Sicurezza aziendale e continuità del business

Transcript

La sicurezza e la continuità del business
Sicurezza aziendale e
continuità del business
1
2
Avvertenze
Pubblicato nel 2011
Tutti i marchi contenuti in questo libro sono registrati e di proprietà delle
relative società. Tutti i diritti sono riservati. Va notato che le informazioni
contenute possono cambiare senza preavviso; le informazioni contenute sono
reputate essere corrette e affidabili anche se non sono garantite. La
descrizione delle tecnologie non implica un suggerimento all’uso dell’una o
dell’altra così come il parere espresso su alcuni argomenti da parte di
Reportec è puramente personale. La vastità dell’argomento affrontato e la sua
rapida evoluzione possono avere portato a inaccuratezze di cui Reportec non
si ritiene responsabile, pur avendo espletato i possibili controlli sulla
correttezza delle informazioni medesime; il libro non rappresenta una presa
di posizione a favore di una o l’altra delle tecnologie, standard o prodotti ivi
riportati né garantisce che le architetture, apparati, prodotti hardware e
software siano stati personalmente verificati nelle funzionalità espresse; le
descrizioni delle architetture, delle piattaforme, dei servizi e dei dati aziendali
sono stati elaborati in base alle informazioni fornite dalle aziende, con le quali
gli stessi sono stati analizzati e ridiscussi.
Copyright Reportec – 2011
www.reportec.it
3
PREFAZIONE
4
5
INDICE
Sommario
PREFAZIONE ................................................................................................ 4
1 – Una strategia per la sicurezza e la continuità del business.................... 9
Opportunità e nuovi rischi con il Cloud Computing .............................. 11
Le nuove minacce e la sicurezza fisica ....................................................... 15
2 – La gestione del rischio aziendale e la compliance ............................... 17
Identificare le risorse ............................................................................ 19
Identificare le minacce .......................................................................... 20
Non investire in sicurezza costa ............................................................ 21
I Managed Security Service ................................................................... 22
Le policy di sicurezza ................................................................................. 26
Analisi e progettazione delle policy ...................................................... 28
La compliance alle normative ................................................................... 30
Il testo unico sulla privacy ..................................................................... 32
Il Payment Card Industry Data Security Standard ................................. 36
MiFID ..................................................................................................... 39
La firma digitale ........................................................................................ 40
Una normativa all’avanguardia ............................................................. 41
3 - Data Center: sicurezza e business continuity ...................................... 43
Ambiente, sicurezza e data center ........................................................ 46
Una sicurezza basata sulla business continuity e il disaster recovery ....... 50
La pianificazione alla base della sicurezza operativa ............................ 52
Scegliere la gerarchia di sicurezza e di ripristino: RTO e RPO ............... 55
Clustering e Disaster Recovery .............................................................. 58
L’aspetto economico della sicurezza ......................................................... 59
L’importanza del partner........................................................................... 62
6
4 - La sicurezza delle reti ......................................................................... 64
NAC: Network Access Control ................................................................... 66
Le soluzioni per controllare chi vuole entrare in rete ........................... 68
I livelli di protezione del firewall ............................................................... 72
Le tipologie di firewall ........................................................................... 76
La sicurezza dei dati con le VPN ................................................................ 79
Autenticazione ed encryption ................................................................... 83
L’autenticazione con lo standard IEEE 802.1x ...................................... 84
La sicurezza delle connessioni wireless ..................................................... 85
Le reti private virtuali wireless .............................................................. 88
La sicurezza del Wi-Fi ............................................................................ 90
La sicurezza del sistema di fonia ............................................................... 94
Le criticità di una rete convergente ...................................................... 95
Gestire la sicurezza del VoIP in ambienti SIP ........................................ 97
5 - Gestione delle minacce e data protection ......................................... 100
L’identity management ....................................................................... 104
Il primo passo è il Single Sign-On ........................................................ 106
User provisioning e identity management.......................................... 111
Internet e i cyber-criminali ...................................................................... 112
La gestione delle minacce ................................................................... 123
La protezione degli endpoint .............................................................. 124
Un approccio integrato e l’offerta di servizi ....................................... 126
6 - Il binomio sicurezza logica e sicurezza fisica ...................................... 129
L’evoluzione della videosorveglianza ...................................................... 130
Da analogico a digitale ........................................................................ 132
Una gestione semplificata................................................................... 136
Le opportunità del wireless nella videosorveglianza .......................... 138
7 - Uno sguardo alle soluzioni ............................................................... 141
ASTARO ................................................................................................. 142
BT........................................................................................................... 158
CHECKPOINT........................................................................................... 163
CISCO...................................................................................................... 179
EMERSON NETWORK POWER ................................................................. 195
HP NETWORKING.................................................................................... 200
IBM......................................................................................................... 216
7
JUNIPER..................................................................................................
232
SONICWALL ............................................................................................ 248
TREND MICRO ........................................................................................ 264
8
1 – Una strategia per la sicurezza
e la continuità del business
I manager della medio-grande e grande azienda sempre più guardano
alla sicurezza informatica con occhi diversi. Innanzitutto, anche se
alcune compagnie stanno seriamente studiando polizze specifiche, al
momento non esiste un’assicurazione che possa coprire i danni
provocati da un attacco informatico. Chiaramente, poi, in alcuni
settori come il finance o nelle utility, esiste da tempo una maggiore
sensibilità alla sicurezza e anche alla continuità operativa. Per banche
e operatori di telecomunicazione, infatti, un’interruzione di un
servizio anche di pochi minuti significa perdita di business. In realtà,
però, quello che si sta diffondendo è un approccio diverso alla
sicurezza. Se, fino a ieri era prevalsa una logica protettiva, oggi si
assume un atteggiamento orientato all’investimento. In passato, le
imprese, pur consapevoli dell’importanza assunta da sicurezza e
disponibilità, l’affrontavano comunque da un punto di vista reattivo e
nell’ottica di intervento necessario per proteggere i propri asset.
Diversi fattori hanno contribuito a cambiare il punto di vista e a
considerare la sicurezza un vantaggio e, in taluni casi, addirittura un
motore per il business. Il primo, dal punto di vista cronologico, di
questi fattori è la mobility, cioè l’insieme di opportunità derivanti
dall’utilizzo di strumenti wireless e dall’accesso alle risorse IT
aziendali da remoto e in mobilità. L’utilizzo sempre più diffuso della
posta elettronica mobile, in particolare, ha spinto molte azienda ad
attivare una serie aggiuntiva di servizi usufruibili via telefonino o
smartphone, a partire, ancora una volta, dalle telco e banche. È
evidente che attività del genere presentano un prerequisito
imprescindibile di sicurezza, per garantire la riservatezza delle
transazioni, di qualunque natura esse siano.
9
Un più recente fenomeno è quello del social software o delle
applicazioni di social networking accessibili via Web. Sono sempre di
più gli studi che testimoniano come, perlomeno in taluni ambiti
funzionali (come il marketing) o settori industriali (anche, ma non
solo, quelli dedicati al consumer), l’utilizzo oculato di Facebook,
Youtube o altri strumenti analoghi, può essere utile per il business
aziendale, non solo in termini di immagine. In ogni caso, esiste una
spinta costante all’utilizzo di tali strumenti da parte dei dipendenti
che già hanno account personali su tali siti. Si sono, al riguardo, anche
verificati casi spiacevoli, con informazioni divulgate ingenuamente
attraverso questi canali o, più banalmente, a causa di commenti sui
colleghi postati online. In sintesi, l’estensione in rete dell’azienda, il
successo di Internet, intranet ed extranet hanno favorito lo sviluppo di
soluzioni e strumenti informatici, sia hardware sia software, che
rispondono a esigenze di protezione differenti dal passato. Un mondo
quindi completamente nuovo che coglie impreparate molte aziende,
ma per il quale ci si può e si deve organizzare, anche perché le
minacce hanno cambiato forma e obiettivi: il mondo virtuale della
Rete sta diventando sempre più simile a quello reale, solo un po’ più
“cattivo”, perché più distaccato.
Globalizzazione e sicurezza
Realizzare un’infrastruttura che sia in grado di garantire servizi a
valore aggiunto a clienti magari distribuiti sul globo o, meno
ambiziosamente, mettere a disposizione della propria clientela un
contact center che soddisfi le esigenze di un dipartimento di customer
care, non è comunque cosa da poco. D’altronde, l’evoluzione stessa
delle tecnologie sta portando verso l’implementazione di architetture
di rete convergenti e all’emergere delle soluzioni di Virtual Private
Network (VPN) adatte anche all’utilizzo da parte dell’utente
consumer, senza dover intervenire sul client con il quale si collega.
Altre tendenze, quali la server e la storage consolidation, che portano
al raggruppamento delle risorse in data center e alla riorganizzazione
delle strutture aziendali, si sommano a quanto descritto, ponendo seri
problemi in termini di management. Aspetti che non devono agire
come un freno, ma portare a un ripensamento complessivo della
10
propria infrastruttura e ad adottare strategie architetturali e di
piattaforma che tengano conto di fenomeni che sono in buona parte
prevedibili e che, quindi, è opportuno far entrare nell’equazione
progettuale. È noto che le problematiche di gestione sono quelle che
più di altre innalzano il cosiddetto total cost of ownership, ma
risultano costi inevitabili quelli di gestione dell’informazione,
elemento
sempre
più
centrale
e
vero
asset
aziendale.
Un’ottimizzazione in questo campo viene fornita anche dai sistemi di
sicurezza. Un approccio globale al problema, infatti, prevede la
realizzazione di policy molto precise e piuttosto rigide che consentono
di aumentare il controllo su tutto il sistema e di aumentare l’efficienza
oltre che la sicurezza delle informazioni.
Una qualsiasi azienda con più di una sede si trova a dover affrontare
il problema della comunicazione intra-aziendale. Fino a qualche anno
fa, l’unica alternativa era quella di rivolgersi a un carrier (solo
Telecom Italia fino al 1994) per affittare una linea dedicata.
Certamente una scelta sicura, ma anche costosa. Oggi, con Internet,
esistono alternative molto più vantaggiose, ma che pongono un
problema di sicurezza: ecco un primo esempio di trade-off tra
investimento in sicurezza e risparmio, con la possibilità di conseguire
un vantaggio competitivo.
Soprattutto con le VPN, l’evoluzione delle reti ha sostanzialmente
modificato il rapporto tra rete trasmissiva e sicurezza. Inoltre, essa ha
contribuito a esaltare i concetti di qualità del servizio, che di per sé è
già un elemento di sicurezza, e a modificare l’architettura delle reti
con l’affermazione di dispositivi specializzati, o appliance, volti ad
accelerare le prestazioni all’interno della rete, e di apparati di
comunicazione, i gateway, tesi a racchiudere la rete in una sorta di
capsula che ingloba all’interno tutte le complessità architetturali e
tecnologiche e semplifica l’interazione con l’esterno.
Opportunità e nuovi rischi con il Cloud Computing
Il bisogno di infrastrutture IT flessibili e facili da gestire sembra potrà
essere soddisfatto dal nuovo paradigma architetturale del Cloud
Computing. Un concetto che sta affascinando le imprese, dopo il
11
successo della virtualizzazione. Quest’ultima, infatti, rappresenta
senz’altro la base fondante del Cloud Computing, anche se rimane
uno dei componenti tecnologici necessari.
. Innanzitutto, è opportuno distinguere almeno tra l’ambito privato
(internal cloud, private cloud o cloud on premise, che dir si voglia) e
quello pubblico (public cloud). In sintesi, il private cloud significa
impostare il proprio IT come un elemento di servizio per il resto
dell’azienda, utilizzando la virtualizzazione e altre nuove tecnologie
per realizzare un’architettura estremamente flessibile, agile, più
efficiente in termini di consumi e sfruttamento delle risorse e, infine,
meno costosa da gestire. Il public cloud, invece, significa aver accesso
a servizi esterni: in altre parole, la possibilità di acquistare presso
provider esterni i servizi IT di cui si ha bisogno, siano essi di tipo
applicativo o di tipo elaborativo, di storage e finanche di sicurezza.
È intuitivo comprendere che un modello “as a service” porta vantaggi
economici anche immediati: basti pensare ai benefici fiscali di un
noleggio rispetto a quelli di un possesso. Dal punto di vista operativo,
si tratta di un’evoluzione che velocizza il time-to-market, riduce i
rischi e la necessità di massicci investimenti infrastrutturali.
Dal punto di vista della sicurezza aziendale e continuità del business,
si deve registrare la presenza sul mercato di servizi che consentono,
per esempio, di esternalizzare la gestione di alcuni aspetti o di interi
processi. Non si tratta semplicemente dell’evoluzione dei Managed
Security Service, anche se, da un punto di vista concettuale, il risultato
per l’azienda è lo stesso.
Gli attori (utilizzatori interni, clienti, partner industriali, fornitori)
devono poter utilizzare le risorse informative e le infrastrutture IT in
modo “trusted” e cioè con l’assoluta certezza che i dati richiesti, siano
essi applicativi o di una conferenza su IP, trasmessi in rete, modificati,
memorizzati
nei
silos
informativi,
possano
essere
acceduti
esclusivamente da persone abilitate ed essere disponibili a loro e alle
applicazioni per il loro intero ciclo di vita. Inoltre, dovranno essere
certi anche che, quando non saranno più necessari per il business,
continueranno a essere disponibili in sistemi di vaulting per altri
decenni, per fini storici o per rispondere alle normative di legge o per
esigenze forensi.
12
Sono bisogni cui rispondono servizi di sicurezza fruibili a livello
enterprise, sia accedendo ad ambienti Cloud sia mediante la
connessione diretta a service provider specializzati, e che, a secondo
della dimensione e del portafoglio di servizi, permettono di usufruire
in outsourcing o on-demand di servizi inerenti la protezione dei dati o
della loro riservatezza, la business continuity e la gestione.
La sicurezza del business deriva da un’adeguata combinazione di infrastrutture sicure,
security service e un supporto operativo h24 (fonte BT rielaborata)
Dal punto di vista della sicurezza, il Cloud introduce alcuni elementi
“nuovi”, che fanno essenzialmente riferimento al concetto di
“fiducia”: chiaramente sono logiche note da tempo e relative a
qualsiasi processo di esternalizzazione. Sia che si tratti della
produzione o di elementi del processo produttivo o di vendita, è
necessario stabilire un contratto con un fornitore di servizi e sarà
compito dell’ufficio legale verificare tutti i presupposti perché un tale
passaggio non metta a repentaglio il business aziendale. In altre
13
parole, sarà fondamentale impostare il rapporto in modo che il rischio
aziendale diminuisca e non il contrario.
Sul fronte delle opportunità, va considerato che molte delle
problematiche di sicurezza sono in parte da affrontare in ogni caso,
nel momento in cui si voglia adottare un approccio aperto.
In questo scenario si cala l’interesse per servizi di sicurezza erogati
tramite Cloud da service provider specializzati nel fornire tanto
soluzioni di sicurezza a livello applicativo quanto infrastrutturale, in
grado di proteggere i dati sia quando vengono trasmessi o fruiti dalle
applicazioni sia quando sono memorizzati in silos informativi o
elaborate dai server. “Security as a Service” è, in pratica, un termine
che si riferisce alla fruizione di servizi di sicurezza tramite reti private
o pubbliche ed erogati da un service provider, su base contrattuale
fissa o on-demand, sia che si tratti di un centro servizi aziendale
(Enterprise/Internal Cloud) che di un fornitore terzo specializzato che
lo eroga tramite un Public Cloud.
Quello che è caratteristico di servizi di sicurezza fruibili tramite Cloud
è che le applicazioni rese disponibili dai provider sono state in ogni
caso pensate per essere fruite tramite Web e comprendono classi di
funzioni e applicazioni che rispondono alla necessità di disporre di:
•
Aggiornamento continuo, come per gli antivirus, le firme dei
virus e così via.
•
Un elevato grado di esperienza che raramente è disponibile in
ambito aziendale, ad esempio applicazioni di scansione dei
sistemi informative per rilevare minacce, la gestione delle patch,
la gestione di soluzioni di business continuity e altri.
•
Il controllo di applicazioni che usano intensamente risorse e che
può risultare più economico se dato in outsourcing. Un esempio è
la gestione degli asset, il log di attività ed eventi che richiedono
infrastrutture fisiche di supporto, servizi di autenticazione
nell’accesso alle applicazioni e altri ancora.
•
Sicurezza in termini di continuità operativa e di disponibilità dei
dati, come centri da cui prelevare in caso di disastro capacità
elaborativa, salvare backup o fruire di client virtuali.
14
Si tratta di servizi che in ambito Cloud, a seconda della complessità
specificità settoriale, possono essere fruiti su base contrattuale o
richiesti su base on-demand.
Le nuove minacce e la sicurezza fisica
A parte il Cloud Computing, ulteriori tendenze evolutive che portano
significativi cambiamenti per quanto riguarda la sicurezza e la
continuità
operativa
riguardano
l’evoluzione
delle
minacce
all’Information Security e la protezione fisica degli asset. Recenti
analisi concordano nell’evidenziare che non sono più i virus a
preoccupare, ma minacce più sofisticate quali phishing, adware,
spyware e botnet. Denominatore comune di questi termini, oggi alla
ribalta, è il fatto che si tratta di azioni illegali orchestrate non più dai
cosiddetti “script kid”, giovani in cerca di notorietà che si pongono
obiettivi ambiziosi per mettere alla prova le proprie capacità, ma
organizzazioni criminali vere e proprie, che utilizzano i “ragazzi”,
spesso all’oscuro del disegno complessivo, come braccio armato per le
loro malefatte. In realtà, esistono veri e propri programmatori esperti
o organizzazioni che, per arrotondare, hanno sviluppato tool di
hacking e li mettono in vendita.. Ma c’è di più. Chi scrive malware
oggi condivide informazioni con i “colleghi”, mentre prima non
accadeva o, almeno, non con le stesse modalità. In pratica vengono
seguite le stesse fasi di sviluppo del software normale, secondo il
modello opensource, con il rilascio successivo di diverse versioni, il
debug e via dicendo.
Da recenti analisi, inoltre, si evince che sta aumentando notevolmente
l’utilizzo del social engineering come base per il phishing.
Traducendo: il furto di credenziali elettroniche con le quale perpetrare
frodi informatiche avviene sempre più facilmente attraverso attacchi
non informatici. In passato, era sempre possibile avvicinare un
dipendente per carpire informazioni riservate, con tecniche di
spionaggio tradizionale, ma era costoso e possibile solo su obiettivi
mirati con interventi diretti. Oggi, grazie ai siti di social networking, è
possibile reperire quantità enormi di informazioni private senza
neanche incontrare il o i potenziali target.
15
Le
vulnerabilità
indotte
dal
comportamento
dei
dipendenti
rappresentano poi un punto debole per tutte le imprese. Le tecnologie
possono aiutare anche in questi casi, ma i risultati migliori si
ottengono combinando tecniche per l’Information Security, in
particolare per la Web security e l’application security, con quelle di
sicurezza fisica, incrociando, per esempio, i dati di identificazione
personale con quelli per la registrazione delle presenze a fini
amministrativi e con i controlli dei varchi d’ingresso nelle aree degli
edifici e uffici. La sicurezza fisica, inoltre, è un aspetto da non
trascurare sempre relativamente al controllo del rischio operativo:
avere un sistema di business continuity e uno di disaster recovery
efficacissimo ed efficientissimo, significa aver previsto che oltre a
essere pronti tutti i servizi informatici nel tempo necessario, lo è anche
un personale addestrato.
16
2 – La gestione del rischio
aziendale e la compliance
Il “rischio” è il punto di partenza di ogni considerazione sulla
sicurezza, ma la complessità delle tecnologie rende il manager
incapace di comprendere quali siano le reali minacce e, quindi, di
valutare correttamente quali asset aziendali siano in pericolo, nonché
quanto sia grande tale pericolo.
Questo, però, non deve rimanere l’unico approccio alla sicurezza,
altrimenti potrebbe limitare le scelte e le considerazioni all’ambito del
threat management, cioè a proteggere l’azienda dalle minacce, esterne
o interne, ma non consentirebbe di sfruttare alcuni elementi abilitanti
della sicurezza. Le soluzioni di CRM (Customer Relationship
Management) o di SCM (Supply Chain Management), per esempio,
sono un chiaro esempio di come si possano introdurre in azienda
nuove tecnologie per estendere e ottimizzare i processi di business.
Queste attività, peraltro, richiedono necessariamente l’impiego di tool
di sicurezza al fine di garantire l’autenticità e l’integrità delle
transazioni con clienti e partner. Anche qui esiste, in effetti, un rischio:
per esempio, che un cliente non riconosca un ordine. Esistono vincoli
legali che vanno rispettati, ma il governo italiano da tempo ha emesso
leggi che consentono l’uso di strumenti informatici per autenticare le
transazioni elettroniche.
Solo considerando tutti gli aspetti della sicurezza e, quindi, i rischi e le
opportunità che un’azienda deve fronteggiare, è possibile valutare
correttamente quali soluzioni sono indispensabili, quali utili e quali
probabilmente inutili. In ogni caso, è buona norma di business
misurare il più accuratamente possibile il ROI (Return On Investment)
della sicurezza, come di ogni altra spesa, assumendo, pertanto, che si
tratti di investimenti e non di meri costi. Ogni azienda deve quindi
valutare le proprie esigenze in termini di sicurezza, identificando le
17
aree di interesse e gli ambiti nei quali sarà opportuno adottare
opportuni strumenti. È necessario studiare le infrastrutture utilizzate,
le applicazioni e i processi aziendali, al fine di comprendere quali
investimenti conviene effettuare.
L’analisi del rischio relativo alla sicurezza delle informazioni è, come
evidenziato, il punto di partenza per impostare un processo di
pianificazione volto alla realizzazione di un sistema per l’Information
Security Management aziendale. Prima di descrivere le fasi con cui si
arriva alla sua valutazione, occorre, però, non confondere il concetto
di rischio con quello di pericolo e avere invece ben presente che il
rischio è una misura del danno che consegue a un evento pericoloso,
in funzione della probabilità che questo si verifichi effettivamente.
Solo una corretta valutazione del rischio permette a un’azienda di
stabilire quale piano di intervento sia opportuno implementare al suo
interno. Tale analisi, inoltre, va ripetuta periodicamente perché l’entità
dei danni dovuti a un attacco informatico segue la dinamicità
dell’azienda. In altre parole, quest’ultima, nel corso della propria
esistenza, evolvendo, modifica le proprie risorse e le esigenze di
business (per esempio attraverso fusioni o acquisizioni aziendali) e di
conseguenza anche quelle di sicurezza.
Le tre origini del rischio
18
Per quanto concerne le minacce queste sono tipicamente classificate in
tre categorie: calamità naturali, minacce intenzionali e minacce
involontarie. L’analisi del rischio può invece essere scomposto nelle
seguenti fasi:
•
identificazione o classificazione delle risorse da proteggere;
•
identificazione delle minacce cui sono soggette le risorse (insieme
e singolarmente);
•
identificazione delle vulnerabilità (o vulnerability assessment,
come è più comunemente indicata usando il termine inglese);
•
valutazione del rischio.
Identificare le risorse
La prima fase consiste nella realizzazione di un inventario delle
risorse informative. Vanno considerate, in questa analisi, sia tutte le
informazioni che vengono prodotte in azienda, con qualsivoglia
strumento, sia tutti i mezzi dell’infrastruttura IT (dai server alle
workstation, dalle reti alla loro banda, fino ai dischi, ai nastri di
backup, ai cavi e così via). Per ciascuna risorsa, quindi, deve esserne
calcolato il valore. In particolare, per quanto riguarda le informazioni,
queste andranno confrontate con gli obiettivi primari della sicurezza,
vale a dire confidenzialità, integrità e disponibilità.
Ulteriori elementi che è opportuno considerare nella valutazione della
specifica risorsa o tipologie di risorse sono i costi per la perdita o il
suo danneggiamento, in termini di profitto, tempo perso ed esborso
per eventuali riparazioni. Un inventario dovrebbe definire, per
ciascuna risorsa, le seguenti classi di dati:
•
tipo di risorsa (se si tratta di dati, hardware, software o altro);
•
criticità (se è un sistema generico o mission critical);
•
proprietà delle informazioni;
•
posizione fisica o logica della risorsa;
•
numero di inventario (nel caso sia disponibile);
•
informazioni relative ai contratti di manutenzione in essere per la
risorsa (in termini di livelli di servizio, garanzie, contatti, processo
di sostituzione e così via).
19
Identificare le minacce
Le minacce possono essere di diversi tipi, che devono essere
considerati in relazione con le caratteristiche dell’azienda. Queste
vanno esaminate e valutate sia in termini di locazione geografica, sia
(e soprattutto) in riferimento alle attività e al modello di business. Può
essere
abbastanza
logico,
per
esempio,
che
una
banca
sia
maggiormente esposta a minacce di tipo volontario di quanto non lo
sia una catena di ristoranti. Peraltro, in alcuni casi, possono entrare in
gioco considerazioni di carattere socio-politico che influenzano la
valutazione della minaccia.
L’assessment delle vulnerabilità
Le minacce possono essere di tipo imprevedibile, spesso riferite in
letteratura anche come minacce “naturali”. In questi casi le tecniche
adottabili per la protezione delle informazioni sono quelle tipiche del
disaster recovery. La tipologia di minacce che invece sono
generalmente indicate come di origine umana, ma riferibili in senso
più ampio come “prevedibili”, in quanto vi rientrano anche guasti del
software o dell’hardware, possono essere suddivise in “volontarie” (o
“dolose”) e “involontarie” (o “non dolose”).
