiManager definisce le policy una volta per tutte
2. FortiManager distribuisce automaticamente le policy ai firewall che partecipano alla segmentazione funzionale dell'ISFW
3. FortiAuthenticator consente il riconoscimento degli utenti e la scalabilità della segmentazione basata su policy, con l'integrazione
e l'automazione dei firewall FortiGate e dei servizi di directory
4. FortiAnalyzer e FortiView assicurano una visibilità granulare e aggregata del traffico (utenti, dispositivi, applicazioni, minacce ecc.)
in tutta l'impresa
Sintesi
Man mano che le minacce aumentano e si fanno più articolate ed efficaci, si manifesta con maggiore chiarezza l'insufficienza della sola
sicurezza perimetrale.
Gli Internal Segmentation Firewall offrono alle aziende un ulteriore livello di protezione interno al perimetro di rete, per tutelare le risorse
critiche migliorando il rilevamento delle violazioni e accorciando i tempi di attenuazione dei rischi.
Con l'ausilio di un'unica console capace di gestire ISFW fisici e virtuali dalle performance elevate, Fortinet domina il mercato e offre una
soluzione end-to-end granulare, conveniente e ad alto rendimento per gli ambienti e le imprese più esigenti.
6
www.fortinet.com
GUIDA ALLE SOLUZIONI: INTERNAL SEGMENTATION FIREWALL (ISFW)
7
Italia - Roma
Via del Casale Solaro, 119
00143 Roma
Italia
Vendite: +39 06-51573-330
Italia - Milano
Centro Torri Bianche Palazzo Tiglio
20871 Vimercate (MB)
Italia
Tel: +39 039 687211
SEDI GLOBALI
Fortinet Inc.
899 Kifer Road
Sunnyvale, CA 94086
Stati Uniti
Tel: +1.408.235.7700
www.fortinet.com/sales
UFFICIO VENDITE EMEA
120 rue Albert Caquot
06560, Sophia Antipolis,
Francia
Tel: +33,4.8987,0510
UFFICIO VENDITE APAC
300 Beach Road 20-01
The Concourse
Singapore 199555
Tel: +65,6513.3730
UFFICIO VENDITE AMERICA LATINA
Prol. Paseo de la Reforma 115 Int. 702
Col. Lomas de Santa Fe,
C.P. 01219
Del. Alvaro Obregón
Messico D.F.
Tel: 011-52-(55) 5524-8480
Copyright© 2015 Fortinet, Inc. Tutti i diritti riservati. Fortinet®, FortiGate®, FortiCare®, FortiGuard® e altri marchi sono marchi registrati di Fortinet, Inc. Anche altri nomi Fortinet qui citati possono essere marchi registrati e/o marchi di diritto comune di Fortinet. Tutti gli altri nomi di prodotti o società possono essere marchi registrati dei rispettivi proprietari. I dati riportati relativi a performance e altre caratteristiche sono stati ottenuti con prove interne di laboratorio in condizioni ideali e, pertanto, le performance effettive e altri risultati possono variare. Variabili di rete, diversità degli ambienti
di rete e altre condizioni possono influenzare i risultati in termini di performance. Nulla di quanto qui contenuto rappresenta un impegno vincolante per Fortinet, e Fortinet esclude qualsiasi garanzia, esplicita o implicita, eccetto quelle previste da un contratto scritto, firmato da un rappresentante
legale di Fortinet, che garantisca esplicitamente all’acquirente che le prestazioni del prodotto indicato saranno conformi a determinati dati esplicitamente indicati. In tal caso, solo gli specifici dati prestazionali esplicitamente identificati in tale contratto scritto saranno vincolanti per Fortinet. Per
chiarezza, qualsiasi garanzia è limitata alle performance ottenute nelle stesse condizioni ideali delle prove interne di laboratorio di Fortinet. Fortinet esclude in toto qualsiasi convenzione, rappresentanza e garanzia, esplicita o implicita, sulla base del presente documento. Fortinet si riserva il diritto di
cambiare,modificare,trasferire o comunque revisionare questa pubblicazione senza alcun preavviso.La versione applicabile della presente pubblicazione è quella più recente.17 nov 2015 – 3:35 p. D:\Projects_Mario\Fortinet\P-11165\IT\after_LSO\SG-Internal Segmentation Firewall\SG-Internal Segmentation Firewall
www.fortinet.com