Le minacce considerate involontarie sono, generalmente, quelle
derivanti da un errore di un dipendente o alla sua ignoranza. Possono
essere molto gravi, e causare danni ingenti direttamente (con
l’eliminazione o la modifica di dati conseguente a un uso maldestro
delle applicazioni) oppure indirettamente (con l’apertura di una falla
nel sistema di sicurezza a causa del mancato adempimento delle
policy per negligenza o disattenzione). Per ridurre il rischio di queste
minacce è opportuno, innanzi tutto, condurre una campagna di
sensibilizzazione interna alla sicurezza. È essenziale, in particolare,
che i dipendenti siano a conoscenza delle conseguenze del loro
comportamento scorretto non solo sul piano pratico ed economico,
per quanto concerne l’azienda, ma anche su quello legale, che li
potrebbe coinvolgere direttamente. Tra le minacce involontarie
rientrano anche i guasti dell’hardware o i difetti del software, la cui
probabilità di accadimento può essere calcolata, in funzione delle
20
caratteristiche di partenza delle risorse (un server fault tolerance
fornisce garanzie di affidabilità e disponibilità, come pure uno storage
con supporto RAID e via dicendo) e misurata, con un controllo
periodico del loro stato.
Le minacce volontarie o dolose sono certamente da considerare le più
pericolose. Esse sono di natura umana e derivano da un attacco mirato
che può provenire tanto dall’esterno quanto dall’interno dell’azienda.
Considerando le varie minacce (che peraltro possono essere anche di
tipo misto), è possibile determinare quali vulnerabilità possono essere
sfruttate. Le vulnerabilità sono, in generale, dovute a errori o
trascuratezze di gestione: una configurazione superficiale, un bug del
software, una versione non aggiornata dell’antivirus e così via.
Valutare il rischio
Una volta ultimate le tre fasi precedentemente illustrate, occorre un
lavoro di sintesi che porti alla valutazione del rischio. Per questo è
possibile operare in diversi modi, con scuole metodologiche diverse. I
risultati possono essere classificati con un maggior o minor livello di
dettaglio e la valutazione può essere sia di tipo qualitativo sia
quantitativo, includendo, per esempio, valori numerici del rischio
espressi in percentuali del fatturato. Una linea guida che sta
assumendo un ruolo di standard nel settore è rappresentata, ad
esempio, dalla normativa ISO17799/BS7799.
Non investire in sicurezza costa
Dato per scontato che la sicurezza assoluta non esiste, per quanto si
investa, una corretta strategia per l’enterprise security prevede un
processo ciclico che alterna: vulnerability assessment, analisi del
rischio, definizione di un piano di contenimento del rischio,
realizzazione di tale piano. Le tecnologie che andranno implementate
sono di volta in volta dipendenti dalle condizioni al contorno, oltre
che dalle esigenze delle specifiche imprese.
Il problema è tipicamente fare i conti con il budget a disposizione, che
troppo spesso risulta insufficiente a realizzare il sistema di sicurezza
idealmente definito dal piano. Del resto, i costi per quest’ultimo
21
continuano a
lievitare, mentre
i budget IT si
contraggono
drasticamente ed è sempre più difficile giustificare spese senza
presentare un valore previsto di ROI (Return on Investiment). Ma se è
già difficile calcolare il ritorno di un investimento infrastrutturale,
qual è tipicamente quello in Information e Communication
Technology, come è possibile quantificare il valore di una soluzione di
sicurezza, quando, se tutto va bene, non succede niente?
Come si accennava precedentemente, il valore (e il budget da
attribuire) di un sistema di sicurezza deve essere correlato al livello di
rischio accettabile per un’impresa e per
valutarlo correttamente,
correlandolo alle dinamiche e logiche di business, è necessario
coinvolgere il management aziendale a vari livelli.
È importante osservare che in molti casi il prezzo di acquisto di un
prodotto è solo il primo elemento di spesa: in ambito sicurezza, non
vanno trascurati i costi dei servizi di aggiornamento, senza i quali le
soluzioni diventano presto (praticamente immediatamente) obsolete e
inutili. Un piano della sicurezza ben dettagliato è utile per
confrontarlo con un modello del rischio. Mettendo in una sorta di
matrice la spesa necessaria per “tappare una potenziale falla” e il
rischio economico che la “falla” lasciata aperta potrebbe causare
(eventualmente ipotizzando più eventi correlati a tale vulnerabilità
trascurata), si ottiene uno strumento di immediato raffronto.
All’atto pratico, una soluzione di sicurezza deve raggiungere almeno
uno dei seguenti obiettivi per poter dimostrare di avere un ROI
sostenibile: ridurre i costi correnti, ridurre i costi futuri, ridurre il
rischio finanziario, aumentare la produttività, aumentare il fatturato.
I Managed Security Service
In uno scenario di mercato caratterizzato da modelli di business basati
sulla condivisione di informazioni, sulla collaborazione tra gruppi di
lavoro, e sull’utilizzo dell’e-commerce, la sicurezza diventa un
elemento integrante del business, da organizzare e gestire nel modo
migliore. Una gestione interna della sicurezza si deve confrontare,
tuttavia, con una serie di ostacoli che possono indurre le aziende a
considerare la possibilità di affidare questi compiti a fornitori esterni.
22
Le difficoltà che si trovano ad affrontare le aziende per una gestione
efficace delle sicurezza IT riguardano aspetti quali la mancanza di
personale qualificato, di tempo da dedicare alle attività che non
rientrano nel core business o la presenza di un’infrastruttura non
adeguata a garantire la sicurezza e l’integrità dei dati.
Altri aspetti da considerare riguardano la mancanza di una specifica
cultura aziendale in grado di applicare in modo effettivo ed efficace le
procedure di sicurezza approntate, magari esemplarmente messe a
punto. Queste difficoltà sono esaltate dal fatto che garantire la
sicurezza
delle
risorse
informatiche
rappresenta
un
compito
tecnicamente sempre più difficile e in continua e rapida evoluzione.
Tali aspetti inducono le aziende a considerare la possibilità di affidare
in outsourcing la gestione dei servizi di sicurezza a quelli che vengono
definiti MSSP, acronimo per Managed Security Services Provider.
La gestione dei servizi di sicurezza riguarda le operazioni di gestione
e controllo dei sistemi di sicurezza in outsourcing e rappresenta
attualmente uno dei segmenti in più rapida crescita tra i servizi di
sicurezza IT.
Alle ragioni tipiche che inducono le aziende a scegliere l’outsourcing,
rappresentate dalla possibilità di concentrare le risorse verso gli
ambiti “core” aziendali, se ne aggiungono altre più specifiche
dell’ambito della Security. Sebbene, infatti, la sicurezza possa non
rientrare nelle competenze “core” di un’azienda, certamente rientra
nei requisiti “core”. Il concetto stesso di sicurezza e protezione dei
dati, infatti, si è notevolmente evoluto negli ultimi anni, superando
l’idea di protezione dei dati come qualcosa da tenere al di fuori della
portata di tutti e custodita segretamente, rispetto a quella di un
accesso regolamentato e strutturato degli stessi, basato sulle qualifiche
e sui compiti aziendali. Le società non sono solo guidate dal desiderio
di protezione dei dati e degli asset, ma anche dall’esigenza di
assicurare la produttività degli impiegati.
Diventa più preponderante l’utilizzo di forza lavoro mobile, di
telecomunicazione e di pratiche di remote computing, che creano
nuove esigenze di sicurezza. Nel contempo, mano a mano che si
sviluppa l’accesso remoto all’azienda, cresce l’esigenza di protezione
nella
trasmissione
delle
informazioni
23
tra
punti
distribuiti
geograficamente.
Quest’approccio
richiede,
pertanto,
una
metodologia non banale, basata su procedure amministrative. I
problemi che una società si trova ad affrontare nella gestione in house
della sicurezza riguardano la necessità di tenere costantemente sotto
controllo ogni piccola variazione nello stato della rete, disporre di
risorse limitate e di personale con competenze non adeguate, per
esempio, a distinguere tra minacce reali e attacchi non intenzionali.
Gli esperti della sicurezza rappresentano, anche per queste ragioni,
figure professionali molto richieste e, pertanto, costose, difficili da
trovare e da trattenere all’interno dell’azienda.
La questione del costo rappresenta, come prevedibile, uno degli
aspetti critici, anche in considerazione del fatto che è difficile una
stima precisa del TCO richiesto per la gestione in house di una
soluzione di sicurezza, possibile solo dopo anni. I costi interessati
vanno da quelli degli apparati quali server e dispositivi periferici (per
esempio firewall hardware), ma anche software applicativo e
database. In relazione al software, vanno considerate le spese delle
licenze e la manutenzione, ragionevolmente stimabile nel 20% del
costo ogni anno. Va poi considerato il costo del personale, compreso
quello per il suo addestramento e aggiornamento e l’impossibilità, per
la maggior parte delle aziende, di realizzare facility dedicate alla
garanzia della sicurezza.
I vantaggi dei servizi di sicurezza gestiti
In considerazione di quanto illustrato è possibile riassumere
brevemente i possibili vantaggi associati alla gestione della sicurezza
attraverso il ricorso a MSSP:
•
Delegare i costi necessari per organizzare, gestire e mantenere un
programma efficiente e aggiornato di sicurezza.
•
La garanzia di una protezione assicurata 24 ore su 24, sette giorni
su sette, che si dimostra particolarmente importante per i business
con requisiti “always on”.
•
La disponibilità delle più recenti tecniche di sicurezza.
•
La possibilità di appoggiarsi a una società la cui mission/core
business è dedicata alla sicurezza con un team di esperti che
24
hanno grande esperienza e familiarità su come affrontare i
possibili attacchi.
•
La possibilità di sfruttare in modo pieno e corretto le risorse di
sicurezza hardware e software presenti in azienda.
•
Poter fare affidamento su Service Level Agreement che forniscono
obblighi contrattuali sulle modalità e i tempi di risposta agli
attacchi.
•
Trasformare i costi associati al personale in costi variabili e
prevedere e gestire con maggiore sicurezza il budget per la
sicurezza, grazie a costi distribuiti su base periodica.
I managed security service non possono essere considerati alla stessa
stregua dei tradizionali servizi di outsourcing. È facile immaginare
perché, data la sensibilità delle aziende nei confronti della
problematica sicurezza. Un managed security service provider, in
altre parole, diventa un partner che, a tutti gli effetti, può essere
assimilato a una divisione stessa dell’impresa.
Questa, di fatto, non demanderebbe mai tutta la gestione della
sicurezza, mantenendone quantomeno il controllo a livello centrale.
Tipicamente, inoltre, a questo si aggiunge la definizione delle policy e,
in generale, delle procedure di sicurezza e delle strategia a essa
correlate. Mentre tutto quanto attiene alla gestione ordinaria e
operativa (in pratica, gli aspetti più ordinariamente riferiti alla
manutenzione) può essere esternalizzato e affidato a un provider
esterno. Oltre a facilitare il reperimento di competenze, questo
approccio permette anche di appoggiarsi a SOC (Security Operations
Center) esterni, con conseguenti miglioramenti per la sicurezza. Da un
lato, infatti, soprattutto le medie imprese, potranno utilizzare
strumenti avanzati che, in passato, erano appannaggio esclusivo delle
grandi imprese, dotate di grandi budget. In secondo luogo, come per
tutti i casi di remotizzazione, si accresce l’affidabilità del sistema,
potendo anche attuare politiche di disaster recovery.
Il successo degli MSS è anche favorito dalla disponibilità di appliance
all in one, installabili presso l’utente finale e gestibili da remoto.
Talune appliance, inoltre, possono operare direttamente da remoto
per fornire protezione perimetrale e interna.
25
Un impulso al ricorso a servizi MSS arriva anche dalle leggi
recentemente entrate in vigore, che obbligano l’impresa ad attuare
misure di sicurezza. Con scelte di questo tipo si cerca di delegare
almeno in parte la responsabilità.
La valutazione di un’eventuale MSSP deve tenere conto di diversi
aspetti
che
spaziano
dall’esperienza
alle
modalità
di
implementazione, la disponibilità di SOC (Security Operation Center)
dedicati e le tecnologie usate. Ma data la sensibilità del compito che
viene gestito in outsourcing, andrebbero fatte valutazioni più ampie
possibile, che tengano in considerazione anche aspetti quali i modi
con cui viene assicurata la confidenzialità o il modo in cui il personale
dell’MSSP viene retribuito.
Le policy di sicurezza
L’analisi del rischio è il processo che apre la strada a quello di una
pianificazione più attiva delle misure di sicurezza, che ne preveda
l’organizzazione attraverso controlli continui e lo sviluppo dei criteri
(o policy) di protezione da adottare.
Anche la soluzione di sicurezza tecnologicamente più avanzata è,
infatti, destinata a fallire se non è coadiuvata da regole implementate
sulla base della specifica realtà e, quindi, tali da soddisfare gli obiettivi
aziendali e i requisiti di applicabilità e idoneità.
Stabilire una politica di sicurezza significa prevedere tutte le possibili
violazioni alla sicurezza e il modo per proteggersi da esse,
formalizzandole anche in un documento. Rendere disponibile un
riferimento scritto e unificato all’interno di un impresa è un modo per
testimoniare il consenso relativo alla sicurezza interno all’azienda e
per fornire una guida per la realizzazione delle pratiche corrette,
evidenziando, nel contempo, le specifiche responsabilità per ogni
compito di protezione.
Le policy di sicurezza riguardano questioni quali l’impostazione del
livello di sicurezza relativo ai singoli apparati e alle soluzioni
informatiche, la gestione del rischio di perdite finanziarie associato a
intrusioni e le modalità comportamentali degli impiegati. Esse
richiedono un aggiornamento continuo, per la continua evoluzione
26
tecnologica e l’affacciarsi di nuove vulnerabilità e devono trarre
esperienza dagli avvenimenti occorsi. Questo perché, di fatto, ogni
soluzione di sicurezza è un processo in continua evoluzione costituito
da esperienze, competenze e regole che coinvolgono persone, processi
e tecnologie.
Come ogni processo, quindi, una soluzione di sicurezza richiede non
solo di essere progettata e implementata, ma anche di essere gestita e
continuamente analizzata per verificare le costante rispondenza agli
obiettivi di business aziendali e alle esigenze del mercato.
L’introduzione
di
policy
all’interno
dell’azienda
va,
quindi,
considerata un’attività ciclica, che parte da una fase di assessment, in
base alla quale progettare e costruire le policy. S
egue poi una fase di implementazione e distribuzione, che richiede
successivamente un’attività di gestione e supporto.
La fase di gestione deve prevedere un continuo aggiornamento,
basato sulla verifica di ogni nuova attività o risorsa che possa
modificare l’assessment iniziale, su cui sono state realizzate le policy
stesse.
Per esempio, l’introduzione all’interno del sistema informativo di una
sottorete wireless, deve indurre a rivedere il ciclo di sicurezza legato
alle policy.
Il ciclo di sicurezza legato alle policy
27
Analisi e progettazione delle policy
Le istruzioni specificate dalle policy possono essere di tipo generale,
oppure suddivise per tipologia di risorse aziendali o per aree di
responsabilità. In ogni caso la progettazione di una policy deve
recepire le indicazioni provenienti dall’analisi del rischio in merito
alle risorse da considerare importanti e deve definire opportunamente
gli step da seguire per la loro protezione.
La messa a punto di una policy aziendale deve essere fatta in modo da
favorire il suo effettivo utilizzo, evitando di trasformarsi in un
documento formale per clienti o revisori, ma di nessuna utilità pratica.
Spesso questo aspetto è legato alla presenza, in molte realtà aziendali,
di criteri poco significativi, che restano troppo generici e non danno
indicazioni precise sulle azioni da intraprendere.
Per superare questi inconvenienti un criterio aziendale dovrebbe
rispondere a requisiti di flessibilità, chiarezza negli obiettivi,
applicabilità. Inoltre i criteri per la sicurezza dovrebbero essere
introdotti in modo da evidenziare il sostegno incondizionato da parte
della direzione dell'azienda e coinvolgere, per quanto possibile, i
diretti interessati.
Implementare le policy
Se non correttamente organizzato, paradossalmente, un criterio di
sicurezza può determinare una riduzione del livello di protezione.
Non è infrequente che policy troppo restrittive finiscano con l’essere
ignorate perché ostacolano l’attività lavorativa.
Per esempio, l’utilizzo di password troppo lunghe o complesse e,
pertanto, difficili da ricordare, può indurre gli impiegati a scriverle e
lasciarle più facilmente in balia di possibili malintenzionati.
Per essere efficace un criterio di sicurezza deve essere diffuso e
applicato; ci si deve assicurare che tutti gli impiegati conoscano le
relative policy di sicurezza e che ne possano disporre prontamente e
in qualunque momento e va garantita la pronta comunicazione di
ogni loro eventuale cambiamento.
Per la diffusione efficace di ogni criterio è opportuno mettere a punto
un insieme di regole scritte, che definiscono le responsabilità
28
relativamente a chi progetta le policy, chi le garantisce, le implementa
e la fa rispettare e le relative conseguenze a seguito di eventuali
violazioni. Infine, è buona pratica coinvolgere gli utenti influenzati
dalle policy di sicurezza nel loro processo di sviluppo o almeno di
revisione.
Le aree interessate
Per ogni area del sistema informativo o dei processi aziendali è
possibile definire dei criteri specifici. Nel seguito sono descritte alcune
tipologie di criteri di protezione:
•
Criteri per le password - Vanno configurati in base alle specifiche
esigenze aziendali prevedendo in modo opportuno la loro
sostituzione periodica. Per le password è possibile, per esempio,
richiedere una lunghezza minima o assegnargli un tempo minimo
e massimo di validità. L'amministratore deve farsi carico della
sicurezza legata alla generazione e assegnazione della password
iniziale di ogni utente. L’utente, a sua volta, deve assumersi la
responsabilità di mantenere la riservatezza della password
assegnatagli e di segnalare ogni eventuale modifica del proprio
stato di utente.
•
Criteri per la posta elettronica - Data l'importanza dell’e-mail per
la normale conduzione del lavoro, è essenziale predisporre a
riguardo opportuni criteri. Questi devono essere rivolti a
un’adeguata e sicura configurazione dei programmi di posta
elettronica, ma anche a un corretto utilizzo di questa risorsa, per
ridurre eventuali rischi di carattere intenzionale o involontario e
per assicurare la corretta gestione delle registrazioni ufficiali.
Alcuni esempi che si possono evidenziare riguardano la
manutenzione periodica delle proprie cartelle di posta e la
gestione e archiviazione dei messaggi, che altrimenti possono
crescere fino ad arrivare a bloccare il sistema di posta. O ancora
un uso a scopo privato della posta, che espone l’azienda a rischi
non necessari.
•
Criteri per Internet - Dal lato browser è possibile configurare varie
impostazioni a garanzia della sicurezza (esecuzione script,
29
cookies, accettazione di aggiornamenti non certificati e così via). I
server Web prevedono diverse aree da proteggere, che vanno dal
sistema operativo sottostante, al software del server Web, agli
script del server. Opportune regole vanno predisposte a livello
firewall, per una configurazione appropriata dei router del
protocollo IP, così da evitare attacchi DoS.
•
Criteri di protezione IP - I criteri di protezione relativi all’IP
possono riguardare gli indirizzi IP da esaminare, l’impostazione
di opportuni filtri per analizzare il traffico o le modalità di
cifratura dei pacchetti.
•
Criteri per il backup e il ripristino - Il backup va organizzato
pianificando interventi a intervalli regolari, stabilendo la priorità
dei dati da duplicare, il tipo di backup (normale, differenziale e
così via) e di supporto da utilizzare e prevedendo l’archiviazione,
sia all’interno dell’edificio aziendale sia fuori sede. Vanno
considerate policy per la realizzazione di procedure di ripristino
veloci, in grado di riportare i sistemi e/o le applicazioni alla loro
piena funzionalità.
Altri criteri possono riguardare l’accounting e le condizioni per un
eventuale suo blocco, le regole di configurazione degli apparati
hardware e quelle comportamentali da parte degli utenti.
La compliance alle normative
A fronte di una crescita senza sosta dei dati prodotti e trattati, la
capacità delle organizzazioni di fruire delle informazioni a loro
disposizione
rappresenta
uno
dei
principali
requisiti
per
il
raggiungimento degli obiettivi di business. L’esigenza di protezione
di questo vero e proprio asset strategico ha alimentato lo sviluppo di
tecnologie e standard e tra i driver che, negli ultimi anni, stanno
maggiormente apportando un contributo in tal senso vi è la crescente
esigenza di “compliance” ovvero di predisporre processi e modalità
per la gestione delle informazioni durante il loro ciclo di vita, che
siano allineati con i requisiti di riservatezza, tracciabilità e protezione
richiesti non solo delle normative, ma anche da regolamenti e norme
30
interne aziendali. Le aziende stanno, infatti, cominciando a
considerare l’utilizzo di regole dedicate alla sicurezza come
un’opportunità per alimentare la cultura interna in materia di
protezione e impostare processi strutturati intrinsecamente sicuri.
Restringendo l’attenzione alle esigenze di compliance alle normative,
si può osservare come gli aspetti del trattamento dei dati di valore
critico si presentino molteplici e diversificati.
Nell’ambito finanziario esistono normative indirizzate a garantire la
tutela delle informazioni privilegiate, la trasparenza e a fare in modo
che non si creino abusi nel mercato. La normativa comunitaria in
materia di Market Abuse ha determinato in Italia la nuova disciplina
in materia di “internal dealing” (entrata in vigore il primo aprile 2006)
che regola la trasparenza sulle operazioni aventi come oggetto azioni
di società quotate e strumenti finanziari a esse collegati compiute da
esponenti aziendali delle società medesime e da persone a questi
ultimi strettamente legate.
Sempre in ambito finanziario, gli accordi di Basilea II hanno
profondamente modificato i meccanismi con cui gli organismi
finanziari effettuano il controllo e la valutazione dei rischi derivanti
dai
crediti
concessi,
imponendo
alle
banche
di
modificare
radicalmente i propri processi per conformarsi ai nuovi requisiti.
Non sono trascurati neppure i contenuti trasmessi tramite telefono e
Internet, a cui sono riconducibili il Decreto Gentiloni (Legge per il
filtraggio di Internet) e il Decreto Pisanu, che rientra nelle misure per
contrastare il terrorismo internazionale.
Altre esigenze di compliance indirizzate a garantire l’integrità dei dati
derivano dalle “Nuove norme a tutela del diritto d’ autore” (Legge 18
Agosto 2000 N. 248) e dal Decreto Urbani sulle applicazioni Peer to
Peer, che affrontano la spinosa questione di regolamentare questa
difficile
materia
in
un
contesto,
come
quello
di
Internet,
apparentemente incontrollabile.
Alla garanzia di integrità dei dati si indirizza anche il Testo Unico
sulla Privacy (D.Lgs 196/2003) che ha introdotto importanti novità tra
cui l’obbligo di creare una catena di comando formalizzata, dedicata
alla garanzia della privacy, in cui vengono definiti ruoli specifici
(Titolare
del
trattamento,
Responsabile,
31
Incaricato)
a
cui
corrispondono compiti e responsabilità altrettanto definiti. La norma
prevede che il rappresentante legale della società diventa un soggetto
perseguibile anche penalmente.
Il testo unico sulla privacy
Il 1 gennaio 2004 ha segnato, per l’Italia, un tappa di chiarificazione,
con l’entrata in vigore del nuovo testo unico sulla privacy (Codice in
materia di protezione dei dati personali, varato il 30 giugno 2003), che
riunisce tutti i provvedimenti normativi finora ratificati connessi alla
protezione dei dati personali. Il nuovo testo unico introduce
(nell’allegato B) un Disciplinare Tecnico in materia di misure minime
di sicurezza, che sostituisce il regolamento precedente (DPR 318/99).
Una prima distinzione fondamentale rispetto al regolamento
precedente riguarda i trattamenti con e senza l’ausilio di strumenti
elettronici, che elimina il concetto di elaboratore connesso ad altri
elaboratori attraverso reti di telecomunicazioni disponibili al
pubblico,
che
aveva
generato
interpretazioni
discordanti.
In
particolare, nell’articolo 34 (relativo al Trattamento con strumenti
elettronici), vengono definite, nei modi previsti dal disciplinare
tecnico, le seguenti misure minime di sicurezza:
•
autenticazione informatica;
•
adozione
di
procedure
di
gestione
delle
credenziali
di
autenticazione;
•
utilizzazione di un sistema di autorizzazione;
•
aggiornamento periodico dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti elettronici;
•
protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a determinati
programmi informatici;
•
adozione di procedure per la custodia di copie di sicurezza, il
•
tenuta di un aggiornato documento programmatico sulla
ripristino della disponibilità dei dati e dei sistemi;
sicurezza;
32
•
adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o
la vita sessuale effettuati da organismi sanitari.
Una questione fondamentale riguarda l’attribuzione di responsabilità
per la sicurezza nell’accesso a dati e applicazioni. Va evidenziato che a
differenza del DPR 318/99, nell’allegato B del testo unico non si parla
più di “amministratore di sistema” ma ci si riferisce al “preposto alla
custodia delle parole chiave” previsto nel caso in cui l’accesso sia
sottoposto a procedure di autenticazione. Di fatto, poiché la questione
ha risvolti sia penali sia amministrativi, il responsabile diventa il
rappresentante legale della società.
Nel nuovo codice continua a restare l’obbligo per il titolare di adottare
sistemi antivirus, mentre viene introdotto anche il tema del disaster
recovery poiché il disciplinare, obbliga ad “adottare idonee misure
per
garantire
il
ripristino
dell’accesso
ai
dati
in
caso
di
danneggiamento degli stessi o degli strumento elettronici, in tempi
certi compatibili con i diritti degli interessati e non superiori a sette
giorni”. È nuovo anche l’obbligo di prevedere regole per il salvataggio
dei dati con cadenza almeno settimanale.
Un processo per la privacy
Gli obblighi dell’azienda in merito alla privacy non si esauriscono con
l’applicazione della normativa ordinaria poiché devono anche tenere
in considerazione una serie di provvedimenti specifici del Garante
della Privacy differenzianti in base alla tipologia di mercato. Questo
richiede all’azienda una capacità di rispondere in modo rapido e
puntuale e, implicitamente, le impone di disporre di un’infrastruttura
tecnologica continuamente aggiornata e flessibile che consenta di
mantenerla ”privacy compliant” nel tempo.
Alcuni dei recenti provvedimenti intrapresi da Garante della privacy
evidenziano ulteriormente requisiti che non possono essere affrontati
senza prevedere un’infrastruttura tecnologica adeguata. La richiesta
che il trattamento dei dati sia consentito esclusivamente a uno
specifico incaricato obbliga a mettere a punto un processo
autorizzativo per l’assegnazione dei privilegi che preveda un
33
controllo sicuro dell’identità e dei privilegi di chi accede al dato. Il
fatto poi che, anche a fronte di procedure automatizzate, la
responsabilità
per
il
trattamento
dei
dati
resti
assegnata
individualmente significa predisporre meccanismi per determinare in
modo dichiarato e certo l’ownership non solo dei dati, ma anche dei
sistemi che li elaborano.
A ciò si affianca un’esigenza di identificazione certa degli incaricati di
ciascun trattamento quando questi accedono ai sistemi elaborativi e ai
dati. Un corollario di ciò è quello di prevedere un processo per
l’assegnazione dei privilegi minimi per gli operatori che hanno
l’esigenza di operare sui soli dati, per le sole operazioni consentite dal
proprio ruolo aziendale e necessarie per lo svolgimento delle proprie
mansioni.
Infine,
il
requisito
di
poter
attribuire
in
modo
inequivocabile le azioni compiute su un dato critico al suo effettivo
autore obbliga a prevedere un sistema completo di tracciamento, non
ripudiabile, che intervenga a ogni livello di operazione compiuta su
un dato critico, compresa la sola visualizzazione.
Le tipologie di dati rilevanti dal punto di vista della privacy, suddivise per tipologia di
settore (Fonte: VP Tech)
34
Il controllo sull’operato degli Amministratori di sistema
Il Garante della Privacy ha precisato che gli "amministratori di
sistema" sono figure essenziali per la sicurezza delle banche dati e la
corretta gestione delle reti telematiche. Sono, infatti, esperti chiamati a
svolgere delicate funzioni che comportano la concreta capacità di
accedere a tutti i dati che transitano sulle reti aziendali e istituzionali.
a essi viene affidato spesso anche il compito di vigilare sul corretto
utilizzo dei sistemi informatici di un'azienda o di una Pubblica
Amministrazione.
Le
ispezioni
effettuate
negli
ultimi
anni
dall'Autorità hanno permesso di mettere in luce in diversi casi una
scarsa consapevolezza da parte di organizzazioni grandi e piccole del
ruolo svolto dagli amministratori di sistema. I gravi casi verificatisi
negli
ultimi
anni
hanno
evidenziato
una
preoccupante
sottovalutazione dei rischi che possono derivare quando l'attività di
questi esperti sia svolta senza il necessario controllo.
Per questo motivo il Garante ha deciso di richiamare l'attenzione di
enti, amministrazioni, società private sulla figura professionale
dell'amministratore di sistema prescrivendo l'adozione di specifiche
misure tecniche e organizzative che agevolino la verifica sulla sua
attività da parte di chi ha la titolarità delle banche dati e dei sistemi
informatici.
Secondo il Garante, con la definizione di «amministratore di sistema»
si
individuano
generalmente,
in
ambito
informatico,
figure
professionali finalizzate alla gestione e alla manutenzione di un
impianto di elaborazione o di sue componenti. Ai fini del
provvedimento vengono però considerate tali anche altre figure
equiparabili dal punto di vista dei rischi relativi alla protezione dei
dati, quali gli amministratori di basi di dati, gli amministratori di reti
e di apparati di sicurezza e gli amministratori di sistemi software
complessi. In particolare, attività tecniche quali per esempio il
salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di
rete, la gestione dei supporti di memorizzazione e la manutenzione
hardware vanno considerata a tutti gli effetti alla stregua di un
trattamento di dati personali, anche quando l'amministratore non
consulti «in chiaro» le informazioni medesime.
35
Rispetto al campo di applicazione e casi di esclusione va ricordato che:
“le prescrizioni del presente provvedimento si applicano a tutti i
titolari dei trattamenti di dati personali effettuati con strumenti
elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e
privato a fini amministrativo-contabili che, ponendo minori rischi per
gli
interessati,
sono
stati
oggetto
delle
recenti
misure
di
semplificazione (art. 29 della legge 133/2008, di conversione del
decreto-legge 112/2008, laddove si riferisce ai soggetti che trattano dati
personali unicamente per correnti finalità amministrative e contabili,
in particolare presso liberi professionisti, artigiani e piccole e medie
imprese)”
L'operato degli amministratori di sistema deve essere oggetto, con
cadenza almeno annuale, di un'attività di verifica da parte dei titolari
del trattamento, in modo da controllare la sua rispondenza alle misure
organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati
personali previste dalle norme vigenti. Inoltre devono essere adottati
sistemi idonei alla registrazione degli accessi logici ai sistemi di
elaborazione e agli archivi elettronici da parte degli amministratori di
sistema. Ciascuna azienda o soggetto pubblico dovrà inserire nel
documento programmatico della sicurezza o in un documento interno
(disponibile in caso di accertamenti da parte del Garante) gli estremi
identificativi degli amministratori di sistema e l'elenco delle funzioni
loro attribuite. Dovranno infine essere valutate con attenzione
esperienza, capacità, e affidabilità della persona chiamata a ricoprire il
ruolo di amministratore di sistema, che deve essere in grado di
garantire il pieno rispetto della normativa in materia di protezione dei
dati personali, compreso il profilo della sicurezza.
Il Payment Card Industry Data Security Standard
Il sistema di pagamento di riferimento è ancora legato al denaro
contante e agli assegni che producono costi elevati per le banche. Per
far crescere la diffusione e l’adozione delle carte magnetiche o
intelligenti, come sistema alternativo, le soluzioni che ne utilizzano e
conservano i dati sensibili da esse contenuti devono però essere
assolutamente sicure e protette contro tentativi di effrazione o lettura
36
di tali dati. L’utilizzo fraudolento apporta danni economici diretti
consistenti sia al proprietario sia all’ente emittente e ancora più
consistenti risultano essere i danni per l’immagine aziendale
dell’istituto finanziario coinvolto. Il rischio primario, infatti, è la
perdita di fiducia e confidenza con il cliente, che può essere portarlo a
rivolgersi ad altri enti finanziari. Con il rischio di emulazione da parte
anche di altri proprietari del medesimo tipo di card.
Gli attacchi alla sicurezza nell’utilizzo delle carte credito si stanno poi
moltiplicando ed espandendo, per esempio anche a seguito della
progressiva diffusione di negozi online e della familiarità con cui si
utilizza Internet. Il settore finanziario ha così finito, nel corso degli
anni, con l’emettere continuamente normative regolamentari sempre
più severe per quanto concerne le modalità di realizzazione e di
protezione dei sistemi di pagamento e delle card che vengono
utilizzate nell’ambito dei diversi circuiti di pagamento. Tra questi, lo
standard Payment Card Industry (PCI) Data Security Standard (DSS)
ha un ruolo molto importante e ha visto l’adesione di tutte le
principali società di carte di credito. Contrariamente ad altri casi, la
richiesta di conformità alle norme stabilite dallo standard è
particolarmente severa ed è del tipo tutto o niente. Non è prevista
un’adesione parziale o il rispetto esclusivamente di alcune sue parti.
Le entità e le persone interessate a soluzioni compliant con lo
standard PCI DSS sono raggruppabili in due diversi insiemi:
•
Industrie: società che svolgono attività commerciale, mercantile o
service provider che immagazzinano, elaborano o trasmettono in
qualsiasi modo i dati delle persone che possiedono una regolare
carta di pagamento e utilizzano un software che supporta il
commercio elettronico. È un gruppo molto ampio che comprende,
solo per citare alcuni esempi, società del retail, dell’hospitality
(ristoranti, hotel e così via), dei trasporti (linee aeree, car rental,
ferrovie), dei servizi finanziari (banche, gestori carte di credito,
broker, assicurazioni), Ospedali, utility pubbliche.
•
Responsabili: spaziano dai CIO agli IT manager sino ai manager
responsabili della compliance.
37
Le entità coinvolte nel processo di autenticazione di una transazione effettuata
mediante carta di credito/debito
A entrambe le categorie lo standard PCI mette a disposizione un
insieme di regole che aiutano adeguatamente nell’implementare una
politica per la sicurezza dei dati inerenti i proprietari di carte di
pagamento.
Il perché di uno standard aggiuntivo a quanto stabilito già dall’ISO
deriva dalle esigenze specifiche del settore del finance e del
pagamento tramite carte di credito/debito, che mette in gioco enormi
aspetti economici e rischi altrettanto elevati per il sistema economico
stesso e per le entità coinvolte.
Inoltre, per un ente pubblico e privato poteva verificarsi il caso di
essere aderenti a quanto stabilito dall’ISO ma non esserlo poi ai fini
della trafugabilità di dati sensibili relativi ai sistemi di pagamento
elettronico ed essere quindi soggetti a risvolti penali e civili anche
molto onerosi. Un esempio lo si ha se si considera un comune
apparato POS, che, in quanto tale, è soggetto a guasti. In questi casi, la
procedura normale prevede l’intervento di un tecnico, che accede
all’apparato, esegue il tracking delle operazioni, verifica il software,
può entrare nella sua memoria e nei suoi registri, accedere a
informazioni riservate e da qui in poi il rischio è evidente.
38
A questo e ad altri aspetti si propone proprio di porre rimedio lo
standard PCI DSS, stabilendo requisiti che in parte incorporano e in
parte estendono quanto previsto dall’ISO in modo che meglio
risponda alle esigenze specifiche di chi gestisce, tratta, archivia o
trasmette in qualsiasi maniera i dati relativi ai proprietari di carte di
MiFID
Il 21 aprile 2004 il parlamento europeo ha determinato l’adozione
della Markets in Financial Instruments Directive (in sigla Mi- FID),
una
direttiva
che
rappresenta
un
importante
momento
di
discontinuità nella legislazione che regola il mercato finanziario
europeo.
Questa direttiva, dopo una serie di rinvii, è entrata in vigore a partire
da novembre 2007 e richiede l’adeguamento obbligatorio da parte di
tutte le realtà che operano nel mercato finanziario.
Le nuove regole introdotte con il MiFID sono indirizzate a regolare gli
scambi in ambito finanziario con l’obiettivo di aumentare la
trasparenza dei mercati, proteggere gli investitori e creare una
maggiore
armonizzazione
delle
legislazioni
europee
e
dell’integrazione dei capitali. In sintesi, questa direttiva introduce
cinque temi fondamentali.
Innanzitutto stabilisce una serie di standard di alto livello relativi alla
parte organizzativa e alla conduzione del business, applicabili a tutte
le società di investimento. Questi standard riguardano temi quali il
conflitto di interessi, le modalità di esecuzione, la classificazione degli
investitori e il loro livello di affidabilità. Inoltre, sancisce una serie di
regole indirizzate al mercato regolamentato degli scambi azionari e ad
altri settori di negoziazione non regolamentati.
Imposta, poi, una serie di regole per garantire la trasparenza dei
prezzi prima e dopo la contrattazione.
Il MiFID espande anche lo spettro dei servizi di investimento che
richiedono un’autorizzazione e il range di prodotti che ricadono
all’interno di un sistema di regole definendo, tra l’altro, criteri
specifici da applicare alla consulenza sull’investimento e alle attività
relative agli strumenti derivati su merci. Introduce, infine, una sorta di
39
“passaporto” per l’Unione Europea per le aziende di investimento che
hanno ricevuto un’autorizzazione da parte del loro governo a
condurre attività e offrire servizi finanziari al di fuori dei propri
confini, negli stati membri dell’UE. Sebbene MiFID sia una direttiva
specifica per la regolamentazione dei mercati finanziari, essa
comprende alcune norme che hanno un impatto diretto sull’IT e sulla
gestione delle informazioni.
La firma digitale
La firma digitale è una concreta e reale opportunità per le aziende nel
rivedere i propri processi di scambio certificato di documenti sia di
lavoro (per esempio mail) che amministrativi (per esempio fatture),
inserendoli in un contesto più ampio di azienda estesa al fine di
razionalizzarne la gestione e il trattamento in sicurezza.
Uno degli indotti a maggior potenziale sono la riduzione della carta
circolante, la possibilità di disporre automaticamente di copie di
documenti perfettamente simili all’originale e non deteriorabili, la
possibilità di porre in atto politiche di salvaguardia dei documenti
stessi e il poter far riferimento a enti certificatori autorizzati che
tengono traccia degli scambi di documenti effettuati e che possono
agire da terze parti in caso di contestazioni sulla ricezione o meno di
documenti. Per dispiegare tutti i suoi benefici l’adozione della firma
digitale richiede però che la stessa sia adottata come elemento di base
e parte integrante del workflow dei processi aziendali con la
conseguente necessità di trasporre in formato elettronico su base endto-end (e gestire in modo sicuro) i processi esistenti. L’integrazione
delle tecnologie citate con i processi aziendali permette di ottenere
benefici sia di natura economica che qualitativa quali, per esempio:
•
un elevato grado di sicurezza, autenticità e integrità dei
documenti;
•
la progressiva riduzione (se non la totale eliminazione)
dell’utilizzo di documenti cartacei;
•
un utilizzo semplice.
40
Il processo che porta all’adozione della firma digitale e allo scambio
elettronico dei documenti interessa applicazioni ed esigenze diverse
(Mail Secure, Web Secure, Autenticazione a livello di portali, Firma
Digitale, integrazione con Archiviazione Ottica, apposizione di Time
Stamp certificati, Secure Storage, VPN, Librerie di sicurezza, eccetera)
che consentono di firmare digitalmente i documenti elettronici, di
trasmetterli come posta elettronica in modo sicuro e di dialogare in
modo altrettanto protetto in ambito Web.
L’approccio necessario, più che puntuale, è però globale e richiede, in
quanto tale, un esame dettagliato delle procedure, delle applicazioni e
delle piattaforme software presenti in azienda, da cui partire per
identificare le tecnologie da adottare. Tra gli elementi che appaiono
sempre più qualificanti sono la standardizzazione e l’adozione di un
concetto di “openess”. Per fortuna (per l’utilizzatore aziendale e per il
responsabile alla sicurezza che deve decidere) entrano in gioco enti
terzi che sono stati creati a livello internazionale e nazionale per
certificare la corrispondenza di un erogatore di servizi di PKI ai
requisiti minimi necessari per poter operare e garantire l’aderenza agli
standard internazionali.
Una normativa all’avanguardia
L’Italia è stata tra le prime nazioni al mondo nel dotarsi di una
normativa specifica in materia di firma digitale ed è tra gli stati che
hanno il maggior numero di certificatori accreditati di operazioni su
documenti che possono essere siglati con la firma elettronica. I criteri e
le modalità per la formazione, l’archiviazione e la trasmissione di
documenti informatici e telematici sono stati recepiti nell’ordinamento
giuridico italiano nel 1997 con il D.P.R. 513.
A questo primo decreto sono seguiti una serie di circolari e decreti e
oggi, grazie al testo unico in materia, la firma digitale da oggetto di
studio è diventata una soluzione concreta e applicabile. Un aiuto a far
chiarezza è derivato anche dalle attività livello comunitario, che
hanno precisato la differenza tra Firma Elettronica e Firma Digitale
Qualificata. La Firma Digitale Qualificata è riferibile a un contesto di
documento informatico e differisce dalla Firma Elettronica (il cui
41
ambito applicativo è relegato a applicazioni di commercio elettronico)
e deve essere generata e apposta tramite un dispositivo di firma
sicuro, rilasciato da un ente certificatore accreditato. Ciò non
impedisce l’adozione di altre forme di firma elettronica, ma queste
hanno una validità esclusivamente interna all’organizzazione in cui
sono utilizzate e non possono avere validità giuridica. A livello
comunitario è stata anche recentemente stabilita la modalità di
adozione della direttiva che prevede l’accettazione di documenti
elettronici firmati come le fatture.
42
3 - Data Center: sicurezza e
business continuity
Per essere in grado di supportare applicazioni che, con la proiezione
di un’azienda nel più ampio contesto Internet, devono essere attive 24
ore su 24, l’IT aziendale si è dovuto trasformare profondamente e
l’insieme delle apparecchiature che lo costituisce sta necessariamente
incorporando caratteristiche di tipo enterprise class, ovvero in grado
di assicurare un livello di funzionamento continuo del 99,999%.
Sottosistema storage, server, network e infrastruttura, compreso
impianto di alimentazione e raffreddamento, è necessario e in ogni
caso auspicabile, che adottino il medesimo approccio implementativo,
scalabile, modulare, ridondato e con componenti sostituibili a caldo in
caso di guasto. Resta da valutare se le soluzioni pratiche per un tale
approccio sono disponibili e realizzabili concretamente. La risposta a
questo dubbio è positiva.
Soluzioni recentemente introdotte sul mercato stanno effettivamente
aprendo la strada alla realizzazione di data center di nuova
generazione, in cui i diversi sottosistemi operano con caratteristiche
omogenee. L’architettura per la realizzazione delle infrastrutture che
ne è risultata è basata su armadi standard che comprendono gli
apparati attivi, le batterie di backup, le componenti elettriche, il
cablaggio e così via. In sostanza, si può realizzare un’infrastruttura
distribuita
e
modulare
che
può
arrivare
a
disporre,
nelle
configurazioni maggiori, di un livello di ridondanza basata su array (e
cioè un insieme distribuito di moduli base) che può garantire una
disponibilità statistica superiore al 99,9999%, pari a un fuori servizio
di pochi secondi annui.
Nel far funzionare correttamente gli apparati di un data center un
ruolo fondamentale lo gioca l’ambiente e l’infrastruttura di supporto
e, in sostanza, quanto attinente al condizionamento ambientale e
43
all’alimentazione
indispensabile
energetica.
perché
il
La
sistema
loro
nel
qualità
suo
è
insieme
l’elemento
funzioni
correttamente e risulti sicuro. Sono svariati i problemi connessi
all’infrastruttura e, in primis,quello energetico e quello ingegneristico.
I costi per il consumo energetico rappresentano una quota in costante
e rapido aumento del Total Cost of Ownership delle sale CED (Centro
Elaborazioni Dati) o data center. Il problema costituito dal
contenimento dei consumi energetici interessa poi sia aspetti legati
alle caratteristiche degli apparati IT sia all’infrastruttura fisica.
Distribuzione dei consumi energetici in un data center tipico
Un primo elemento riguarda il dimensionamento dell’infrastruttura.
Le apparecchiature IT utilizzano, infatti, solo una parte dell'elettricità
complessiva immessa nel CED. Di solito questa percentuale
corrisponde a circa il 50% mentre il restante 50% dell’elettricità è
utilizzato dai sistemi di raffreddamento, dagli UPS, dai sistemi di
condizionamento, dalle unità di distribuzione dell'alimentazione e da
altri componenti vari.
Questo significa che un punto importante da cui partire per
risparmiare energia (e quindi ridurre i costi operativi) coinvolge la
44
parte infrastrutturale che, da sola, utilizza perlomeno la metà
dell'alimentazione richiesta per il funzionamento di un data center e
delle apparecchiature IT che contiene.
L’attenzione all’efficienza va riposta anche ai sistemi di continuità
elettrica, il cui contributo può essere considerato trascurabile nel caso
di ambienti con pochi sistemi, ma rappresenta un costo significativo
nel caso di ambienti ad alta densità con carichi che possono superare
gli 1 MW, dove un risparmio di qualche punto percentuale determina
un consistente risparmio economico.
Anche utilizzare un'architettura e un sistema di condizionamento
dell'aria più efficiente diventa essenziale all’interno del data center.
Diverse sono le modalità per ottenere questo risultato.
Alcune opzioni possono consistere nell’utilizzare una serie di unità di
raffreddamento anziché un sistema di raffreddamento unico per
l’intera sala CED. Questo approccio può risultare particolarmente
efficace negli ambienti ad alta densità. Peraltro, si sta rivelando molto
utile anche la nuova generazione di soluzioni per il raffreddamento ad
acqua, che permette di intervenire esattamente dove serve dissipare il
calore prodotto senza essere costretti a condizionare costosamente un
intero ambiente. Va poi osservato che adottare soluzioni recenti
permette anche di fruire delle migliori qualità progettuali e di una
architettura modulare che permette di ridurre il rischio di guasto
totale di un impianto e migliorare la sicurezza complessiva del
sistema informativo dal punto di vista funzionale.
Alimentazione energetica più efficiente
Anche se è difficile dire se a livello industriale l’ottimizzazione dei
sistemi IT e dei consumi energetici derivi più da un amore reale per
l’ambiente o da una maggior attenzione ai costi strutturali, una cosa è
certa, il primo congresso mondiale sul cambiamento climatico si è
svolto circa trent’anni fa e da allora è passato molto tempo.
Nel frattempo si è di molto sviluppata la consapevolezza di eco
sostenibilità e di rispetto ambientale e i consumatori sono in modo
crescente attivamente coinvolti nel tentativo di ridurre l’impatto
sull’ambiente derivante dal costante sviluppo economico e dei
consumi nonché dalla progressiva antropizzazione del territorio.
45
La conseguenza è che, sia per ridurre i consumi che per mitigare
l’impatto ambientale (riferito in letteratura, soprattutto anglosassone,
come la carbon foot print) anche il mercato si sta sempre più
orientando verso prodotti rispettosi dell’ambiente. La necessità di
soluzioni a basso consumo ed ecocompatibili deriva anche dalle
normative in vigore, che interessano e coinvolgono nel processo di
rinnovamento tecnologico anche quelle società che, per vari motivi,
sono potenzialmente sono meno attente a questo trend evolutivo.
Particolarmente significativa è la direttiva Europea 02/91 del
Dicembre 2002, EPBD (acronimo che sta per Performance Energetiche
di Edifici) in quanto si pone l’obiettivo di migliorare l’efficienza
energetica degli edifici. La direttiva ha introdotto regolamentazioni
concernenti, nello specifico, le seguenti aree:
•
metodologia per calcolare l’efficienza energetica negli edifici.
•
requisiti minimi per l’efficienza energetica negli edifici.
•
requisiti minimi per l’efficienza energetica nella ristrutturazione
di grandi edifici.
•
certificazione energetica degli edifici.
•
periodica
ispezione
delle
caldaie
e
dei
sistemi
di
aria
condizionata.
In sintesi, quello che queste normative, regolamenti, eccetera si
prefiggono, è di favorire la conservazione dell’energia utilizzandone
una minor quantità per raggiungere lo stesso risultato, e di
conseguenza avere un impatto positivo sull’ambiente, sulla sicurezza
personale e per quanto concerne il comfort delle persone.
Ambiente, sicurezza e data center
Uno degli ambienti che maggiormente possono essere interessati dalle
normative, oltre che dall’interesse a ridurre i consumi anche per
motivi di budget, è proprio quello dei data center. Va osservato che
minori consumi espongono anche a minori rischi per quanto concerne
la mancanza di energia necessaria al funzionamento, implicano l’uso
di macchine meno esigenti dal punto di vista dimensionale e in
46
sostanza quello che ne deriva sono strutture che risultano meno
critiche e più sicure.
Grazie alle nuove soluzioni l’impatto è significativo sia per quanto
concerne data center di grossa dimensioni che, soprattutto, per quelli
di medie e piccole dimensioni, che meglio corrispondono alla realtà
del tessuto industriale italiano. In sostanza, con le soluzioni ora
disponibili sul mercato è possibile ridurre i costi energetici fino al 50%
senza per questo impattare su affidabilità e performance.
Struttura e disposizione tipica di un data center
In genere, ridurre i consumi e ridurre la produzione di calore ha
invece un impatto positivo sulla durata delle macchine e quindi sulla
sicurezza di poter continuare a godere delle applicazioni IT.
Più sicurezza e meno consumi
Ma come fare per ottenere se non il massimo dei benefici che i
produttori comprensibilmente evidenziano ed enfatizzano come
possibili, perlomeno una parte significativa di questi? Un insieme di
regole comportamentale può essere in questo di aiuto. Per esempio:
•
Utilizzare processori di ultima generazione a basso consumo.
•
Adottare alimentatori per gli apparati IT ad alta efficienza.
47
•
Avere una gestione attiva delle alimentazioni.
•
Realizzare ambienti server e storage virtualizzati.
•
Adottare Blade Server, che possono essere singolarmente
disattivati quando non utilizzati e che aumentano la sicurezza
complessiva perché nativamente ad alta ridondanza.
•
Ottimizzare le unità per il condizionamento (per esempio
adottando condizionatori a resa variabile).
•
Optare, quando possibile, per soluzioni ad alta densità.
•
Monitorare in modo attivo i sistemi di condizionamento.
L’importanza per la sicurezza e per l’ambiente che deriva da una
elevata efficienza di un data center ha fatto si che associazioni di
settore, consulenti e venditori abbiano promosso delle best practice a
cui si può fare riferimento per migliorare l’efficienza energetica di un
data center. Si tratta di regole che prendono in considerazione diversi
aspetti quali, per esempio, il tipo di illuminazione o il sistema di
raffreddamento e che offrono alle aziende, qualora adottati, la
possibilità di invertire o perlomeno rallentare il gradiente di
incremento del consumo energetico del proprio data center.
Ottimizzare la climatizzazione e ridurre i costi
La diffusione di server ad alta densità di processori ha aperto la strada
alla virtualizzazione delle risorse e al forte incremento della sicurezza
per quanto concerne la continuità operativa.
Esiste però l’altra faccia della medaglia. La necessità energetica e il
corrispondente carico termico che in passato si trovava in un intero
Data Center viene ora a trovarsi concentrato in un solo armadio. Una
spinta in tale direzione è stata data dalla disponibilità di tecnologie
server a blade, ovverossia delle schede che possono essere inserite in
un rack con una elevata densità e che possono alloggiare un numero
elevato di processori multicore. La capacità di calcolo concentrata in
una sola scheda è enorme, ma altrettanto lo diventa l’esigenza di
energia per funzionare e il calore prodotto nonostante l’adozione di
processori a basso consumo di ultimissima generazione.
Quello che ne deriva è che si creano delle zone ad alta densità di
calore che necessitano non solo di sistemi di alimentazione più potenti
48
ma soprattutto di un tipo di condizionamento specifico, perché quelli
usuali richiederebbero uno spazio di molti metri quadrati.
In sostanza, ci si deve spostare da sistemi di tipo tradizionale (a 3kW
per rack) ad ambienti che possano supportare densità molto più alte
di fino a 30 kW o oltre. Ciò ha richiesto ai produttori un approccio
nuovo, per esempio con unità centrali e supplementari che possano
essere installate direttamente sopra o a fianco degli armadi che
alloggiano gli apparati che costituiscono la sorgente del carico
termico.
Posizionamento del condizionamento e flussi d’aria
Secondo dati dei costruttori, queste unità supplementari, confrontate
con i sistemi tradizionali, permettono di ottenere una riduzione anche
del 30% dei costi per la climatizzazione. In sintesi, il risparmio deriva
dal fatto che erogando la potenza termica dove è necessaria è possibile
ridurre la potenza elettrica dei ventilatori che movimentano la portata
49
d’aria in gioco. La mossa dei produttori è consistita quindi nello
sviluppo di unità di nuova generazione molto compatte che possono
essere anche montate a soffitto e riprendono l’aria dai corridoi caldi e
mandano aria fredda nei corridoi freddi dove sono installate. Si tratta
di soluzioni che abilitano un forte risparmio energetico e non
occupano spazio utile per l’installazione di altri armadi di apparati
server o storage. Altre soluzioni prevedono invece l’utilizzo di moduli
che possono essere posti in linea con gli armadi. In questi casi l’aria
che proviene da un corridoio caldo entra nella parte posteriore
dell’unità, viene trattata e mandata nel corridoio freddo.
Una sicurezza basata sulla business
continuity e il disaster recovery
Il problema della sicurezza di funzionamento, e cioè la continuità
operativa e la disponibilità dei dati, oltre che su un impianto
infrastrutturale adeguato si basa anche su una architettura informatica
che permetta di salvare in modo sicuro i dati e ripristinarli quando
necessario e, a causa di un disastro naturale o di un semplice errore,
siano andati persi. Correlato alla continuità di funzionamento vi è
quindi il problema di come far fronte a disastri che minino in parte o
in toto la disponibilità dei dati aziendali e la continuità di
un’elaborazione degli stessi.
Ovviamente la sicurezza di un’azienda non sempre, per fortuna, viene
messa a dura prova e la maggior parte delle minacce si manifesta su
una scala di gravità bassa. Per esempio, sotto forma di guasti
hardware, di errori nelle applicazioni o di errori operativi da parte
degli addetti che causano il crash dei sistemi e la conseguente
indisponibilità delle informazioni.
Poiché questi eventi non possono essere del tutto evitati, la capacità di
un’azienda di contenere queste minacce dipende essenzialmente dal
suo stato di preparazione, in quanto buona parte dei potenziali
malfunzionamenti derivanti da un evento catastrofico possono essere
evitati
con
un’adeguata
pianificazione,
implementazione
sperimentazione di un adeguato piano di emergenza.
50
e
Un piano accurato del tipo “what if” può assicurare la continuità
operativa (Business Continuity Plan, in sigla BCP). In sostanza, un
BCP consiste in un’analisi sull’impatto sulle proprie attività (in inglese
BIA, acronimo di Business Impact Analysis) e nella elaborazione di
adeguati piani di disaster recovery. Un tale approccio permette a una
azienda di incrementare la garanzia della continuità operativa al
verificarsi di eventi critici, che possano porre in forse servizi o intere
infrastrutture.
A prescindere dalle sue dimensioni, un’azienda che abbia predisposto
degli interventi significativi per assicurare la continuità operativa è
pronta ad affrontare eventuali eventi calamitosi, grandi o piccoli che
siano. Va però osservato che, anche se sono le catastrofi maggiori che
attirano l’attenzione dei media, tra gli eventi potenzialmente rischiosi
vanno annoverati sia i guasti minori dell’hardware quanto gli errori
umani dalle conseguenze gravi. Peraltro, eventi qualificabili come
catastrofi sono usualmente l’eccezione mentre generalmente i motivi
di un fermo di sistemi e applicazioni sono, nell’ordine:
•
errori operativi (40%);
•
errori hardware (40%);
•
malfunzionamenti applicativi (12 %);
•
disastri (5 %);
•
altre cause ambientali (3 %).
L’esperienza sul campo indica in circa un ottanta per cento i fermi
macchina provocati da malfunzionamenti dell’hardware o da
interruzioni operative dovute a errori umani, anche se non ne deriva
che il relativo impatto sull’azienda sia meno devastante.
Impatto economico del fermo di un’applicazione
I costi riportati in tabella relativi ai fermi applicativi danno
un’indicazione concreta dell’importanza di un’applicazione ai fini
della sopravvivenza di un’impresa investita da un disastro e quindi
dell’importanza
connessa
alla
sicurezza
nell’erogazione
di
un’applicazione. Un esame più analitico permette poi di distinguere
due componenti, il software infrastrutturale e i dati correnti. In linea
di massima, può non essere difficile rimpiazzare
51
il software applicativo anche se non va sottovalutato l’insieme delle
attività
tecnico
sistemistiche
necessarie
per
l’eventuale
personalizzazione dello stesso, prima che possa diventare eseguibile.
Discorso analogo vale poi anche per quanto riguarda i sistemi
operativi e il software che gira sui server.
I costi di un fermo del sistema informativo per settore industriale (Fonte: Contingency
Planning Research)
Se si prescinde dalla vita umana, che ovviamente non ha prezzo, sono
i dati il patrimonio più prezioso di un’azienda e, a seconda del livello
di criticità di un’applicazione, cresce parimenti l’importanza di
disporre di dati che siano aggiornati, vecchi anche di alcuni giorni in
alcuni casi (piuttosto che non disporne affatto!) o, per applicazioni
fortemente critiche, aggiornati in tempo reale.
La pianificazione alla base della sicurezza operativa
Un elemento fondamentale per la sicurezza operativa è rappresentato
dalla pianificazione. Spesso però i termini stessi del problema sono
confusi e, per esempio, non sono pochi coloro che utilizzano i termini
di Business Continuity Plan (BCP), Business Impact Analysis (BIA) e
Disaster Recovery come dei sinonimi, quando invece tra essi le
differenze sono fondamentali.
Il Business Continuity Plan, riferito a volte anche come Contingency
Plan, interessa l’intero spettro di attività a partire dall’individuazione
52
e dalla valutazione dei rischi per l’impresa, fino alla pianificazione
degli interventi risolutivi o assicurativi individuati come necessari.
Interessati sono anche i meccanismi che consentano all’azienda di
essere operativa (in pratica di continuare a esistere in quanto tale) sia
nella fase di recovery sia durante il ripristino dell’operatività vera e
propria conseguente al verificarsi di un disastro.
È nel piano di continuità che un’azienda valuta tanto la probabilità dei
diversi scenari, quanto il livello di tolleranza nei confronti dei costi
relativi agli interventi pianificati.
La Business Impact Analysis è invece un elemento chiave all’interno
del Business Continuity Plan che prende in considerazione le diverse
tipologie di eventi distruttivi, in modo da quantificare e qualificare
quello che si ritiene necessario fare per evitarli.
Il Disaster Recovery è un ulteriore elemento in gioco al fine di
assicurare l’operatività aziendale e consiste in un piano operativo
quanto più dettagliato possibile che illustra come reagire in presenza
di un disastro e come procedere nel ripristino dei sistemi critici,
privilegiando aspetti quali la rapidità, l’efficienza e l’economicità.
Il Business Continuity Plan
La realizzazione del Business Continuity Plan (BCP) è una attività che
può essere gestita internamente in azienda oppure affidata a
consulenti esterni che siano esperti nella pianificazione.
In entrambi i casi coinvolge in modo esteso hardware, software, dati,
infrastrutture, personale e applicazioni.
Il punto di partenza consiste nell’analisi dettagliata dell’asset
aziendale al fine di individuare i processi critici per l’operatività
aziendale stessa e cioè, in sostanza, i processi da ripristinare
prioritariamente entro un intervallo di tempo molto breve, per
esempio le quattro ore.
La selezione ha l’obiettivo di consentire la classificazione di
applicazioni e processi sotto il profilo della loro priorità a seconda
dell’urgenza con cui devono essere ripristinati nonché di contenere i
costi stessi del ripristino.
Un ripristino immediato, ovviamente costoso, riguarda in genere le
applicazioni contenenti dati che servono a erogare servizi ai clienti
53
esterni, come per esempio avviene in ambienti bancari per quanto
riguarda operazioni di sportello o applicazioni connesse al pagamento
mediante carte di credito e terminali Eft-Pos e ATM. Il BCP deve
considerare anche quanto connesso ai sistemi trasmissivi, alle
strutture alternative, per arrivare sino alla sicurezza dei dipendenti.
Definire un piano ottimale è però solo il primo passo, necessario ma
non sufficiente. La garanzia (ragionevole) di una sua riuscita richiede
che lo stesso sia noto e accettato da tutto il personale coinvolto. Gli
elementi che ne determinano il successo possono essere riassunti nei
seguenti punti:
•
Presa visione e accettazione da parte del Management
•
Analisi e riduzione dei rischi
•
Valutazione di minacce, risorse e alternative potenziali
•
Business Impact Analysis con la quantificazione degli impatti
operativi, finanziari, legali e normativi
•
Strategie di ripristino (dispiegamento delle risorse atte a garantire
la continuazione delle funzioni aziendali in caso di disastro;
elaborazione e documentazione di un piano; identificazione della
sfera di influenza; individuazione della linea di comando;
istituzione delle procedure necessarie).
•
Opera di sensibilizzazione, addestramento, implementazione e
aggiornamento periodico
La Business Impact Analysis
La Business Impact Analysis è il primo step nella definizione di un
piano di continuità e consiste in un processo che consente all’azienda
di definire, quantificare e classificare le proprie esigenze in base
all’importanza che rivestono per la strategia di business continuity.
L’analisi che viene realizzata consiste, in essenza, nel porre delle
domande e trovare delle risposte. Nel caso dell’IT, l’analisi ha
l’obiettivo di valutare i rischi relativi ad apparecchiature, applicazioni
e dati e di rispondere a domande quali:
•
•
Quali sono le funzioni aziendali veramente critiche?
Quale è il costo di ogni ora in cui viene meno una determinata
funzione aziendale?
•
Quant’è il peso dell’e-commerce per l’impresa?
54
•
Qual è il suo attuale stato di preparazione?
•
Con quale rapidità e in quale ordine devono essere ripristinati i
vari sistemi?
L’elenco, non esaustivo, serve a stabilire quali sono le attività critiche,
quelle importanti e quelle che possono essere procrastinate senza
pregiudicare l’operatività aziendale. In pratica ciò vuol dire
identificare le aree dove concentrare, inizialmente, le risorse umane e
finanziarie. Una tale attività, proprio per il tipo di risorse che
coinvolge, nel momento in cui sono definite le priorità, richiede il
coinvolgimento del top management e questo non solo per gli aspetti
connessi ai budget da allocare da parte delle diverse divisioni, ma
anche per assicurare il sostegno di tutta l’azienda a tutti i livelli, che è
opportuno non dare per scontato.
Scegliere la gerarchia di sicurezza e di ripristino:
RTO e RPO
Nel ripristino di sistemi e applicazioni è di estrema importanza
definire una gerarchia ben precisa. Una tale gerarchia può essere
costruita analizzando la quantità, il tipo e il valore del software e dei
dati presenti in impresa, classificando ogni componente in ordine
d’importanza e tenendo conto del potenziale impatto finanziario che
la indisponibilità di un elemento o di un insieme di elementi (dati,
apparati, eccetera) finirebbe con l’avere sull’organizzazione. In questa
costruzione gerarchica e in presenza di una realtà operativa permeata
da Internet, alcune applicazioni e dati devono essere costantemente
disponibili, cosa che implica maggiori complessità, un maggior
dispiego di risorse e, di conseguenza, maggiori costi. In generale, più
pressante è l’urgenza più elevato è il costo di un ripristino.
Uno schema di classificazione di applicazioni, dati, funzioni e processi
in ordine di priorità può per esempio basarsi su un’esigenza di
disponibilità temporale. Per esempio, con insiemi di processi per cui si
richiede una disponibilità:
•
immediata,
•
entro le 4 ore
55
•
in giornata o entro le 8 ore
•
entro le 24 ore
•
entro le 72 ore
•
oltre le 72 ore
In pratica, si tratta di definire un parametro noto come Recovery Time
Objective (RTO), cioè entro quanto tempo un determinato servizio di
business deve essere ripristinato. Non si può effettuare un calcolo
approssimativo, perché anche solo un millesimo o un centesimo
percentuale di disponibilità corrisponde a una differenza dell’ordine
di centinaia di migliaia di euro.
Modalità di protezione dei dati
Una classificazione può poi essere fatta anche raggruppando i dati per
categoria d’appartenenza suddividendoli in insiemi comprendenti:
•
Dati critici: funzioni appartenenti al livello più costoso che
comprendono sistemi, applicazioni e dati cruciali per l’operatività
aziendale, utilizzati nei processi strategici chiave oppure
obbligatori per legge.
•
Dati vitali: è meno oneroso rispetto ai dati critici ed è un gruppo
che include dati e/o applicazioni senza i quali l’azienda è in grado
di operare per brevi periodi di tempo. In questa categoria
rientrano i dati utilizzati nei processi aziendali standard o che
rappresentano un investimento significativo e sono difficili da
ricostruire.
•
Dati nevralgici: sono considerati nevralgici i dati utilizzati nelle
operazioni quotidiane per i quali esistono, tuttavia, delle fonti
alternative, così come quelli ricostruibili con una certa facilità.
•
Dati non critici: sono dati ricostruibili a un costo molto basso e
includono gli elementi già duplicati che hanno bassi requisiti di
sicurezza.
Un’analisi efficace permette di identificare le risorse necessarie a
gestire le funzioni critiche sia nel breve che nel lungo periodo,
individuando le risorse necessarie per far passare l’azienda dalla fase
di ripristino a quella di normale attività.
56
Si tratta di definire un parametro normalmente indicato come RPO
(Recovery Point Objective): identificare, in sintesi, quali punti del
sistema informativo sono più critici, quali servizi più importanti per il
business.
Determinata
la
portata
della
propria
vulnerabilità,
un’azienda può decidere di adottare dei provvedimenti atti a farvi
fronte. Approcci tattici di tal genere ne sono stati sviluppati diversi e
sono alla base degli interventi da parte di società specializzate nei
sistemi operativi o in settori pesantemente coinvolti nella sicurezza
aziendale dei dati, come quello dello storage, dove alcune società
hanno già maturato una consistente esperienza in proposito.
Il piano deve contemplare la conservazione di copie multiple dei dati
in diverse località geografiche a una certa distanza di sicurezza dalla
sede principale, da stabilire in base alle probabilità di un sinistro; per
esempio, le misure da adottare in previsione di un incendio non
richiederanno la stessa distribuzione geografica necessaria per un
sisma o un uragano.
Altrettanto critica è la sostituzione dell’infrastruttura informatica
primaria. Le copie dei dati critici sono di ben poco valore, se poi non
esistono apparecchiature su cui utilizzarle: server, storage, reti e
configurazioni devono essere disponibili entro un lasso di tempo
ragionevole. Una volta disponibile l’infrastruttura IT, si devono
ripristinare i processi critici del business per consentire la ripresa del
servizio alla clientela.
Ma quali sono gli elementi di un recovery? Applicazioni ad alta
criticità, come i database, possono richiedere un hot site dotato di
energia elettrica, apparecchiature e funzionalità di comunicazione.
A questo scopo alcune aziende preferiscono utilizzare delle strutture
secondarie predisposte in maniera pressoché identica al CED
principale, con i dati che vengono trasferiti elettronicamente dal
centro primario a quello ridondante con metodi diversi.
In alcuni casi i locali secondari ospitano delle applicazioni attive in
un’ottica di load sharing dove i dati, come quelli transazionali,
vengono spostati dinamicamente dal centro primario a quello
ridondante. Sotto questo aspetto, la sicurezza dei dati ha visto di
recente affermarsi due meccanismi per proteggere i dati in un
sottosistema a dischi: lo shadowing e il mirroring.
57
Lo shadowing è un processo di natura asincrona che mantiene una
replica dei database e dei file system (che definiscono il metodo per
archiviare e recuperare i dati) rilevando in continuo eventuali
modifiche che verranno successivamente applicate alla copia presente
nel centro di recovery. I tempi del ripristino si riducono notevolmente,
tipicamente fino a uno/otto ore, a seconda del tempo richiesto per
l’applicazione dei file di log.
Il mirroring mantiene, invece, una replica dei database e dei file
system applicando eventuali modifiche al centro di backup in modo
sincrono rispetto a quelle apportate presso il centro principale. In
questo caso, un’operazione di I/O si considera completata non appena
viene aggiornata la copia primaria, mentre la copia secondaria può
anche essere aggiornata in un secondo tempo.
Ne risulta una riduzione dei tempi di recovery compresa tra 20 minuti
e alcune ore, mentre il ripristino dai file di log si limita alla sola
perdita delle transazioni non portate a termine. Il mirroring richiede
una banda trasmissiva significativamente più ampia rispetto allo
shadowing; se l’ampiezza di banda è troppo esigua o le latenze troppo
elevate, la performance dei sistemi di produzione risulta degradata.
Questo è il motivo per cui in genere non si utilizza il mirroring per
ambienti caratterizzati da alti volumi di transazioni.
Il “trucco” sta nel sapere qual è il meccanismo più adatto in ogni
situazione. Se la ripresa dei processi elaborativi può essere rimandata
di un giorno o due, è probabilmente sufficiente un cold site in cui
installare e configurare le apparecchiature solo dopo la messa in opera
del piano di ripristino. Pur essendo decisamente meno costoso da
manutenere rispetto a un hot site, un cold site può richiedere accordi
sulla consegna delle apparecchiature con i principali fornitori dove il
fattore tempo svolge un ruolo fondamentale.
Clustering e Disaster Recovery
Come evidenziato, in un numero sempre maggiore di aziende anche
un piccolo down time dei sistemi, sia imprevisto che pianificato,
rappresenta un evento in grado di avere impatto sul business in
termini di fatturato o di immagine. Per queste ragioni, alta
58
disponibilità e disaster recovery rappresentano ormai due concetti di
importanza fondamentale e che si fondono l’uno nell’altro.
La scelta dell’architettura più adatta per implementare una soluzione
di disaster recovery va valutata in base alla tipologia di business e di
servizio erogato e cercando di conciliare le esigenze di protezione dei
dati con quelle dei costi di implementazione e dell’infrastruttura
disponibile
La continuità delle operazioni e il ripristino dei dati in una situazione
di disaster recovery possono essere garantiti attraverso architetture di
clustering implementate a livello locale, metropolitano o geografico. I
differenti approcci architetturali di clustering per il disaster recovery,
restano caratterizzati da specifici vantaggi e svantaggi, in relazione
alla capacità infrastrutturale preesistente, ai fondi disponibili, alla
quantità di dati che è ammissibile perdere e alle pianificazioni future.
L’aspetto economico della sicurezza
Fondamentale, in quanto connesso alla sicurezza operativa, è l’aspetto
economico. Oggigiorno, la maggior parte delle attività informatiche
necessita di una soluzione equilibrata che supporti una molteplicità di
applicazioni mission-critical e ausiliarie. Per soddisfare nel modo
ottimale i fabbisogni finanziari e i requisiti di trasferimento e
riduzione
dei
rischi
è
quindi
indispensabile
prendere
in
considerazione un insieme di alternative che vanno dai servizi di
outsourcing a quelli di gestione remota .
Il ruolo della tecnologia
Le applicazioni mission-critical a impatto elevato e i database che
richiedono installazioni hot site ricavano un consistente beneficio da
funzioni di mirroring elettronico in tempo reale. Le soluzioni di
virtualizzazione storage che si sono diffuse sul mercato negli ultimi
tempi e che utilizzano il meccanismo PPRC (Peer-to-Peer Remote
Copy) sono, per esempio, in grado di soddisfare i requisiti di piani di
ripristino mission-critical in hot site, soprattutto per la loro capacità di
eseguire il mirroring dei dati compressi e ridurre gli overhead quali i
dati sullo spazio libero occorrente.
59
Nastri per contenere i costi
Le soluzioni costituite da nastroteche automatizzate sono un altro
metodo molto conveniente per archiviare grandi quantitativi di dati
nel raggio di una vasta area geografica. Rimovibili e trasportabili, le
soluzioni basate su nastri sono disponibili sul mercato per ogni livello
di esigenza, a partire dalla fascia bassa fino a nastroteche dal
mirroring completo con capacità pressoché illimitata. Le nastroteche
possono anche avvalersi di soluzioni di virtual storage management
usate per creare unità a nastri virtuali, cosa che permette di
risparmiare sui costi, ridurre i tempi e semplificare la gestione.
Nel caso di applicazioni con minore impatto sul business si può poi
optare per soluzioni quali gli Automated Cartridge System, che
assicurano la ridondanza dei dati a prezzi molto convenienti. In caso
di interruzione, le copie su nastro sono subito disponibili presso il
centro di recovery, cosa che elimina la necessità di farsi inviare le
copie da un centro gestito da terze parti.
Funzioni ora disponibili, quali la migrazione automatica dei dati dai
dischi ai nastri, consentono anche di eseguire in modo economico il
backup articolandolo su diverse generazioni. Va infatti considerato,
quando si parla di dati, che nel caso dei dischi gli errori o i problemi
di corruzione dei dati primari vengono automaticamente riprodotti
nelle copie remote, per cui gli utenti possono essere costretti a risalire
di diverse generazioni, prima di trovare una copia integra dei dati.
Con i nastri, invece, le copie multigenerazionali sono poco costose e si
recuperano rapidamente.
Software di gestione
In caso di un evento catastrofico che porti alla perdita di dati, il
software svolge un ruolo sempre più chiave nel trasferimento rapido
dei file, perché consente di ripristinare anche file di grandi dimensioni
nel giro di pochi minuti. Recenti rilasci sfruttano in modo intensivo gli
sviluppi che si sono avuti nella virtualizzazione dello storage per
automatizzare la gestione e il recupero dei dati all’interno della
gerarchia di storage. Il tutto si basa su apposite policy definite dagli
utenti per scaricare i dati dalla cache su disco ai nastri in modo da
60
creare copie multiple per il centro primario, il “caveau” e
l’archiviazione in remoto.
Le esigenze di backup
Il backup dei dati rappresenta una delle applicazioni principali delle
risorse di storage. L’importanza di effettuare copie dei dati per la loro
protezione e archiviazione è evidente e non richiede ulteriori
commenti. Le tecnologie a nastro rappresentano ancora quelle
preferite e più economiche per questo tipo di applicazione, anche se il
modo di effettuare il backup su nastro è cambiato profondamente con
l’avvento dei concetti di SAN e NAS.
In precedenza, le risorse di storage erano connesse direttamente a un
server e l’unico modo per effettuare il backup su nastro all’interno
della rete prevedeva che i dati venissero trasferiti all’unità di backup
attraverso la LAN. Questo tipo di approccio presenta diversi
inconvenienti. Innanzitutto, dato che il traffico di backup transita sulla
LAN, ne compromette le prestazioni generali occupando banda, tanto
più nei casi in cui vi sono limitate finestre temporali libere per le
attività di backup e ci si trova a dovere effettuate operazioni di
trasferimento di grandi quantità di dati. Inoltre, in questo approccio al
backup, il server è collocato direttamente nel percorso dei dati e si
consumano perciò risorse server in termini di lavoro della CPU, bus di
sistema e utilizzo della memoria. A questo si aggiungono gli
inconvenienti, già evidenziati precedentemente, in relazione alla
connessione diretta tra server e storage (DAS).
Data Center remoti e backup in outsourcing
La tendenza ad affidarsi a servizi esterni per quanto riguarda
applicazioni
anche
critiche,
come
il
backup,
discende
dalla
complessità di gestione e, soprattutto, dalla maggiore efficacia che una
soluzione appoggiata al data center di un provider remoto può
garantire. La crescente dipendenza dai sistemi informativi delle
imprese, del resto, rende fondamentale l’efficienza della protezione:
backup e restore non possono essere trascurati, come troppo spesso si
61
faceva in passato, né, per molte realtà, risultano accettabili tempi
lunghi.
Fino a non molti anni fa, le finestre notturne erano sufficienti a coprire
le esigenze di backup della maggior parte se non totalità delle
imprese. Oggi, la crescita smodata dei dati in azienda ha finito con il
rendere obsolete molte architetture e strumenti per il salvataggio dei
dati. Dall’altro lato, tempi di ripristino lunghi, anche se non portano
necessariamente
al
fallimento
di
un’impresa,
certamente
ne
condizionano la produttività e rappresentano un importante spreco di
risorse. Se a questo si abbina l’opportunità d’integrare il backup con
politiche di disaster recovery, che sono del resto imposte anche da
precise normative di legge, ecco che si comprende il successo di un
mercato emergente quale quello dei servizi di backup e disaster
recovery appunto.
L’importanza del partner
Naturalmente, le imprese possono scegliere di ricorrere a un partner
esterno anche solo per l’hosting di propri apparati e soluzioni, ma in
ogni caso, il fornitore prescelto dovrà rispondere a precisi requisiti.
A parte il gioco di parole, è evidente che per garantire l’affidabilità di
soluzioni e servizi dovrà essere affidabile, ma, nel caso si richiedano
anche servizi di system integration, è necessario valutare attentamente
anche l’esperienza maturata nell’implementazione di soluzioni
dedicate alla gestione e al salvataggio dei dati in ambienti eterogenei.
Una tale esperienza è comunque opportuna, anche solo considerando
che, come per il resto del l’IT, è fondamentale gestire consolidamento,
pianificazione e ottimizzazione degli ambienti di backup. Per questo,
peraltro, è importante che il provider abbia una precisa esperienza nel
monitoraggio e controllo del backup: dalla pianificazione (capacity
planning) alla gestione della robotica e dei dispositivi (Device
Management). In funzione del livello di disponibilità che ci si vuole
garantire, potrà essere opportuno, oltre al valore tecnico e
all’esperienza, cercare in un partner la capacità di fornire risorse e
servizi dedicati, organizzazione locale, supporto 24 ore su 24 per 7
giorni la settimana e 365 giorni l’anno.
62
Va considerato che le soluzioni di backup e restore devono
comprendere tutte le estensioni della rete, le piattaforme, i sistemi
operativi e i database, oltre che i sistemi di storage e le funzionalità
software in esse integrate, garantendo in tal modo il salvataggio di
tutti i dati presenti in azienda.
La protezione deve essere dettata da una politica unificata,
schedulazioni automatiche e policy di protezione dinamiche. È
determinante quindi il pieno supporto per i più diffusi database e
applicativi presenti in commercio: tra cui, Oracle, Informix, Sybase,
IBM DB2, Microsoft SQL Server, SAP R/3, Lotus Notes, Microsoft
Exchange Server. Oltre che dei file system più importanti quali:
Windows, Linux, NetWare, MacOS, Irix, OpenVMS, Solaris, AIX,
HPUX. Per la gestione, è poi opportuno che la programmazione del
backup sia gestita da un’interfaccia grafica intuitiva e flessibile.
Considerata anche la dinamicità del mercato, proprio per non dover
cambiare architettura di backup alla rincorsa delle ultime tecnologie, è
opportuno ricercare l’efficienza già nella scelta di un sistema di
backup in grado di garantire flessibilità e affidabilità nel tempo.
In
questo
senso
la
soluzione
scelta
è
opportuno
che
sia
sufficientemente diffusa sul mercato perché garantisca una certa
longevità e, al tempo stesso, una relativamente facile reperibilità di
partner e tecnici esperti nella sua operatività.
Inoltre, è opportuno che sia indipendente, in grado cioè di garantire
anche il supporto di dispositivi e applicazioni terze e la piena
compatibilità con un ampio numero di piattaforme e sistemi operativi.
Indipendente, ma ovviamente abilitata a utilizzare prodotti certificati
e supportati dalle più importanti società del settore. Infine, è
importante che la soluzione sia basata su standard e sufficientemente
aperta per consentire di sfruttare sistemi e programmi sviluppati da
terze parti di riferimento per il mercato del mass storage e
archiviazione dati, quali applicazioni dedicate all’ottimizzazione dei
processi di backup (specie in ambienti complessi) e di gestione e
controllo delle attività e dell’impatto economico che l’ambiente di
backup ha nel contesto complessivo aziendale.
63
4 - La sicurezza delle reti
Il problema di come impostare una strategia per l’infrastruttura di
rete aziendale si abbina, in una buona parte delle realizzazioni, al
modo di predisporre la migrazione e la sostituzione partendo dalla
situazione preesistente, trovando il modo più adatto per perseguire
una trasformazione che determini il minor impatto possibile.
Da
questa
esigenza
specifica,
ma
basilare
nel
contesto
di
un’operatività aziendale che non può subire interruzioni, non possono
prescindere i fornitori di piattaforme, che si trovano a dover
predisporre modelli architetturali in grado di adattarsi da subito alle
nuove esigenze e requisiti di business, integrando l’esistente,
elevando le prestazioni e mantenendosi aperti per un’evoluzione
scalabile.
I requisiti sono sempre di più: sicurezza, convergenza, gestione
unificata
fisso-mobile, virtualizzazione
e
così
via.
Tutto ciò
contribuisce a delineare un’evoluzione tecnologica e una strategia di
trasformazione delle reti in una direzione ben identificata in grado di
dare agli utilizzatori (aziende e operatori) una risposta alle loro
necessità.
Il
legame
tra
requisiti
applicativi
caratteristiche
dell’infrastruttura di rete e un progressivo orientamento verso un
modello orientato ai servizi ha portato l’approccio al networking
sempre più vicino a quello dell’IT.
Il passaggio da una visione centrata sulla parte “tecnica” di una rete a
quella “applicativa” ha profonde implicazioni anche a livello
aziendale, in quanto coinvolge nel processo decisionale e di
cambiamento un insieme di figure e aree di responsabilità aziendale,
che per molto tempo sono state sostanzialmente non interessate a
quanto era ritenuto di esclusiva competenza del reparto IT.
Per questa ragione perseguire un approccio che punti semplicemente
alle prestazioni può rappresentare, ora più che mai, una scelta miope.
Per esempio l’aspetto della semplicità e dell’unificazione gestionale
64
diventa sempre più importante. Per le aziende semplificare le reti
significa poter ridurre sostanzialmente i costi di manutenzione,
incrementare i servizi esistenti offrendone altri multimediali e
integrati, incrementare l’affidabilità e il controllo. Ciò che a volte si
sottovaluta è quanto questi aspetti, si pensi per esempio alla
semplificazione, contribuiscano anche in modo significativo ad
aumentare il controllo del rischio e a garantire un maggiore livello di
sicurezza.
Più in generale la capacità di garantire un elevato livello di sicurezza
nell’erogazione di servizi complessi costituisce un indicatore
fondamentale da temere in considerazione in relazione a ogni
decisione che coinvolga l’infrastruttura di rete.
Se pensiamo, per esempio, a come i contenuti multimediali siano
sottoposti più di altri a minacce di vario tipo, si comprende come uno
dei punti essenziali in un processo di protezione che parte dalla rete
sia di poter attribuire a ogni utente specifici privilegi e modalità di
utilizzo di un servizio e della sottostante infrastruttura di rete.
A livello di sicurezza, la crescente sofisticazione degli attacchi e il fatto
che questi avvengano tramite una rete trasmissiva obbligano il
manager dei sistemi informativi a considerare quali possono essere le
soluzioni al problema in termini progettuali, le strategie da attuare e
la localizzazione più adatta degli strumenti e delle applicazioni che a
questi attacchi si devono opporre. In pratica, sia che si tratti della rete
di un carrier, di una rete virtuale privata (VPN) o di una rete
aziendale, il problema consiste nel come abbinare le funzioni di
sicurezza con quelle di trasporto della rete in modo che le stesse
risultino sinergiche ed efficaci, idealmente massimizzando i livelli sia
di protezione sia di servizio.
Un primo elemento che emerge è che sicurezza e rete sono due cose
che è sempre più opportuno siano pensate e sviluppate in modo
parallelo sin dall’inizio di un’implementazione progettuale, in modo
che la sicurezza risulti pervasiva all’interno della rete aziendale stessa
e non un qualche cosa che funzionalmente vi viene sovrapposto
successivamente, come un ulteriore livello applicativo, con strumenti
diversi, evoluzione non organica e difficoltà d’integrazione.
65
Si tratta del punto di arrivo di un processo di convergenza tra security
e networking che parte da lontano: quando gli switch hanno
cominciato a fare i router e questi ultimi hanno iniziato a controllare
gli accessi tramite le ACL (Access Control List). I firewall, gli intrusion
detection system, da un lato, e gli analyzer e i multilayer switch,
dall’altro, hanno continuato il percorso di avvicinamento, che, in un
certo senso, si è completato con gli intrusion prevention system (che
combinano funzioni di analisi e filtering del traffico con la capacità di
controllo della rete). Una tale sinergia appare poi tanto più necessaria
quanto più la rete agisce come integratore e come base per
applicazioni convergenti e per ‘erogazione di servizi.
La fornitura di servizi personalizzati implica che sia disponibile una
modalità e un software che permetta lo svolgimento di due attività
essenziali, il controllo e il “billing”. Quanto più un servizio di rete è
abbinato a servizi di tariffazione tanto più è poi possibile accentuare la
trasformazione dell’ICT aziendale da un concetto di centro di costo a
quello di utility.
Un ulteriore elemento in grado di caratterizzare il modello
architetturale e condizionare l’efficacia di una rete a supportare
innovativi modelli di business è la capacità di implementare un livello
di intelligenza e di distribuirlo in base agli specifici requisiti di
business. Per questo motivi, sempre più spesso, le funzioni di
sicurezza sono affidate a dispositivi posti sulla rete e integrati con
quelli preposti a realizzare le funzioni di switching e routing. A tale
riguardo non si può fare a meno di notare la proliferazione di
appliance dedicate, pronte a integrare all’interno di quelli che in
passato erano semplici switch (anche periferici) una serie di
funzionalità in costante evoluzione.
NAC: Network Access Control
A monte di qualsiasi progetto per la sicurezza è necessario effettuare
un’operazione culturale. Errare humanum est e appunto sfruttando
l’ingenuità,
l’ignoranza
o
comportamenti
irresponsabili
dipendenti, gli “attacker” penetrano nei sistemi e reti aziendali.
66
dei
Negli anni sono aumentati gli attacchi perpetrati attraverso il social
engineering. È facile credere a una mail che arriva apparentemente da
un dirigente aziendale con un tono minaccioso e quindi cascare in
trappole tese da un hacker che era riuscito a impossessarsi di un paio
di informazioni, magari raccolte su un sito di social networking, dove
in molti si confessano liberamente. Il phishing, in particolare, è nato
proprio con il concetto di sfruttare l’ingenuità delle persone e,
utilizzando tecniche di spamming, colpisce sempre più facilmente nel
segno. Statisticamente, inviando centinaia di migliaia di email, c’è
certamente qualcuno che crede a messaggi sempre più plausibili e
clicca sul link-esca.
Le logiche dei grandi numeri fanno il resto: se “abbocca” l’1% dei
destinatari (è una percentuale stimata da diversi security advisor),
significa migliaia di identità elettroniche, numeri di carta di credito,
password o altre informazioni rubate. Anche percentuali inferiori
portano a risultati interessanti, che spesso rappresentano solo la base
di partenza per ulteriori crimini.
Conoscenza e consapevolezza riducono il rischio, ma, soprattutto
nelle grandi imprese, non è facile diffondere una cultura sulla
sicurezza a tutti i dipendenti. Senza contare che combattere la pigrizia
e la debolezza della natura umana è una battaglia persa in partenza.
Allora la guerra va combattuta e vinta su altri terreni e, vista la
sofisticazione e la crescente rapidità degli attacchi, l’unica strategia
possibile consiste nell’applicare strumenti automatici.
Un esempio può aiutare a comprendere le dimensioni del problema.
A partire dalla seconda metà del 2007, si è assistito all’affermazione di
una tecnica preoccupante: “l’infezione” di siti insospettabili. Su home
page e pagine interne di Web facenti capo a enti governativi,
università, aziende anche note sono stati inseriti link che attivano il
download di codici maligni. È evidente che qui non c’entra la cultura
e solo un software di protezione può impedire all’utente ignavo di
scaricare malware. Peraltro, il sistema di sicurezza deve essere
sofisticato e aggiornato in tempo reale: in altre parole, automatico.
Altrimenti non può essere efficace. Basta infatti considerare che viene
pubblicata una pagina infetta ogni 5 secondi e una percentuale sempre
più alta di tali pagine appartiene a siti “innocenti”. Siti che non
67
ricevono alcun danno e, quindi, difficilmente possono percepire che
c’è qualcosa di sbagliato, almeno non in tempi rapidi. Il punto è che
queste azioni sono rapidissime: viene pubblicata la pagina infetta,
contestualmente vengono mandate centomila email utilizzando pc
“puliti” all’insaputa del proprietario (questo sì colpevole di scarsa
protezione). Nel giro di pochi minuti, se non secondi, circa mille
malcapitati (l’1% dei destinatari) avranno cliccato sul link trappola.
Oggi, esistono soluzioni che proteggono da tecniche come queste, ma
non tutti ne dispongono.
La sicurezza del futuro non potrà essere un elemento aggiuntivo del
sistema informativo o dell’infrastruttura aziendale, ma deve essere un
componente integrato di entrambi, come pure di tutti gli elementi
tecnologici, anche non IT, in azienda.
Dei passi in questa direzione sono stati compiuti con le soluzioni NAC
(Network Access Control) o altri sistemi analoghi che consentono di
verificare il livello di sicurezza dei client prima di concedere loro
l’accesso alla rete aziendale. Ma è solo un inizio, perché si tratta di
soluzioni ancora in massima parte proprietarie. Inoltre, resta il
problema di accelerare l’aggiornamento dei sistemi aziendali, con tutti
i limiti che questo comporta quando si tratta di diffondere la
protezione a ogni loro endpoint. Le incognite maggiori riguardano
evidentemente i client mobili.
Un’ipotesi plausibile vede la crescita della sicurezza gestita da servizi
esterni: la progressiva diffusione di larga banda e del concetto di
always on, può favorire la centralizzazione dei controlli di sicurezza.
Un
ulteriore
elemento
a
supporto
di
questa
visione
viene
dall’affermazione della virtualizzazione, in grado di abilitare il
cosiddetto cloud computing. Bisognerà lavorare perché siano
“nuvole” sicure.
Le soluzioni per controllare chi vuole entrare in rete
Uno dei primi problemi che si sono poste le soluzioni per la sicurezza
su Internet è stato proprio il controllo degli accessi. Anzi, prima
ancora, ci si è posti il problema degli accessi alla rete aziendale, per il
quale sono stati sviluppati protocolli di autenticazione, di cui
68
brevemente si accennerà più avanti. È stato però subito evidente che
dalla Rete potevano arrivare sul sistema e sul Web aziendale dei
malintenzionati. Inizialmente, si temeva più che creassero danni per
gioco, mentre oggi si sa che vogliono colpire in maniera mirata. Sono
nati i firewall, che si preoccupavano di “chiudere” alcune porte della
rete, permettendo il passaggio solo di “traffico giusto”. Ben presto, il
traffico “cattivo” ha imparato a mascherarsi e i firewall a farsi più
furbi e a intensificare i controlli.
L’escalation tra tecniche d’intrusione e sistemi per rilevarle e bloccarle
è storia. Non che la rincorsa non continui ancora, ma i modi di
fronteggiarsi tra “smanettoni” buoni e “smanettoni” cattivi (tra hacker
“ethical” e hacker “evil”) ha cambiato i ritmi: da entrambe le parti si
adottano sistemi più automatici.
Il NAC nasce dalla consapevolezza che qualsiasi connessione chiede
alla rete aziendale di entrare, potrebbe trattarsi di traffico maligno.
Qualunque utente e qualsiasi sistema dovesse chiedere accesso alla
rete, è necessario controllare chi sia e cosa vuole fare. Si abbandona,
pertanto, il concetto di perimetro, perché lo stesso ha assunto contorni
“nebbiosi”, ma anche se adesso la connessione può avvenire
praticamente in qualsiasi punto (si pensi al partner che chiede di
collegarsi da un indirizzo interno, perché si è attaccato alla porta di
una sala riunioni), avrà comunque un capo e una coda: una
transazione o un’operazione da compiere e sarà riconducibile a una
macchina. Questa macchina rappresenterà dunque l’elemento da
controllare.
Uno dei noccioli della questione è che nelle reti informatiche, i punti
terminali sono da sempre un pregiato oggetto di attacco. Oggi più che
in passato, perché molte delle tecniche emergenti, oltre a tentare di
sfruttare l’ignoranza o la disattenzione dell’utilizzatore, sono state
sviluppate proprio per agganciare un “endpoint” e usarlo come
chiave d’accesso al sistema aziendale. Il tutto all’oscuro del
proprietario del “mezzo”, cui si cerca di dare meno fastidio possibile.
Per questo, l’approccio al controllo degli accessi è profondamente
cambiato nel giro di pochi anni e, se in passato appariva sufficiente
controllare l’identità di chi chiedeva l’accesso, oggi risulta sempre più
importante verificare anche le condizioni del sistema utilizzato per il
69
collegamento. In altre parole è opportuno capire se il computer con
cui un utente si vuole connettere è dotato di quei requisiti di sicurezza
che si ritengono necessari.
Questo controllo è importante tanto per il pc dell’utente occasionale (il
partner, il fornitore, il cliente) quanto, anzi di più, per quello del
dipendente. Non è più pensabile affidarsi alle policy aziendali, che
vengono sistematicamente disattese (troppi utenti, per esempio,
disattivano l’antivirus o la suite di sicurezza perché rallenta troppo le
applicazioni, ancora oggi che le soluzioni sono decisamente più
performanti di un tempo). Non è caso che negli anni si è assistito a un
proliferare delle caratteristiche di “enforcement” all’interno delle
soluzioni per la protezione del pc: questi sono necessari per obbligare
l’utente a mantenere adeguato il livello di sicurezza della propria
macchina. La probabilità dell’attacco e la rapidità dello stesso, infatti,
non consentono di avere un pc “scoperto”. Le soluzioni NAC sono
quelle che più di altre sembrano aver risolto (o quantomeno mitigato)
il problema del fattore umano.
L’errore dell’utente, dolente o nolente, è statisticamente tra le
principali cause di problemi per la sicurezza ed è ovvio che i
malintenzionati cercheranno sempre di approfittarne. Per quanto
importante e utile sia diffondere una certa cultura in azienda, è
evidente che l’adozione di automatismi riduce il rischio connesso al
fattore umano. La sicurezza del terminale è diventata però cruciale
con la diffusione di minacce “nascoste”, che si annidano sul terminale
per poi trasferirsi all’interno del sistema aziendale una volta che il pc
si connette alla rete. Anche senza dolo, l’utilizzatore potrebbe essere il
punto debole attraverso il quale viene sferrato un attacco. Il problema
ha assunto un ulteriore carattere d’urgenza, con il proliferare di
sistemi portatili, spesso impiegati anche per attività personali e
frequentemente collegati a reti e sistemi di terze parti, sulla cui
sicurezza l’azienda non può avere controllo. Ma anche perché è
sempre più necessario e frequente far entrare anche utenti
“occasionali”, come partner e fornitori.
La risposta alle problematiche su esposte viene fornita dai sistemi
cosiddetti NAC o di Network Access Control. Dietro questa generica
denominazione, in passato già impiegata per descrivere protocolli
70
come l’IEEE 802.1x per l’autenticazione alla rete, si trovano molte
soluzioni, anche parecchio differenti tra loro. Di fatto, l’elemento
comune è lo scopo: impedire l’accesso alla rete ai dispositivi non
conformi ai requisiti di sicurezza prevista dalle politiche aziendali.
Le caratteristiche principali che un sistema NAC dovrebbe possedere
sono tre: controllo, quarantena, remediation. In pratica, quando una
macchina chiede accesso alla rete, mentre vengono verificate le
credenziali dell’utilizzatore per procedere all’usuale authentication e
authorization, un sistema di monitoraggio si preoccupa di controllare
la presenza e lo stato di aggiornamento delle soluzioni per la
sicurezza, secondo criteri predefiniti. Effettuato il controllo di
conformità si aprono due possibili scenari: nel caso fosse tutto a posto,
evidentemente viene concesso l’accesso con i privilegi che a ogni
utilizzatore sono stati pre-assegnati. Se, invece, si presenta un
problema l’accesso viene negato e la richiesta parcheggiata in
quarantena. A questo punto si può attivare la fase di remediation, che
tipicamente “corregge” il problema, per esempio, effettuando l’update
dell’antivirus, e ripete il controllo con l’obiettivo di arrivare a
concedere l’accesso.
Le funzioni caratterizzanti
Come accennato, le differenze tra le diverse soluzioni in commercio
sono notevoli. Innanzitutto, esiste una prima distinzione tra le
soluzioni che impongono l’installazione di un agente sul client e
quelle che operano attraverso plug-in temporanei o altri meccanismi
agentless. Ci sono pro e contro in entrambi gli approcci e sta a
ciascun’impresa valutare la scelta più opportuna per le proprie
esigenze. Un altro aspetto di base riguarda la tecnologia d’ispezione in
sé, che tipicamente richiede versioni compatibili delle soluzioni
adottate. In particolare, accade che alcuni software di protezione
gratuitamente disponibili online possano non essere riconosciuti dal
motore NAC. In generale, comunque, anche i principali vendor
tendono ad allungare il più possibile l’elenco di prodotti compatibili
per aumentare l’applicabilità della propria soluzione.
Meno significativo può essere il metodo utilizzato per la quarantena, a
patto, ovviamente che sia efficace. In generale, può essere usata la
71
porta dello switch oppure il server DHCP o, ancora, un’integrazione
dei due. Un elemento di differenziazione è il modo in cui viene
notificata la quarantena all’utente e il modo in cui questa può essere
personalizzata. L’ideale è avere l’estrema flessibilità di adottare stili
diversi a seconda dei casi: se, in particolare, quello che viene rilevato
è, di fatto, un tentativo d’intrusione potrebbe addirittura essere
opportuno non notificare affatto la quarantena e deviare il
malintenzionato verso un honey-pot. È evidente che qui si
presuppone la possibilità d’integrazione con altri sistemi, oltre al
NAC.
Laddove si registrano ulteriori differenze, che è bene valutare
attentamente in fase di scelta, è nel cosiddetto processo di
remediation, cioè nella fase in cui è necessario intervenire sul client
per apportare le modifiche necessarie a conferirgli la “patente” di
conformità. Chiaramente, è opportuno poter distinguere tra le
tipologie di utente. Un dipendente che è soggetto alle policy aziendali
dovrà passivamente accettare tutte le modifiche necessarie, ma sul
computer di un ospite sarà quasi certamente impossibile intervenire.
In questi casi, la stessa quarantena è inadeguata, perché o si nega del
tutto l’accesso o si confina il “guest” in una DMZ, fornendogli minimi
privilegi e, in genere, solo l’uscita verso Internet.
Sono molte le soluzioni giunte sul mercato, con sostanziali differenze
di approccio, ma in molti casi si tratta di sistemi “tradizionali”, che
effettuano il controllo degli accessi senza però garantire le flessibilità
necessarie per “gestire” l’accesso e difficilmente integrandosi con i
sistemi di identity e access management. La scelta può dunque essere
difficile, ma, a parte le valutazioni sull’affidabilità del fornitore è
impossibile dare indicazioni generiche senza calarle nel contesto in cui
opera ciascuna azienda.
I livelli di protezione del firewall
I firewall rappresentano, insieme agli antivirus, la soluzione di
sicurezza più nota e diffusa. Troppo spesso, anzi, costituiscono l’unica
protezione aziendale, mentre è sempre più necessario adottare un
approccio più ampio e integrato, che parta da un’analisi dei rischi e
72
delle esigenze aziendali per disegnare un’architettura completa e
definire le corrette e opportune politiche di sicurezza.
Ciononostante, a meno che la propria rete aziendale non sia
totalmente isolata e non connessa a nessuna rete pubblica o privata
esterna, il firewall è il primo indispensabile elemento di sicurezza da
attivare.
La questione, pertanto, non è se esso sia utile o meno, ma, piuttosto,
quale firewall possa essere più opportuno, trovando un giusto
equilibrio tra le caratteristiche e le funzioni atte a garantire il richiesto
livello di protezione dell’azienda e i costi di ownership dello stesso.
Senza trascurare in questo le problematiche della gestione.
Anche il più economico dei firewall permette, in ogni caso, di
proteggere la propria rete dagli attacchi più o meno casuali di hacker
improvvisati.
Una
categoria,
quest’ultima,
che
è
cresciuta
notevolmente con l’aumentare della disponibilità on-line di tool
automatici di hacking.
Per molte imprese, questi non rappresentano un grande pericolo,
poiché le informazioni che potrebbero rubare probabilmente non
sarebbero loro di alcuna utilità. Rappresentano in ogni caso una
minaccia in quanto, banalmente, potrebbero causare danni anche
involontari, spostando o duplicando file o cancellandoli. Anche il
tempo necessario a ripristinare dati di cui, fortunatamente o
volutamente, è disponibile un backup aggiornato, costituisce
ovviamente un impegno economico. Si osservi, inoltre, che, nel caso in
cui informazioni sensibili su clienti, partner o impiegati dovessero
venire rubate e/o divulgate, il soggetto interessato potrebbe, in virtù
delle leggi esistenti sulla privacy, intentare una causa all’azienda.
Senza contare, infine, le situazioni in cui le informazioni sottratte
costituiscono una proprietà intellettuale alla base della competitività
aziendale.
Nessuna azienda, di fatto, si può considerare sicura al 100%, né
immune da rischi. Con il rischio, dunque, si deve imparare a
convivere, adottando le opportune misure per ridurlo a un grado
tollerabile. In questo, il firewall svolge una funzione di barriera
protettiva all’ingresso, fornendo un primo livello di protezione, ma le
attuali soluzioni presenti in commercio, in realtà, offrono molte
73
funzionalità “aggiuntive”. Di fatto, il firewall è diventato uno
strumento molto potente che arriva a fornire più livelli di protezione.
Nei successivi paragrafi, sono esaminati i principali tipi di firewall e le
loro caratteristiche, ed analizzate alcune tra le funzionalità distintive,
in genere opzionali, che risultano più diffuse e utili in un contesto di
sicurezza.
Si possono dare diverse definizioni di un firewall, ma di base è un
sistema utilizzato per la protezione di una rete di cui ci si può fidare
da una di cui non ci si può fidare. Con un linguaggio più “esperto”, si
può affermare che un firewall realizza una politica di controllo degli
accessi tra due reti: tipicamente la rete aziendale e Internet. O, ancora,
in altri termini, il firewall stabilisce a quali servizi interni all’azienda è
possibile accedere dall’esterno e viceversa.
Il firewall filtra il traffico tra una rete esterna e quella interna all’azienda
Di fatto, data questa definizione, le funzioni base di un firewall sono
due: una serve a bloccare il traffico, l’altra a lasciarlo passare. Esistono
diverse modalità con cui questo può essere ottenuto ma quello che
emerge è che un firewall rappresenta un unico punto in cui è possibile
imporre dei controlli di sicurezza e un auditing di rete.
Il network manager può ottenere dati sul tipo di traffico e sulla
quantità dello stesso che ha attraverso tale punto, quindi che è entrato
e uscito dalla rete. Può essere informato di quanti tentativi di ingresso
non autorizzato sono stati effettuati e così via. A questo proposito, le
capacità di reportistica di un firewall costituiscono una caratteristica
fondamentale, che è opportuno considerare in tutti gli aspetti
correlati. Nel caso questo sistema rappresenti l’unica barriera
protettiva, è ovvio che le statistiche e i dati, quali quelli menzionati,
74
devono essere i più dettagliati e accurati possibile, perché
rappresentano forse l’unico strumento di supporto alle decisioni del
security/network manager in materia di policy da implementare.
Una corretta valutazione dei rischi, in questi casi, può realizzarsi solo
con uno strumento che fornisca le informazioni opportune. D’altro
canto, è importante che tali informazioni siano anche intelligibili. Per
questo è necessario che siano organizzate o organizzabili secondo
viste idonee a comprendere la situazione e a prendere le decisioni che
meglio sposino le policy di sicurezza con i rischi e le esigenze di
business dell’impresa.
Nel caso, invece, di firewall parte di un sistema di sicurezza completo
e integrato o, in ogni modo, nel caso in cui sia prevista un’interazione
del firewall con altre applicazioni di security, allora risulta
fondamentale valutare non solo l’effettiva interoperabilità degli
strumenti, ma anche l’interfacciamento delle applicazioni stesse. In
altre parole, assume un’importanza basilare l’esistenza di “connettori”
tra i diversi sistemi.
Si consideri, per esempio, un sistema di intrusion detection che abbia
rilevato un’attività scorretta sulla rete. In un sistema completo ed
efficiente, tale IDS dovrà o direttamente bloccare l’attività in questione
o interagire con il firewall affinché sia lui a inibire il traffico relativo.
In ogni caso, l’IDS dovrà comunicare con il firewall per eventualmente
modificare in automatico determinate policy di sicurezza.
Allo stesso modo dovrebbe essere il firewall a segnalare anomalie
all’altra applicazione.
Può essere l’intrusion detection system, ma un discorso analogo si
può fare per un antivirus. Si consideri, ad esempio in un contesto di
minacce effettuate tramite Internet, che i cosiddetti attacchi assumono
sempre più una connotazione mista.
Storicamente, le funzioni di base di un firewall sono riassumibili in:
filtraggio del traffico entrante e uscente e traduzione/occultamento
degli indirizzi Internet o NAT (Network Address Translation).
75
Le tipologie di firewall
Esistono tre tipologie di firewall che sono riconosciute dall’ICSA
(International Computer Security Association): packet filtering, proxy
server e stateful packet inspection firewall.
Packet filtering firewall
I packet filtering firewall sono quelli più semplici e normalmente
vengono integrati in router, modem a banda larga, switch o altri
dispositivi di tipo server appliance (quali traffic shaper, load balancer
e così via). In effetti, sono semplici da realizzare, richiedono un
impegno ridotto della CPU e causano un modesto overhead della
memoria. Il meccanismo prevede l’analisi di un pacchetto alla volta,
senza conservare informazioni sui pacchetti precedenti. Ognuno di
essi, singolarmente, viene messo a confronto con un insieme di regole.
In generale, tali regole sono basate su indirizzo e numero della porta
della sorgente o della destinazione.
Alcuni packet filtering firewall si spingono a osservare le flag TCP,
come i pacchetti SYN, ma spesso con funzionalità non completamente
automatiche che ne impediscono una reale implementazione.
Di fatto, si tratta di un’analisi statica dei pacchetti, che può essere utile
per un’immediata scrematura di alcuni tipi di traffico molto specifico,
quale, per esempio, quello SNMP o NetBIOS, che può sottintendere
azioni di management. Se non è prevista una gestione da remoto,
questo tipo di traffico non è normale che debba attraversare un
firewall.
Questa tipologia di filtraggio dei pacchetti presenta alcune debolezze
significative in termini di sicurezza. In particolare, sono vulnerabili
all’IP spoofing, non possono osservare una sequenza di numeri TCP e,
quella che è probabilmente la cosa peggiore, non possono
generalmente determinare se la connessione è stata realizzata
dall’interno o dall’esterno della rete. Per esempio, qualcuno
dall’esterno potrebbe mandare dei pacchetti su una porta del firewall
comunemente aperta (come la 53 per il DNS o l’80 per l’HTTP) ed
effettuare una scansione dell’intera rete interna.
76
Proxy server firewall
I firewall di tipo proxy sono spesso considerati quelli più sicuri, ma
certamente sono anche quelli più intrinsecamente lenti. Ci sono due
tipi di proxy firewall: quelli cosiddetti generici e gli application
specific (o anche application level) proxy firewall.
Quelli generici, tipicamente, proteggono contro attacchi IP, quali la
frammentazione o lo spoofing, ma non possono fare molto rispetto
agli attacchi di protocollo. Il proxy si pone tra client e server, che non
vengono così ad avere una connessione diretta, e agisce da client per il
server e viceversa.
Gli application level proxy firewall, invece, possono ispezionare il
traffico per protocollo (per esempio HTTP o SMTP). Così facendo
possono controllare la validità di alcune destinazioni (per esempio,
confrontando le richieste con un elenco di HTTP autorizzati nelle
connessioni al Web) e cercare di rilevare gli exploit, come i buffer
overflow. Non tutti gli application proxy firewall sono uguali: anche
se alcuni portano l’analisi fino al Layer 7 della pila OSI, tipicamente
essi operano solo a livello di protocollo. Se il proxy controlla solo la
sintassi di protocollo, allora non può essere in grado di bloccare
pacchetti i cui il campo dati fosse distruttivo.
Molti proxy firewall, inoltre, sono dedicati e supportano solo alcuni
specifici protocolli. Ogni applicazione nuova che si volesse controllare
richiede l’installazione e la configurazione di un nuovo application
proxy. I proxy server preposti a facilitare il traffico da e per Internet,
inoltre, potrebbero richiedere una riconfigurazione dei parametri di
rete per ogni nuova installazione di application proxy. Ne deriva un
impegno amministrativo non indifferente. Per questo, spesso gli
application specific proxy firewall vengono implementati solo per
controllare alcuni tipi di traffico specifici (tipicamente, flussi HTTP e
FTP), mentre la barriera d’ingresso viene realizzata con uno stateful
packet inspection firewall.
Stateful packet inspection firewall
Gli stateful packet inspection firewall, anche riferiti come dynamic
packet filtering firewall, effettuano appunto un filtraggio dinamico
77
dei pacchetti. Questo consiste in un filtraggio a livello di rete che, a
differenza del filtraggio dei pacchetti statico (che, va ricordato,
esamina un pacchetto per volta basandosi sulle informazioni
contenute nel suo header), effettua il tracking di ogni singola
connessione, verificandone la validità. I firewall stateful inspection,
infatti, operando a livello di applicazione, ispezionano anche il
contenuto del pacchetto e non solamente le informazioni relative
all’origine e alla destinazione. Essi, inoltre, conservano una tabella che
contiene le informazioni di stato di ogni connessione e, quindi,
possono controllare quando una connessione è iniziata e finita, così
come se ha uno svolgimento regolare. Alcuni esempi di informazioni
relative a stato e contesto di una connessione che dovrebbero essere
analizzate e memorizzate da un firewall che realizza un’ispezione
stateful sono:
•
Informazioni contenute nell’header del pacchetto (indirizzo di
sorgente e destinazione, protocollo, numero di porta di sorgente e
destinazione, lunghezza del pacchetto).
•
Informazioni di stato della connessione (quale porta è stata aperta
per quale connessione).
•
Dati TCP e sulla frammentazione IP (per esempio, il sequence
number o il fragment number).
•
Tipo di applicazione (per esempio a quale sessione appartiene il
pacchetto, per verificare che il contenuto sia conforme al
contesto).
•
Interfaccia di ingresso e uscita dal firewall con riferimento a data e
ora del passaggio.
•
Informazioni di Layer 2 (come l’identificativo di una VLAN).
Grazie a questo filtraggio accurato, a differenza, come accennato, dei
semplici packet filtering firewall, quelli di tipo stateful inspection
possono proteggere la rete da connessioni con pacchetti non
appartenenti alla sequenza e dall’IP spoofing.
Lo spoofing è una tecnica adoperata dagli hacker per mascherare il
proprio indirizzo IP. Spesso, sostituiscono il proprio indirizzo
sorgente con uno appartenente alla rete privata dell’azienda che
vogliono attaccare. In questo modo, non viene riconosciuto dal
78
semplice packet filtering, per il quale, l’indirizzo è autorizzato a
passare, ma viene invece rilevata un’anomalia dalla stateful packet
inspection, poiché il pacchetto proviene dall’esterno, pur risultando
generato all’interno.
Un attacker non può neanche tentare di far passare pacchetti facendoli
apparire appartenenti a una connessione esistente, perché ne viene
verificata la consistenza con il resto della connessione (in taluni casi,
come detto, anche esaminando i payload dei pacchetti). Nel caso non
fossero del tutto previste connessioni TCP provenienti dall’esterno, si
possono definire regole che bloccano tutte le richieste SYN, limitando
se non eliminando il rischio di scansione della rete dall’esterno.
I firewall stateful packet inspection richiedono, per operare, una
grande quantità di memoria e un grande impegno della CPU. Il che
può porre problemi in termini di scalabilità. Non basta guardare,
dunque, le prestazioni in termini di throughput, ma bisogna verificare
queste performance in condizioni di intenso traffico. Le caratteristiche
del filtering dinamico, però, consentono di implementare molte
funzionalità a livello hardware, così come di accelerare le analisi con
architetture dedicate. Non è un caso, quindi, che molti firewall di
questo tipo siano disponibili preinstallati su apposite appliance di
rete.
La sicurezza dei dati con le VPN
In parallelo alla diffusione del protocollo IP, proposto come
infrastruttura di trasporto multiservizio, e dell’affermazione in
azienda dell’approccio VoIP e di rete convergente (e relative
architetture), si è assistito alla riformulazione in chiave IP di un
concetto esistente da tempo, quello delle reti private virtuali, sia
ritagliate all’interno di una rete di backbone di un carrier sia fornite da
service provider specializzati.
Anche in questo caso, l’utilizzo di un concetto noto in un contesto di
servizi e di protocolli innovativi porta inevitabilmente a esaminare i
problemi connessi all’utilizzo di una VPN come substrato per le
comunicazioni aziendali e agli standard che si sono consolidati per
una trasmissione sicura delle informazioni su un tale substrato.
79
L’affermazione delle IP VPN, in realtà, è legata al presupposto di
realizzazione a basso costo di una rete privata che sfrutti la “gratuità”
di Internet. Con IP e VPN viene a svanire la modalità di sviluppo
differenziato tra applicazioni LAN e WAN, sostituita da un approccio
che considera come base il mondo Internet in un contesto end-to-end
di accesso remoto tramite VPN, Web come architettura di base e una
comunicazione (email e fax) sempre più in formato elettronico e
sempre meno cartacea. Considerazione analoga si applica al campo
della sicurezza.
Una VPN utilizza un’infrastruttura condivisa per la connessione delle sedi aziendali
Una
VPN
è
virtualmente
privata,
proprio
perché
utilizza
infrastrutture di rete condivise anche da altri utenti. Internet, poi, è
una classica rete "aperta", quindi, in linea di massima, aperta lo è
anche una VPN. Per questo è necessario che siano implementati
opportuni criteri sia da parte del fornitore sia dell’utilizzatore della
VPN stessa. I dati immessi in rete nel punto di origine, per arrivare al
punto di destinazione, attraversano nodi appartenenti a sottoreti
diverse, che assicurano come funzione di base la commutazione o
routing dei pacchetti IP verso il nodo di destinazione. Proprio questa
"multiproprietà" apre la strada ad attacchi dall'esterno che possono
80
avere impatti fortemente negativi sugli utilizzatori. La sicurezza
necessariamente connessa a buona parte delle applicazioni che
possono basarsi su Internet ha fatto, quindi, emergere quello della
protezione dei dati come uno degli aspetti di base nello sviluppo di
reti private virtuali ritagliate su backbone IP. In sostanza, chi si
appresta a utilizzare una VPN, ha la necessità di essere protetto
dall'accesso ai suoi dati da parte di persone non autorizzate.
Come dato di fatto, esistono oggi risposte concrete a queste esigenze
di cui alcune sviluppate proprio per l’ambito IP, come l’IPSec (Internet
Protocol Security), uno standard specifico per Internet e applicazioni
di commercio elettronico su Internet.
L’architettura IPSec
Il protocollo che si è affermato nella comunità Internet per la
realizzazione di funzioni di sicurezza è IPSec, che rappresenta uno
standard di fatto per la sicurezza del livello di rete. IPSec prevede la
realizzazione di due diverse modalità di protezione dei dati. La prima
permette di autenticare i dati inviati, la seconda aggiunge a questo
anche la cifratura degli stessi. IPSec costituisce una vera e propria
architettura aperta per la realizzazione di reti sicure ed è stato
sviluppato da un gruppo di lavoro dell’IETF. Il concetto di
architettura aperta dipende dal fatto che nel suo ambito architetturale
possono essere inseriti nuovi metodi di cifratura man mano che
vengono sviluppati o che i sistemi utilizzabili per attaccare i dati si
perfezionano. Le aree che sono state affrontare nella definizione del
protocollo sono:
•
Autenticazione dei dati di origine per verificare che gli stessi siano
stati inviati effettivamente dal mittente.
•
Protezione dal rischio che i dati possano essere intercettati e
ritrasmessi in un momento successivo.
•
Integrità dei dati per verificare che quanto inserito nei
datagrammi non sia stato alterato.
•
Gestione automatica delle chiavi di cifratura in modo da poter
stabilire una politica di rete che non richieda continui interventi
manuali.
81
In questo ambito, i principali protocolli della suite IPSec sono tre. Il
primo è denominato IP Authentication Header (AH) e si preoccupa di
autenticare i dati di origine, la loro integrità e la protezione da
ripetizioni abusive. Il secondo è denominato IP Encapsulating
Security Payload (ESP) e si occupa della confidenzialità dei dati,
dell'autenticazione del mittente e dell’integrità dei dati. Il terzo è
riferito come Internet Security Association and Key Management
Protocol
(ISAKMP)
e
fornisce
un
metodo
per
realizzare
automaticamente associazioni sicure e gestire le relative chiavi di
cifratura.
I protocolli per la sicurezza del livello di rete, quindi nello specifico
l'IPSec, hanno nell'insieme la funzione di assicurare ai protocolli dei
livelli superiori la protezione delle informazioni trasportate nel campo
dati, riferito come payload, di un datagramma IP.
IPSec e L2TP sono due protocolli fatti per lavorare assieme. Un tunnel
L2TP viene realizzato incapsulando una trama L2TP all'interno di un
pacchetto UDP, a sua volta incapsulato all'interno di un pacchetto IP.
UDP è il protocollo del livello di trasporto, mentre IP è il protocollo di
rete ed è nel pacchetto IP che sono compresi gli indirizzi della
sorgente e della destinazione del pacchetto che definiscono i punti
terminali di un tunnel.
Essendo IP il protocollo che incapsula tutti gli altri, le funzioni
previste da IPSec per il livello di rete finiscono con l'essere applicate a
questo pacchetto composito e quindi proteggono i dati che fluiscono
all'interno del tunnel L2TP.
I protocolli per il tunneling di livello 2 rappresentano un modo per
realizzare accessi remoti cost effective con il trasporto multiprotocollo
e l'accesso remoto a LAN. Poiché però non forniscono funzioni di
sicurezza, diventa praticamente obbligato utilizzarli in abbinamento a
IPSec, qualora si voglia fornire un accesso remoto sicuro.
Realizzare una VPN permette, quindi, di ottenere benefici economici
notevoli, ma richiede un approccio progettuale ben preciso che deve
necessariamente partire con il rendere sicuro l'accesso aziendale,
individuare le tecnologie da utilizzare o il service provider a cui
rivolgersi, passare attraverso una fase di definizione del Service Level
82
Agreement e concludersi (prudenzialmente) con un adeguato
impianto pilota.
Autenticazione ed encryption
L’architettura IPSec prevede la possibilità di inserire diversi protocolli
e meccanismi di autenticazione e di crittografia, quando questi fossero
disponibili. Attualmente gli standard più diffusi sono il DES e il 3DES,
pur soggetti a limitazioni di esportazione da parte del governo Usa,
ma circolanti pressoché liberamente sul mercato italiano. Va osservato
che il loro impiego può essere indicato anche per le reti virtuali
private di tipo wireless.
Le tecnologie di autenticazione possono anche utilizzare elementi
esterni, come i token, ma tali meccanismi rimangono esterni
all’architettura VPN propriamente detta. Così come lo è il protocollo
tipicamente usato nelle reti attuali per la realizzazione di una sessione
sicura, cioè il Secure Socket Layer (SSL).
Questo protocollo è nato per l’impiego su Internet e, in particolare, la
sua diffusione è stata propagandata per la realizzazione di siti di ecommerce. Sebbene il commercio elettronico abbia avuto uno scarso
successo, la sua esplosione è probabilmente solo rimandata e, in ogni
caso, è destinato a diventare un canale di commercio imprescindibile.
Per preparasi a integrarlo in azienda è opportuno, come è stato in
parte
spiegato,
adeguare
la
propria
infrastruttura
a
quelle
caratteristiche minime che lo facilitano.
Tra queste figurano anche le architetture di VPN, che probabilmente
molte aziende saranno costrette a implementare, in funzione
dell’estensione della propria supply chain. La sempre maggiore
diffusione di router e gateway di piccole dimensioni, va anche nella
direzione di favorire l’adozione di VPN da parte di piccole e medie
imprese che devono collegarsi a un partner più grande o di
telelavoratori, per i quali è necessario garantire e mantenere adeguate
policy di sicurezza. Più complicata potrebbe essere l’implementazione
di adeguate tecnologie di crittografia, senza vedere penalizzate le
prestazioni dei propri sistemi.
83
L’autenticazione con lo standard IEEE 802.1x
Nato in seno al gruppo di studio per lo standard 802.1 relativo alle reti
locali di tipo cablato, il protocollo 802.1x deve il suo successo
applicativo soprattutto all’utilizzo come metodo di autenticazione a
supporto del WEP nelle reti di tipo wireless LAN Wi-Fi. Un fenomeno
che non stupisce, se confrontato con uno scenario generale che per la
connessione di un utente remoto a una LAN aziendale vede sì ancora
predominante
l’accesso
tramite
rete
fissa,
ma
registra
contemporaneamente una forte accentuazione dell’interesse per una
modalità di accesso wireless, che appare più confacente alla crescente
mobilità degli utilizzatori. In pratica, con questa evoluzione
tecnologica
derivata
dalla
famiglia
di
standard
IEEE
802,
progressivamente interessante accessi di tipo mobile, viene a cadere
l’abbinamento tra porta e utente che sino a ora era possibile fare per i
livello 2 di una rete LAN. Ne consegue l’esigenza di identificare chi
sta accedendo a una certa porta di rete ed è proprio in questo quadro
di esigenze che si viene a calare lo standard 802.1x.
Gli elementi dello standard 802.1x
L’802.1x è stato sviluppato con l’obiettivo di definire un protocollo di
autenticazione operante in un ambito LAN riferito come Extensible
Authentication Protocol (EAP), che, per quanto concerne l’ambito
LAN, è ulteriormente esteso con l’acronimo EAPOL. Come tutti gli
84
standard, non è qualche cosa di completamente nuovo ma include
studi sviluppati in precedenza e contiene molto del protocollo EAP
che è stato sviluppato per l’autenticazione di utenti dial-up utilizzanti
il Point-to-Point Protocol (PPP).
In essenza, l’802.1x provvede a incapsulare i pacchetti EAP e definisce
dei messaggi EAPOL che permettono di convogliare le informazioni
che devono essere condivise relative alle chiavi di cifratura che
servono per garantire la sicurezza della LAN. L’aspetto interessante è
che l’EAP prescinde dal media fisico usato, Ethernet, Token Ring o
wireless LAN, ed è caratterizzato da una struttura funzionale che
prevede un numero limitato di elementi base costituiti da:
•
Richiedente: è il client software remoto che richiede l’accesso alla
rete locale dell’azienda.
•
Autenticatore: è l’access point costituito da un server o da uno
•
Archivio di autenticazione: è l’authentication server RADIUS
switch funzionalmente equivalente.
(Remote Authentication Dial-In User Service) o similare, situato
sulla rete aziendale cui l’utente remoto desidera accedere.
Questi tre elementi operano congiuntamente nella fase di verifica del
client e si scambiano messaggi in base a quanto previsto dal
protocollo EAP ed EAPOL.
La sicurezza delle connessioni wireless
In un Paese che, tra quelli industrializzati, non è tra i primissimi posti
per innovazione tecnologica ma al primo per diffusione di telefoni
cellulari, l’interesse verso il mondo del wireless e della mobilità in
generale non può che essere elevatissimo. In Italia, più che in altre
nazioni, si guarda al mobile come a una delle leve per la diffusione di
nuove tecnologie. Del resto, a fronte di un più difficile controllo di un
parco informatico distribuito e di un’architettura dell’infrastruttura
aziendale che si estende verso il wireless, le imprese hanno cominciato
ad apprezzare i vantaggi dello sviluppo della mobilità, come i
possibili risparmi su alcuni costi infrastrutturali (il cablaggio degli
uffici, per esempio, o la riduzione delle scrivanie negli stessi) e,
85
soprattutto, l’aumento della produttività dei cosiddetti lavoratori
mobili (o mobile workers, con dizione inglese).
PAN
LAN
(Personal
Tecnologie
Area (Local
WAN
Area (Wide
Area
Network)
Network)
Network)
Bluetooth
WLAN 802.11b, GSM, GPRS e
802.11a, 802.11g UMTS
e HyperLAN2
Banda
fino a 1 Mbps
da 2 a 54 Mbps da
a
384
Kbps
e oltre
Applicazioni Connessione
10
di Comunicazione
Servizi voce e a
notebook, pc e tra computer e valore aggiunto
telefonini
con accesso
periferiche
Internet
a (trasmissione
dati e accesso a
(stampanti,
Internet)
tastiere,
telefoni e PDA
auricolari)
per
o
anche
comunicazione
tra dispositivi
Copertura
Corta distanza
Media distanza
Lunga distanza
Le tecnologie wireless
La natura di fondo delle problematiche di security connesse con le reti
e le interfacce wireless non sono molto diverse da quelle delle
infrastrutture wired, cioè basate su cavi. Di fatto, si tratta di garantire
la confidenzialità e l’integrità delle informazioni e l’autenticità del
mittente delle stesse. In riferimento al particolare mezzo trasmissivo,
invece, si determinano delle differenze. Infatti, mentre una rete cablata
si ritiene sostanzialmente sicura quando non è aperta verso l’esterno,
in quanto non è fisicamente semplice intercettare i dati, con una rete
wireless, che impiega la trasmissione radio, è semplice captare la
comunicazione.
Diversi esempi si sono registrati, negli passati, in tema di
intercettazione telefonica nelle comunicazioni via telefonino. Analogo
86
il caso delle prime generazioni di apparecchi cordless per uso
essenzialmente
domestico,
con
sconosciuti
che
impiegavano
allegramente la linea telefonica di ignari abbonati che, nel caso non
avessero posseduto un terminale omologato, non potevano neanche
richiedere un rimborso.
Di recente, con la diffusione delle reti WLAN in azienda e la
realizzazione di alcune reti pubbliche, si è assistito al curioso
fenomeno di “auscultatori mobili”, cioè individui muniti di notebook
e scheda wireless alla ricerca di una connessione con cui collegarsi “a
scrocco” a Internet. È il fenomeno normalmente indicato con il
termine di War-driving o War Chalking. Ovviamente l’obiettivo
principale può apparire innocuo, ma è facile immaginare le possibili
conseguenze una volta stabilita con successo una connessione su una
LAN aziendale, soprattutto quando l’access point viene installato
all’interno del perimetro protetto dal firewall.
Sono
esempi
che
testimoniano,
da
un
lato,
l’esistenza
di
problematiche peculiari di sicurezza non ancora del tutto superate (se
non dagli apparati di ultima generazione), ma, soprattutto,
l’importanza,
ancora
una
volta,
di
un’impostazione
globale
dell’approccio alla sicurezza e delle politiche e procedure aziendali
relative alla stessa.
È fondamentale, da questo punto di vista, riconoscere che, prima delle
tecnologie, anche nell’ambito wireless come in quello wired, quando
si parla di sicurezza, si deve considerare il processo. In altre parole, è
importante innanzitutto stabilire, con un approccio globale, quale
infrastruttura di sicurezza si può e si deve implementare nella propria
azienda e, successivamente, identificare le soluzioni che è necessario
utilizzare per ottenere la protezione desiderata. In molti casi le
vulnerabilità dell’infrastruttura wireless sono, in realtà, dovute a una
mancanza da parte dell’utente che non segue una corretta strategia.
La tipologia di soluzioni che servono per proteggere una connessione
wireless sono dunque le stesse che si trovano applicate in ambito
wired. Per prevenire l’accesso da parte di utenti non autorizzati alle
risorse è necessario implementare tecniche di controllo degli accessi e
di encryption.
87
In particolare, è opportuno utilizzare un livello alquanto alto di
crittografia, ricordando che il rischio di intercettazione dei dati
durante
la
trasmissione
è
molto
elevato.
Authentication
e
authorization sono da implementare anche al fine di assicurare
l’autenticità dei messaggi e per estendere le security policy agli utenti
connessi alla rete aziendale via, per esempio, WLAN. Firewall e
intrusion detection system servono per controllare gli accessi e per
prevenire gli attacchi. Da questo punto di vista, è bene considerare
anche l’impiego di VPN.
Sul fronte della telefonia mobile, che presenta solo alcune analogie
con le WLAN in termini di approccio complessivo alle problematiche
della sicurezza in ambito wireless, quello che emerge sullo scenario
nazionale è lo sviluppo di tecniche che salvaguardano soprattutto il
servizio voce. Questo è ancora quello maggiormente utilizzato, anche
se è cominciata un’inversione di tendenza, dapprima con l’avvento
degli SMS e adesso degli MMS. A questo proposito, peraltro, è
necessario considerare che le architetture delle reti geografiche mobili
di nuova generazione dispongono di caratteristiche di sicurezza
intrinseche che forniscono di per se stesse un elevato livello di
protezione.
Le reti private virtuali wireless
I recenti sviluppi nella terminalistica portatile stanno esportando le
esigenze di sicurezza in uno scenario più esteso, costituito non più dai
semplici computer portatili ma da tutta una nuova gamma di apparati
di dimensioni ridotte, dai telefonini dotati di funzioni dati sino agli
oramai comuni palmari. Questi dispositivi e quelli in arrivo di
prossima generazione abbinano funzioni di telefonia cellulare alle
classiche applicazioni di ufficio e permettono di disporre di servizi di
posta elettronica o di accesso a Internet, oltre che di applicazioni
comuni quali quelle di office automation. In un quadro sempre più
orientato alla mobilità, gli utenti che si devono connettere a una
applicazione realizzano un tunnel che, nel caso del protocollo IPSec, si
estende dall’interno del proprio terminale palmare sino al gateway
IPSec, tramite una connessione wireless quale quella realizzabile
88
tramite una rete di connessione mobile GSM (acronimo di Global
System for Mobile Communications), GPRS (General Packet Radio
Service) oppure tramite una LAN wireless. In sostanza, un tunnel
VPN di tipo wireless permette all’utenza mobile di accedere in modo
sicuro a servizi come quelli di mail disponibili sulla propria rete
aziendale.
Come per le VPN su rete fissa, le VPN per reti mobili hanno la
funzione di creare delle connessioni trasparenti per quanto concerne
l’accesso alle applicazioni e di tipo sicuro tra l’utilizzatore e i servizi
erogati dai sistemi centrali. Essenzialmente, le caratteristiche di una
VPN wireless (o Mobile VPN nella dizione anglosassone) sono
concettualmente le medesime di una soluzione che preveda l’accesso
remoto a un’infrastruttura VPN su rete fissa.
Gli utenti mobili, dal punto di vista dell’applicazione, accedono alla
rete aziendale da remoto con le stesse modalità con cui vi accedono
localmente, anche se con caratteristiche di velocità che non sono
necessariamente le medesime. Per disporre effettivamente di un tale
livello di trasparenza però, i parametri caratteristici della rete, quali
indirizzo di rete, DNS e così via, devono essere preventivamente
negoziati con il client remoto.
Accesso di un utente remoto alla rete aziendale tramite una rete mobile
89
L’utente mobile avvia così una connessione IPSec verso il gateway
dell’azienda e, dopo essere stato positivamente riconosciuto, può
accedere alla rete aziendale e disporre dello stesso livello di sicurezza
garantito all’utente che da remoto vi accede tramite una rete VPN.
In questo contesto la sicurezza del terminale rappresenta uno degli
aspetti più critici di un’applicazione in ambito enterprise, in quanto
una VPN permette di scambiare dati sensibili tra terminale e rete
aziendale. Ne consegue che tecnologie, quali quelle per la cifratura dei
file, è opportuno siano attive quando dati sensibili sono memorizzati
sul dispositivo mobile.
Parimenti, ma su una scala di esigenza superiore rispetto a quanto
avviene nella configurazione di terminali di reti fisse, anche per i
terminali mobili è necessario definire a livello centrale politiche
specifiche (per esempio le caratteristiche da configurare), definire
certificati o definire le coppie di chiavi pubbliche/private che poi
devono essere distribuite.
La sicurezza del Wi-Fi
Buona parte del lavoro che si sta svolgendo per aumentare la
sicurezza delle reti wireless è dovuto al Wi-Fi. In qualità di alleanza di
produttori, in effetti, il Wi-Fi ha un potere per certi versi maggiore di
quello di un ente di standardizzazione. In ogni caso, si tratta di
trovare un compromesso tra le soluzioni sviluppate e implementate
dai diversi vendor e quelli che fanno riferimento a un marchio
commerciale hanno senz’altro un peso non indifferente. Enti come
IEEE o IETF, del resto, spesso devono svolgere un ruolo di mediatori e
di organizzatori di quelle che sono le specifiche sviluppate
aziendalmente. È indubbio che la Wi-Fi Alliance, i cui membri sono
comunque presenti nei task group dell’IEEE, ha grandi meriti
nell’affermazione delle wireless LAN. Si deve, quindi, in buona parte
a tale alleanza il lavoro svolto e quello che si sta portando avanti per
lo sviluppo di soluzioni di sicurezza che possano sopperire alle lacune
di quanto finora realizzato.
L’unica soluzione finora prevista dallo standard 802.11 rimane il WEP
(Wired Equivalent Privacy).
90
Le raccomandazioni della alleanza Wi-Fi partono comunque con il
consiglio di non utilizzare mai il WEP come unico sistema di
sicurezza, a causa delle vulnerabilità causate da una scorretta gestione
delle chiavi. Viene poi raccomandato l’uso dello standard 802.1x, che
risolve buona parte delle suddette problematicità del WEP,
interessando sia gli access sia i client e consentendo una crescita
flessibile. A questo va affiancato l’uso del protocollo EAP (Extensible
Authentication Protocol) per l’introduzione di un sistema di
autenticazione basato su password.
Oltre a queste soluzioni (e a quelle in fase di studio che presto
sostituiranno il WEP), esistono tutta una serie di soluzioni di
sicurezza, buone anche per ambiti di applicazione diversi dal wireless,
che possono essere impiegate profittevolmente per proteggere una
WLAN. In particolare, l’uso di una virtual private network è
caldamente consigliato per le applicazioni aziendali.
L’utente mobile, in questo caso, anche quando fisicamente si trova
all’interno dell’ufficio, si collegherebbe alla rete aziendale come da
remoto, con tutte le protezioni del caso.
Una simile soluzione consente alle WLAN di essere trattate alla stessa
stregua di altre risorse aziendali, rientrando nel sistema di sicurezza
complessivo che si dovesse decidere di realizzare.
Le caratteristiche del WEP
Il protocollo Wired Equivalent Privacy (WEP) è stato formulato, come
suggerisce il nome, per fornire lo stesso grado di riservatezza di una
rete cablata. Il riferimento è a quanto già osservato circa la maggior
facilità di captare un segnale nell’etere.
Già nella dichiarazione d’intenti, dunque, il WEP non nasce come
soluzione di sicurezza end to end. In questo senso, il sistema presenta
delle lacune, ma soddisfa gli scopi per il quale è nato, cioè soprattutto
prevenire e proteggere da “intrusioni casuali”, strettamente correlate
con la trasmissione in radiofrequenza. Infatti, le insicurezze
prevedono comunque un attacco mirato, per il quale, come nelle
infrastrutture cablate, è bene seguire un approccio globale alla
sicurezza.
91
Di fatto, lo standard fornisce un sistema di cifratura e autenticazione e
di comunicazione crittografata tra client e access point. La prima (e al
momento unica) versione delle specifiche utilizza una chiave a 40 bit
oppure una da 128 bit (il supporto è opzionale, per cui non tutte le
implementazioni la prevedono).
La chiave è comunque di tipo statico e deve essere gestita
manualmente per ciascun client e punto di accesso, rivelando
immediatamente la natura della vulnerabilità. Di fatto, è impossibile
modificare una chiave statica manualmente in modo da renderne
inutile l’intercettazione, come avviene, invece, per le chiavi dinamiche
“usa e getta”. Ma in nessun caso si può ipotizzare di applicare un
“normale” ciclo di vita di una chiave che si misura in “minuti” e non
certo in giorni. Inoltre, rispettivamente tutti i client e gli access point
di una rete condividono la stessa chiave (che a causa dell’impegno
gestionale spesso non viene mai modificata), per cui basta
individuarne una per aprire le porte di tutta la rete.
La semplicità del meccanismo è spiegata dalle iniziali intenzioni di
realizzare un sistema che potesse adattarsi a molteplici installazioni,
con lo scopo di promuovere una tecnologia allora agli inizi. Di fatto, il
WEP è nato prima della ratifica definitiva dello standard 802.11, per il
quale si è dimostrato poi insufficiente. Il fine primo, del resto, era
crittografare le comunicazioni, in modo che non si potesse
decodificarne il contenuto una volta captato il segnale radio. Per
questo, il WEP adotta l’algoritmo di encryption simmetrico RC4, che è
ampiamente diffuso e supportato da molte applicazioni e servizi di
rete, tra cui SSL. Tale algoritmo opera a livello 2 della pila OSI.
Oltre
a
RC4,
il
WEP
adotta
anche
un
meccanismo
di
challenge/response/challenge (CRC), crittografato all’interno del
payload, per proteggere l’accesso alla rete, e un vettore di
inizializzazione (Initializing Vector – IV) di soli 24 bit.
Lo standard non affronta, però, le modalità con cui la chiave condivisa
viene definita e, in pratica, nella maggior parte delle installazioni
viene utilizzata una singola chiave condivisa tra tutte le stazioni
mobili e gli access point. Quando vengono trasmessi messaggi con un
inizio comune (per esempio “from” seguito da un indirizzo, per gli email) la parte iniziale del “payload” cifrato sarà uguale se viene usata
92
la stessa chiave. La vulnerabilità del WEP è dunque legata alla
dimensione limitata del vettore di inizializzazione e al fatto che la
chiave resta statica. Con soli 24 bit a disposizione, infatti, il WEP alla
fine si trova a dover utilizzare lo stesso IV per differenti pacchetti dati
e, nel caso di grosse reti, questa ricorrenza può avvenire entro tempi
di solo un’ora circa. Ne consegue la trasmissione, in intervalli di
tempo breve, di frame con keystream troppo simili, che possono
consentire di individuare la chiave segreta comune, conducendo alla
decifrazione di qualsiasi frame 802.11 trasmesso.
Il problema principale del WEP, dunque, appare essere la
condivisione della chiave, perché al crescere del numero di utenti
della rete, aumenta esponenzialmente la possibilità che venga
trafugata, persa o abusata tale chiave. Del resto, anche se superata
dall’esplosione degli attacchi virus e di altro tipo provenienti da
Internet, la percentuale di violazioni alla sicurezza provenienti
dall’interno dell’azienda è ancora molto alta. Peraltro, una più sicura
implementazione del WEP richiederebbe un carico di lavoro manuale
insostenibile in una realtà anche di medio piccole dimensioni e
ovviamente impraticabile in grandi imprese. Per non parlare di
applicazioni pubbliche, dove è impensabile che il client venga
configurato centralmente.
WPA, WPA2 e 802.11i
Lo sforzo di creare uno standard in grado di fornire migliori
caratteristiche di sicurezza per le reti wireless ha originato l’avvio del
progetto IEEE 802.11i, uno standard indirizzato a definire funzioni di
sicurezza più stringenti per le WLAN. Tuttavia l’evoluzione di questo
standard è proceduta con estrema lentezza e, anche per questa
ragione, la Wi-Fi Alliance nel 2002 creò il Wi-Fi Protected Access
(WPA) come alternativa al WEP.
Il WPA utilizza lo stesso algoritmo di cifratura del WEP (RC 4) ma
adotta uno schema di gestione più forte delle chiavi implementando il
Temporal Key Integrity Protocol (TKIP). Il TKIP usa un vettore di
inizializzazione a 48 bit anziché a 24 bit e provvede a modificare
automaticamente e in modo trasparente per l’utente, le chiavi di
cifratura e il valore dell’IV, impedendo il riutilizzo dello stesso
93
keystream. Il WPA ha costituito un subset del 802.11i, rappresentando
una sorta di standard di sicurezza ad interim in attesa del suo rilascio
definitivo avvenuto il luglio scorso.
Con la ratifica dell’802.11i è arrivato anche il rilascio da parte della
Wi-Fi
Alliance
della
seconda
versione
del
WPA,
siglata
semplicemente WPA2.. La principale differenza tra WPA e WPA2 è
che quest’ultimo utilizza una tecnica di cifratura più sofisticata
denominata AES (Advanced Encryption Standard), che risulta anche
compatibile con i requisiti governativi di sicurezza FIPS140-2. Questo
algoritmo fornisce non solo una cifratura più resistente, con capacità
di negoziazione crittografica, ma anche l’uso di chiavi dinamiche, che
vengono generate per ogni sessione.
Tutti i prodotti certificati Wi-Fi per WPA2 sono basati sullo standard
IEEE 802.11i e mantengono l’interoperabilità con quelli certificati
WPA. In particolare, alcuni prodotti WPA potrebbero essere
aggiornati a WPA2 mediante software, mentre altri potrebbero
richiedere un cambiamento dell’hardware, a causa dell’elevata
richiesta elaborativa associata al sistema di cifratura AES.
La seconda versione del WPA, come la precedente, utilizza per
l’autenticazione i protocolli 802.1X ed EAP (Extensible Authentication
Protocol). Analogamente a quando accadeva per il WPA, inoltre, i
prodotti che utilizzano la modalità WPA2 non sono in grado di
supportare contemporaneamente i dispositivi WEP.
Per ora, in ogni caso, il WEP resta un elemento base per i test di
interoperabilità per tutti i prodotti certificati Wi-Fi. Con il tempo, la
Wi-Fi Alliance ha fatto sapere che potrebbe abbandonare il WEP come
requisito per la certificazione Wi-Fi.
La sicurezza del sistema di fonia
Se consideriamo la realtà esistente, quello che si nota è che si è in
presenza di una larga parte delle reti aziendali che è ancora di tipo
tradizionale e cioè con la rete di fonia e la rete dati sostanzialmente
separate in termini fisici o funzionali, ognuna con le sue linee dedicate
e i suoi apparati. A questa situazione di fatto, si sta sostituendo
progressivamente una realtà costituita da reti convergenti che
94
gestiscono sulle stesse infrastrutture fisiche e con i medesimi apparati
nodali sia le applicazioni di fonia (voce, video, contact center e così
via) sia le applicazioni dati afferenti al sistema IT. Questo però appare
essere solo un passo intermedio. Il punto di arrivo è costituito da
infrastrutture di comunicazione convergente che vengono a creare
una realtà “federata” di reti di diversa proprietà e caratteristiche,
dedite alla realizzazione di una comunicazione aperta e multimediale
tra applicazioni e persone comunque distribuite a livello territoriale,
di utenti fissi o mobili. L’esigenza di sicurezza già presente in una rete
tradizionale, ancora più necessaria in una rete convergente, diventa,
in questo contesto una condizione irrinunciabile.
Le criticità di una rete convergente
La sovrapposizione a una rete dati di un’applicazione voce espone le
relative applicazioni (dalla semplice fonia alle applicazioni CRM più
evolute) ai problemi di sicurezza già ampiamente noti per ciò che
riguarda le applicazioni dati, per esempio la riservatezza delle
comunicazioni, l’integrità dei dati trattati o l’impossibilità di erogare il
servizio stesso. Tre sono le aree di base coinvolte nel processo volto a
rendere sicura l’infrastruttura di rete:
•
l’infrastruttura aziendale;
•
le applicazioni di comunicazione interessanti la rete convergente;
•
gli accessi per manutenzione e servizi.
Tutti elementi dove entrano in gioco sia gli aspetti funzionali degli
elementi di una rete sia le loro caratteristiche in termini di flessibilità
costruttiva e livello prestazionale. La difesa dell’infrastruttura
aziendale può avvenire adottando un modello logico affermatosi nel
tempo consistente nel realizzare più livelli concentrici di protezione,
per esempio, livelli dedicati alla protezione delle risorse aziendali, al
controllo dell’accesso alle risorse mediante procedure di validazione
degli user, la protezione perimetrale di controllo dell’accesso alla rete
aziendale e la protezione perimetrale estesa, intendendo con questo la
protezione dell’accesso anche da punti esterni alla rete in senso stretto
e remoti rispetto al perimetro fisico della rete. Un tale approccio logico
95
presenta il vantaggio di permettere una razionalizzazione nella
definizione della sicurezza ma, soprattutto, di permettere in fase
progettuale di razionalizzare le funzioni che servono e rendere più
facile e schematica la valutazione delle funzionalità comprese nella
soluzione di rete proposta dai diversi fornitori presenti sul mercato.
La definizione e l’identificazione del perimetro sono ovviamente gli
elementi base per identificare i punti dove intervenire o dove porre gli
apparati o le funzioni atte a proteggerlo.
Per perimetro si intende generalmente l’insieme di tutti i circuiti di
rete o i nodi che ne controllano l’accesso. In una rete convergente
connessa al mondo esterno però il discorso è più ampio e finisce con il
coinvolgere non solo i circuiti dati della rete convergente ma anche
tutto l’insieme di circuiti commutati esterni tramite i quali si permette
a una utenza remota l’accesso a servizi IT tramite il transito sui circuiti
logici della rete convergente aziendale, per esempio tramite il classico
modem o la rete Internet. A questo livello, la politica di protezione
può basarsi sull’utilizzo di appliance di controllo dell’accesso, di
firewall dipartimentali, di firewall distribuiti, nella definizione di
domini riservati, ognuno con i suoi strumenti di sicurezza e nella
definizione di VLAN sicure, con una attenzione particolare alle
Wireless Lan. Queste ultime costituiscono uno degli elementi critici di
un sistema di rete aziendale, perché gli utenti che ne fanno parte sono,
per definizione, liberi di spostarsi da un’area all’altra della rete,
travalicare domini (o essere abilitati in più domini) o spostarsi
all’interno di aree fisiche protette al contorno ma non all’interno, per
esempio i Data Center. I modi per proteggersi esistono ma richiedono
che a livello di rete (e cioè nei nodi che la costituiscono) siano
disponibili le relative funzionalità. Tra queste, per esempio:
•
la possibilità di disporre di chiavi variabili sessione per sessione e
per singolo user;
•
la disponibilità di filtri di controllo dell’accesso;
•
la disponibilità di strumenti WEP o WEP 128;
•
la disponibilità dell’Extensible Authentication Protocol (EAP)
abbinato a un livello di trasporto sicuro (Tunneled Transport
Layer Security);
•
server di autenticazione di back-end RADIUS.
96
Suddivisioni perimetrali di una rete e funzioni di sicurezza
Se dal perimetro aziendale si passa al perimetro esteso, la metodologia
tipica di protezione consiste nella realizzazione (con la relativa
disponibilità della funzione sugli apparati di rete) di sessioni VPN
sicure, generalmente basate sull’adozione dello standard IPSec. La
disponibilità di funzioni VPN e IPSec permette di attivare e abilitare
gli accessi remoti ma è però opportuno si abbini alla disponibilità di
strumenti di gestione che permettano di operare non solo a livello di
singolo utente ma che con un buon grado di scalabilità, idealmente
dal singolo accesso SOHO sino alla fascia del carrier, dove serve per
esempio, poter operare con profili per gruppi di utenti in base alle
loro caratteristiche di utilizzo. La protezione della rete convergente
non è però tutto. Vanno protette anche le applicazioni. Per ciò che
concerne, per esempio, la telefonia, esistono già metodi classici di
logging delle sessioni e di auditing che permettono di impedire
intrusioni indesiderate. Discorso diverso è però con la fonia su IP,
dove la conversazione viene trasformata in pacchetti e quindi soggetta
alle stesse criticità di una applicazione dati.
Gestire la sicurezza del VoIP in ambienti SIP
Il Session Initiation Protocol (in sigla SIP) si è ormai conquistato un
posto di primato come standard di segnalazione per il voice over IP
97
(VoIP), l’IP video e la collaborazione in tempo reale. L’affermazione di
questo protocollo alimenta, da parte del mercato, la richiesta della
disponibilità di servizi in tempo reale di classe business e questo
significa garantire la sicurezza. Le soluzioni utilizzate per proteggere
applicazioni di tipo tradizionale, quali e-mail e browser Web, possono
fornire una protezione solo parziale nel caso in cui vengano applicate
alle applicazioni SIP. Le minacce possono comprendere attacchi di
Denial of Service (DoS) che prevedono l’invio di pacchetti per
sovraccaricare il servizio e impedirgli di elaborare le richieste
legittime. Nel caso di un ambiente SIP gli attacchi DoS possono essere
portati sia a livello di trasporto (per esempio rispetto alla connessione
TCP) sia di applicazione indirizzandosi al canale di segnalazione (SIP)
e a quello media (RTP). Altre minacce provengono dalla possibilità di
intercettazione, dato che la maggior parte del traffico VoIP viene
trasmesso senza prevedere alcun tipo di cifratura, dallo spoofing (in
cui una persona o un programma si maschera per sembrare quello che
non è), dal furto di servizio in cui si usufruisce di un servizio evitando
di pagare il corrispettivo dovuto.
Altre vulnerabilità riguardano gli attacchi indirizzati a compromettere
l’integrità della comunicazione, intercettando in tempo reale i
pacchetti e modificandoli in vario modo. Non da ultimo vanno
ricordati i virus che possono compromettere la configurazione dei
telefoni VoIP e danneggiare i server VoIP che, per la maggior parte,
poggiano su sistemi operativi comuni.
Tutti questi tipi di minacce sono caratteristici dei servizi basati su IP e
non specifici del protocollo SIP. Tuttavia esistono almeno due
caratteristiche
specifiche
di
questo
protocollo
che
rendono
particolarmente complesso garantirne la sicurezza.
La prima è che i servizi VoIP e quelli in tempo reale sono molto più
sensibili alla latenza, ai fenomeni di jitter e alla perdita di pacchetti
rispetto ad altre applicazioni IP. Se un ritardo di qualche secondo può
non essere avvertito in applicazioni di e-mail o Web browsing, nel
caso del VoIP anche un piccolo ritardo distrugge la qualità della
chiamata. I meccanismi di sicurezza possono addirittura incrementare
il rischio di ottenere prestazioni non accettabili poiché introducono un
ritardo nel flusso di pacchetti: tanto maggiore il livello di sicurezza
98
tanto maggiore il ritardo introdotto. La seconda caratteristica è la
natura dell’architettura a doppio percorso del SIP. A differenza della
maggior parte delle applicazioni in cui il traffico per il controllo e
quello dei dati condividono un singolo protocollo (per esempio HTTP
per il Web o SMTP per l’e-mail) e un singolo percorso di rete end-toend, le applicazioni SIP coinvolgono almeno due percorsi e due
protocolli (il SIP per la segnalazione e RTP per il media).
Per queste ragioni, le soluzioni di sicurezza per gli ambienti SIP
devono mantenere una visione coordinata di entrambi i flussi di
traffico. Inoltre, va ricordato che le soluzioni che difendono il VoIP e
le altre applicazioni da attacchi che operano a basso livello non
fermano gli attacchi a livello applicativo mentre, parallelamente, le
misure che intervengono a livello di applicazione che sono in grado di
proteggere protocolli quali HTTP e SMTP sono irrilevanti per il VoIP.
99
5 - Gestione delle minacce e data
protection
È pratica consueta riferirsi all’insieme delle tecniche di autenticazione,
autorizzazione e accounting come alle “3A”. Il motivo di questo
accostamento non risiede semplicemente nella condivisione della
lettera iniziale, nonostante il forte gusto statunitense per il gioco degli
acronimi, ma piuttosto nel ruolo coordinato e sinergico che questi tre
aspetti della sicurezza IT rivestono all’interno del processo di
protezione dei dati e dei servizi aziendali. Questi concetti riassumono
le procedure e le funzioni necessarie per lo svolgimento di molti dei
processi di sicurezza che avvengono sul Web. In un contesto di
accesso geograficamente distribuito alle risorse informatiche è
indispensabile, infatti, trovare dei metodi e delle regole in grado di
garantire e proteggere il corretto svolgimento delle operazioni tra le
parti che scambiano informazioni.
Le 3A sovrintendono proprio a questo tipo di funzioni. Più in
particolare l’autenticazione è il processo per garantire in modo
univoco l’identità di chi si appresta ad accedere alle risorse,
l’autorizzazione definisce i privilegi di cui dispone questo utente,
mentre l’accounting si riferisce all’analisi e alla registrazione
sistematica delle transazioni associate a un’attività di business sul
Web. La sicurezza di questi processi viene assicurata da una serie di
tecnologie e procedure che si appoggiano su protocolli e standard e
che costituiscono l’argomento di questo capitolo.
Implementare un sistema di autenticazione
I trend che alimentano il mercato delle tecnologie di autenticazione
sono molteplici. Innanzitutto va considerata la continua espansione
dell’accessibilità alle informazioni, legata alle nuove categorie di
lavoratori mobili e da remoto nonché alla progressiva apertura del
100
network delle grandi aziende verso partner e clienti. Inoltre cresce il
numero di informazioni critiche e, conseguentemente, delle misure
necessarie per controllare il loro accesso. A questi va aggiunta quella
che si potrebbe definire come la “crisi delle password” ormai
definitivamente abbandonate da tutti i principali fornitori di
tecnologie in cerca di soluzioni più affidabili e meglio gestibili.
A controbilanciare questi argomenti concorrono aspetti quali i lunghi
tempi di implementazione (trattandosi spesso di soluzioni che
coinvolgono un grandissimo numero di utenti), i costi associati alla
realizzazione di infrastrutture dedicate, ma anche la giustificazione
dell’investimento rispetto ad altri ambiti tecnologici e di business, in
un momento in cui i budget scarseggiano. Resta in ogni caso il
dilemma della scelta del sistema e della tecnologia da adottare tra i
molti possibili e disponibili sul mercato, che variano dall’adozione di
certificati digitali, alle smart card, ai token di vario tipo, alle
credenziali virtuali o alle password, fino ad arrivare ai sistemi
biometrici.
La risposta a quest’esigenza risiede nella valutazione di una serie di
motivazioni che devono tenere in considerazione gli aspetti specifici
di ogni azienda e dei suoi processi di business. Come sempre non
esistono ricette uniche ma, di seguito, cercheremo di fornire alcuni
spunti metodologici per orientarsi meglio in questo processo
decisionale.
Il primo e fondamentale punto è quello di riconoscere che
l’individuazione di una soluzione di autenticazione rappresenta un
compromesso tra costi, sicurezza e praticità d’uso e che, pertanto, ogni
decisione in merito dovrebbe essere presa come risultato di un’analisi
di questi tre aspetti. La cosa è complicata dal fatto che si tratta di
parametri generalmente antagonisti fra loro: incrementare il livello di
sicurezza determina costi proporzionalmente crescenti e una
riduzione della flessibilità e semplicità d’uso perchè richiede
l’adozione di strumenti, procedure e tecnologie.
Un approccio metodologico dovrebbe partire da una metrica correlata
a tali aspetti, inizialmente da un punto di vista qualitativo delle
implicazioni
e,
se
possibile,
successivamente
101
anche
di
tipo
quantitativo. Per esempio è possibile individuare tutti gli aspetti
significativi e correlarli attribuendo loro un indice numerico.
Anche se a qualcuno potrebbe sembrare un esercizio un po’
accademico, l’adozione di una metodologia di questo tipo (o di altro
analogo) permette di chiarirsi le idee su domande di difficile risposta
quali: di quanta sicurezza ho effettivamente bisogno?
Non da ultimo, permette di facilitare la comprensione di determinate
scelte tecnologiche anche da parte di chi mastica più il linguaggio del
budget che quello tecnologico.
Affrontare l’aspetto dei costi significa, ovviamente, considerare il
Total Cost of Ownership della soluzione, che comprende non solo i
costi di acquisizione, ma anche e soprattutto quelli di deployment e
operativi, che vanno associati alle tecnologie, al personale, ai processi
e alla struttura.
Eseguire un’analisi degli aspetti di sicurezza e praticità è, invece, il
risultato di una valutazione strategica difficilmente ingabbiabile in
regole. Tuttavia è possibile almeno separare gli aspetti legati al valore
di una soluzione di autenticazione rispetto agli utenti e all’azienda.
La praticità e la semplicità d’uso, per esempio, dipendono, in
generale, dalla tipologia di utenti che si stanno considerando e
cambiano a secondo che si tratti di partner, dipendenti o clienti.
Accanto alla complessità di apprendimento va considerata anche la
praticità di utilizzo, che può inibire il suo impiego.
Anche gli aspetti legati alla trasportabilità della soluzione di
autenticazione (indice importante della sua flessibilità) possono essere
sensibilmente differenti in funzione della tipologia di utente e sono
spesso legati a doppio filo con i costi. Per esempio, l’adozione di
soluzioni che richiedono la presenza di un software sul lato client
possono limitare l’accessibilità da aree esterne quali le filiali aziendali,
un hotel o un chiosco pubblico.
Un altro esempio può essere quello di soluzioni di autenticazione che
sfruttano dispositivi mobili e che possono essere condizionate
dall’area di copertura del servizio. Un ulteriore valore per l’utente
può essere la versatilità. A volte il sistema di autenticazione può
essere costituito da un dispositivo specifico, ma in altri casi può
combinare in un unico dispositivo una pluralità di funzioni: sistema
102
di autenticazione, documento di identità dotato di foto, strumento di
memorizzazione di dati e così via.
Dal punto di vista della valenza strategica per l’azienda l’elemento
primario da considerare è la sicurezza relativa, che deve tenere conto
del livello di protezione offerto dal sistema di autenticazione, della
sicurezza della sua implementazione, dall’adeguatezza a proteggere la
tipologia di informazioni per cui lo si vuole utilizzare e anche della
garanzia di compatibilità con la normativa. A ciò va aggiunta la
possibilità di integrazione all’interno dell’infrastruttura esistente e
l’interoperabilità con i sistemi di back-end. In una valutazione non va,
infine, trascurata la possibilità di lasciarsi aperte opzioni per le future
evoluzioni tecnologiche.
La crittografia
La crittografia è la scienza che si occupa di studiare e mettere a punto
una serie di strumenti che hanno lo scopo di mantenere la segretezza
di dati che non si intende diffondere pubblicamente, impedendo la
loro divulgazione al di fuori di una schiera ristretta di persone. La
crittografia rappresenta uno strumento efficace per proteggere i
messaggi scambiati durante una comunicazione, sia per evitare
possibili intercettazioni da parte di un intruso (minacce passive) sia
per proteggere i dati da possibili modifiche (minacce attive). Da un
punto di vista del business le funzioni di sicurezza garantite dalla
crittografia contribuiscono in modo significativo a estendere il livello
di protezione nel processo di gestione degli accessi, intervenendo nei
seguenti ambiti:
•
Autenticazione, che assicura che il mittente e il destinatario di un
messaggio siano quelli che affermano di essere;
•
Confidenzialità, che fa in modo che le informazioni siano
accessibili solo da chi è preposto a farlo;
•
Integrità, garantendo la non alterazione delle informazioni da
parte di persone non autorizzate;
•
Non ripudiabilità, impedendo a utenti di negare la paternità delle
informazioni trasmesse;
•
Identità, verificando l’associazione tra uno specifico individuo e
una risorsa o un’informazione;
103
•
Autorizzazione, che definisce i privilegi e le azioni permesse
rispetto a una specifica risorsa.
L’operazione che permette di celare le informazioni viene detta
cifratura o criptazione e la sua operazione inversa decifrazione,
mentre si distingue tra testo “in chiaro” (plain text) e “cifrato”
(ciphertext) per descrivere la condizione dei dati durante le due fasi
crittografiche.
Le tecniche di crittografia delle informazioni utilizzano sofisticati
algoritmi di tipo matematico per rendere incomprensibili i dati a un
utente non autorizzato e fornire nel contempo, a chi è autorizzato a
farlo, la possibilità di ricostruire le informazioni in un formato
comprensibile riconvertendo il testo cifrato in testo in chiaro. Lo
strumento alla base del processo di cifratura/decifrazione delle
informazioni è detto chiave.
I più antichi sistemi di cifratura si basavano sulla trasposizione delle
lettere dell’alfabeto. La crittografia moderna si basa ancora sui sistemi
di sostituzione e trasposizione, ma la sicurezza non è più affidata alla
segretezza dell’algoritmo di cifratura (i sistemi di crittografia moderni
sono, infatti, rilasciati con i codici sorgenti), ma a quella di una chiave
esterna.
L’identity management
La diffusione attraverso il Web o le reti aziendali di dati ad alto
valore, collegata a transazioni, all’accesso ad applicazioni e a processi
di business che prevedono il trasferimento di informazioni sensibili,
ha accresciuto l’importanza di possedere un’identità digitale sicura.
Disporre di un’identità digitale significa possedere credenziali che
consentono lo svolgimento di determinati compiti, abilitano l’accesso
a informazioni e servizi e permettono l’utilizzo di determinate
applicazioni.
Il parallelo tra l’identità all’interno di un concetto di rete enterprise
virtuale e il mondo reale è fin troppo ovvio. Appare quindi
immediatamente chiaro che una specifica identità digitale deve essere
associata a un unico utente; è inoltre auspicabile che uno specifico
104
utente possa disporre di un unico set di credenziali per accedere a
ogni tipo di servizio ed è altrettanto importante che un utente possa
disporre delle credenziali ogni volta che gli vengano richieste. In
questi processi la sicurezza rappresenta un requisito fondamentale.
Resta però il fatto che, in un mondo digitale caratterizzato dalla
distribuzione delle informazioni, dalla loro accessibilità virtualmente
da qualsiasi terminale connesso in rete, in uno scenario di sistemi
informativi eterogenei per tecnologia, protocolli e regole, gestire
un’identità digitale in modo da realizzare i requisiti di sicurezza,
unicità e affidabilità appena espressi, rappresenta un compito
tutt’altro che banale.
La prima osservazione che si può fare è che la gestione di un grande
numero di persone, sistemi, policy e privilegi differenti introduce
possibili cause di inefficienza, errori o compromissione della
sicurezza. Si deve poi considerare il fatto che soluzioni quali, per
esempio, CRM, ERP o la posta elettronica si sono spesso diffuse
all’interno delle aziende in relazione a specifiche esigenze e, dunque,
in modo separato le une dalle altre per quanto riguarda la gestione del
loro accesso. Pertanto le informazioni relative all’identità sono spesso
frammentate e distribuite attraverso molteplici sistemi.
Infine ci si deve confrontare con l’esigenza, da parte di diverse
funzioni aziendali (quali l’IT, la gestione delle risorse umane e la
sicurezza), di mantenere un certo grado di controllo e visibilità
rispetto ad alcune informazioni relative all’identità di un utente, quali
il tipo di attività svolta, i privilegi di accesso o l’indirizzo di posta
elettronica.
L’affermazione del concetto di Identity Management e delle
tecnologie a suo supporto nascono proprio da questa esigenza di
gestione efficace dell’accesso e di autenticazione mediante un’identità
digitale univoca. L’interesse per questa tematica è alimentato (e
alimenta a sua volta) dalla presenza in formato digitale di
informazioni critiche per il successo di un’azienda, dalla progressiva
affermazione dei Web service come modalità di erogazione di servizi
on-demand e dalla proliferazione di identità replicate.
Si capisce dunque che occuparsi di identity management non significa
parlare di un prodotto, ma di una serie di modalità, regole, processi
105
che si appoggiano su tecnologie e architetture specifiche e su
un’infrastruttura di supporto per la creazione, il mantenimento e
l’utilizzo di identità digitali. Pertanto, un unico tool o una singola
suite di strumenti non è in grado di risolvere tutti i problemi di
gestione dell’identità e dell’accesso.
Nella relazione che intercorre tra utente e fornitore di servizio
all’interno di un processo di Identity Management, l’utente deve
essere garantito in termini di sicurezza, affidabilità e tutela della
privacy. Da parte sua, il fornitore dei servizi deve predisporre un
sistema di autenticazione che consenta di potersi fidare dell’identità
dell’utente, deve esercitare un controllo costante attraverso sistemi di
gestione dell’accesso basati su regole ed effettuare un’attività continua
di verifica per assicurarsi che le regole vengano applicate in modo
corretto.
Il primo passo è il Single Sign-On
Va detto che nella sua accezione più completa, una soluzione di
identity management si adatta in modo particolare alle esigenze di
una grande azienda, in cui i vantaggi forniti possono essere
valorizzati e bilanciare i costi di implementazione. In aziende con un
grande numero di addetti, una soluzione di questo tipo permette, per
esempio, di mettere immediatamente a disposizione di un nuovo
impiegato tutte le risorse a cui ha necessità di accedere per il suo
lavoro in modo rapido e attraverso una gestione centralizzata nonché
di aggiornare o rimuovere immediatamente i criteri e i privilegi di un
utente che fuoriesce dalla azienda o che cambia mansioni.
Il primo passo verso la realizzazione di una soluzione di Identity
Management è rappresentato dalla disponibilità di Single Sign-On
(SSO) che realizza la possibilità di accedere, con un unico set di
credenziali, a tutte le applicazioni e i servizi a cui si ha diritto
all’interno di un dominio, nel pieno mantenimento dei criteri di
sicurezza e, per quanto possibile, in modo trasparente, delegando al
sistema la gestione di tutto il sistema di protezione.
L'idea di base è di spostare la complessità dell'architettura di
sicurezza verso il servizio di SSO, liberando così altre parti del sistema
106
da determinati obblighi di sicurezza. Nell'architettura di SSO, tutti gli
algoritmi di sicurezza vengono spostati all’interno di un server SSO
che agisce da unico punto di autenticazione per un determinato
dominio. Quindi un utente deve autenticarsi soltanto una volta, anche
se interagisce con una molteplicità di elementi sicuri presenti
all'interno dello stesso dominio.
Uno schema essenziale del processo di Single Sign-On
Il server SSO, che può essere anche un Web service, in un certo senso,
“avvolge” l’infrastruttura di sicurezza che sovrintende alla funzione
di autenticazione e autorizzazione.
Nello scenario più semplice l’utente contatta il server SSO e richiede il
token di autenticazione che lo identifica in quel particolare dominio.
Per ottenere il token deve prima fornire le corrette credenziali di
autenticazione e lo può fare in diversi modi, per esempio tramite
username e password, un certificato o altri metodi.
Il server SSO convalida le credenziali dell’utente utilizzando
l'infrastruttura di sicurezza disponibile e quindi invia il token che
l'applicazione di chiamata usa per autenticarsi rispetto ad altre
applicazioni. In questo esempio, il token rappresenta semplicemente il
mezzo di identificazione univoca dell'utente, valido per un certo
tempo, all’interno di un determinato ambiente e non trasporta alcuna
specifica informazione sull’utente stesso. Dopo che l'applicazione
107
invocata riceve il token, lo convalida inviandolo al server SSO che
provvede a effettuare i controlli necessari. La possibilità di incapsulare
le funzioni di autenticazione all’interno del server SSO semplifica
l’implementazione, il deployment e la manutenzione della soluzione
di sicurezza ed evita a tutti i componenti del sistema distribuito di
implementare singolarmente i meccanismi e le funzionalità necessarie
all’autenticazione. Inoltre migliora la sicurezza poiché evita la
distribuzione delle credenziali, che vengono inviate unicamente al
server SSO.
Nel caso in cui si stabiliscano accordi federati, l’autenticazione può
essere estesa al di fuori del singolo dominio, mentre le credenziali
restano all’interno di quel particolare dominio di sicurezza.
Verso un modello federato di gestione dell’identità
Da un punto di vista funzionale una soluzione di Identity
Management prevede una fase di autenticazione attraverso un
portale, un Web server o un application server. Questo deve dialogare
in modo opportuno con un server di tipo amministrativo che accede al
database delle identità contenente le informazioni utili per una
corretta gestione dell’utente.
Schema funzionale di un’infrastruttura di identity management
Gestire un’identità digitale attraverso le applicazioni distribuite in
Internet richiede una struttura di certificazione e una logica di
gestione delle credenziali dell’utente. La tendenza che si sta
affermando
per
affrontare
tale
108
questione
è
di
evolvere
progressivamente da un modello di tipo centralizzato verso uno di
tipo federato, in cui ogni struttura contiene il controllo sui dati dei
propri utenti e concorda di riconoscere come valide le credenziali
dalle strutture con cui decide di federarsi.
In un modello federato si stabilisce una relazione di partnership tra
diverse organizzazioni; ognuna di queste mantiene il controllo delle
informazioni di identità e delle preferenze dei propri utenti e
concorda di riconoscere come valide le credenziali di utenti prodotte o
autenticate dagli altri partner. Si crea, pertanto, un accordo di fiducia
tra diversi enti (che gli anglosassoni chiamano circle of trust) che
permette a un utente che dispone di credenziali ritenute valide da una
struttura, di utilizzarle in modo inalterato anche per l’accesso a ogni
applicazione resa disponibile dagli enti con essa federati.
In altre parole, in un modello federato del mondo, l'identità della
persona on line, il suo profilo personale, le configurazioni on line
personalizzate, le abitudini e la storia di acquisto e le preferenze di
shopping sono amministrati dagli utenti, tuttavia condivisi in modo
sicuro con le organizzazioni di loro scelta.
Gli utenti eliminano così lo svantaggio di accedere a siti Web, portali o
servizi, rivestendo, di volta in volta, ruoli differenti (impiegato,
cliente, membro di Comunità e così via) e con metodi differenti. Le
aziende possono contare su un processo efficiente, sicuro, per ridurre
la complessità, realizzare nuovi modelli di business e disporre di
nuove opportunità. Richiede, tuttavia, tra le aziende federate, una
stretta attività di collaborazione e l’adesione a “best practice” comuni.
Un esempio di questo tipo è quello realizzato da Microsoft attraverso
il suo programma .NET Passport. Nell’ottica di un’interazione più
slegata dal singolo fornitore, si inquadra invece il lavoro di Liberty
Alliance, un’organizzazione multi vendor che si propone di
promuovere modalità e specifiche per l’implementazione di soluzioni
di gestione dell’identità basate su un modello federato.
Identity management nei servizi mobili
La diffusione della tecnologia wireless, la disponibilità di nuovi
dispositivi trasportabili e miniaturizzati, caratterizzati da schermi a
colori e prestazioni elevate, lascia prevedere un prossimo sviluppo di
109
servizi basati sul “mobile browsing” e, di conseguenza, di sistemi di
profilazione dell’utente agevoli e sicuri.
Un sistema di identity management può essere utilizzato su
dispositivi mobili attraverso un tradizionale client “browser based”.
In questo caso il service provider che eroga il servizio non riesce però
ad avere la visibilità del fornitore di identità utilizzato dal client e
deve richiedere il suo inserimento in modo manuale oppure la sua
scelta all’interno di una lista. Nel caso, per esempio, in cui l’accesso ai
servizi avvenga all’interno dell’intranet aziendale e sia l’azienda
stessa l’identity provider, questa soluzione rappresenta una scelta
efficiente.
Se si considera la possibilità di erogazione di servizi verso un mercato
consumer allargato, è possibile utilizzare altre soluzioni. Per esempio,
nel caso in cui venga utilizzata un’architettura compatibile con le
specifiche messe a punto dalla Liberty Alliance, l’utente può utilizzare
un Liberty Enabled Client. In queste condizioni il sistema riconosce
che la richiesta di accesso al servizio proviene da un client abilitato e il
service provider è in grado di richiedere l’identità direttamente al
client che, a sua volta, reindirizza la richiesta all’opportuno identity
provider.
Il software client compatibile può essere implementato direttamente
all’interno del dispositivo mobile oppure all’interno di un elemento
della rete quale un HTTP Proxy o un gateway WAP. Chiaramente
quest’ultima modalità permette di implementare il servizio di identity
management in modo più agevole e veloce, ma in tal caso non è
possibile utilizzare le connessioni sicure TLS (TLS è la più recente
versione di SSL) o mantenere lo stesso profilo nei servizi di prossimità
a cui si accede, per esempio, attraverso una connessione bluetooth. È
anche possibile che l’uso di un browser tradizionale non sia in grado
di trattare URL che diventano troppo lunghi a causa dei molteplici
reindirizzamenti.
Il profilo dell’utente deve risiedere, comunque, parzialmente nel
dispositivo e parzialmente nella rete e quindi questi due profili
devono essere sincronizzati. È solo nel network, infatti, che possono
essere inclusi dati relativi alla presenza o alla localizzazione.
110
User provisioning e identity management
Nell’ambito dei servizi di directory la questione con cui devono fare i
conti le aziende è quella della presenza di un insieme di directory
frammentate e il consolidamento, in tal senso, rappresenta un passo
importante verso la creazione di sorgenti di dati affidabili.
La questione del provisioning si dovrà confrontare con una serie di
aspetti di tipo “politico” e legati all’integrazione su larga scala. Sarà
necessario confrontarsi con la disponibilità di soluzioni software
pacchettizzate a fronte della presenza di molte applicazioni specifiche
messe a punto internamente. Attualmente i sistemi di provisioning
non sono interoperabili e resta l’incognita di come gestire l’identità al
di fuori dei propri confini.
Sul versante dell’amministrazione delle identità, se è vero che la
disponibilità di tool per implementare funzioni di self-service e di
amministrazione delegata rappresentano un importante supporto, è
anche vero che l’amministrazione delegata è limitata in termini di
scalabilità e che, di fatto, non rappresenta una risposta ai problemi,
ma solo un loro trasferimento. In questo senso si dovrà attendere lo
sviluppo e la diffusione dei nuovi standard per la federazione e le
asserzioni di sicurezza.
La gestione dell’accesso richiede poi l’utilizzo di policy sempre più
efficienti e che siano, per quanto possibile, portabili.
La definizione dei ruoli, sebbene sia già a un buon livello, quando
richiede maggiore granularità diventa complessa e costosa da
garantire. Inoltre la questione della gestione dei diritti digitali e della
salvaguardia della privacy diventerà un aspetto sempre più
importante e imprescindibile che introdurrà ulteriori fattori di
complicazione. Un ulteriore aspetto che va affrontato è legato al fatto
che la maggior parte di queste tecnologie vengono fornite da diversi
vendor e si preannuncia, pertanto, una sovrapposizione di prodotti e
approcci, che trasferiranno sull’utente l’inconveniente di provvedere a
una corretta integrazione.
Al di là di queste considerazioni, appare chiaro che il mercato si sta
muovendo verso la ricerca di soluzioni di Identity Management e che
vi sia una progressiva focalizzazione verso l’interoperabilità e la
111
federazione. Tra le questioni in sospeso resta da vedere il grado di
interscambio delle diverse suite e la ricettività delle soluzioni di Single
Sign-On anche da parte di aziende di dimensione contenuta.
Internet e i cyber-criminali
Una volta c’erano gli hacker e il loro spirito goliardico. Lo stesso
termine “to hack”, nato negli anni Cinquanta al MIT di Boston
indicava un’innocua pratica illegale: sfidare i divieti di accesso ad aree
riservate per sfruttare i tunnel sotterranei come scorciatoie tra i
padiglioni
del
campus
universitario.
Uno
spirito
goliardico
testimoniato dalle firme nascoste nel codice e lasciate per acquisire
“gloria” quantomeno negli ambienti underground.
Dall’iniziale obiettivo di mostrare il proprio valore penetrando in
sistemi considerati inviolabili, il passaggio a un’attività criminale vera
e propria non è stato breve, ma si è ormai compiuto. È così cambiato
completamente il modo di approcciare la gestione delle minacce. In
passato a ogni nuovo codice maligno, a ogni nuova tecnica di attacco,
a ogni vulnerabilità veniva contrapposto un nuovo sistema di difesa,
ma si è infine compreso che l’escalation, quando ormai si era arrivati
agli “0 day attack”(la registrazione di un attacco il giorno stesso in cui
veniva annunciata una vulnerabilità), avrebbe solo fatto lievitare i
costi.
Poi è entrata in gioco la criminalità organizzata e ha cambiato le
regole: i professionisti del cyber-crime non divulgano le vulnerabilità
senza averle prima averle sfruttate, mentre gli attacchi sono diventati
sempre più “silenziosi” e spesso mirati.
Le tecniche, ormai di tipo completamente ibrido, combinano sviluppo
di codice con servizi di hacking (anche in modalità cloud) e con
attività di social engineering. Le contromisure diventano altrettanto
sofisticate, smettendo di limitarsi a rincorrere i “cattivi” e attuando
una massiccia prevenzione.
L’emergenza di nuove minacce nell’era del Web 2.0
Correva l’anno 2004 quando si iniziò a parlare di Web 2.0 durante una
sessione di brainstorming tra O’Reilly e la MediaLive International, in
112
cui Dale Dougherty, pioniere del Web e vice presidente di O’Reilly,
coniò questo termine per sottolineare l’evoluzione sempre più
marcata che stava prendendo piede nel Web con il proliferare
continuo di nuovi siti e applicazioni. Da allora il termine Web 2.0 è
stato accettato e il suo utilizzo si è diffuso a macchia d’olio, facendolo
diventare popolare tra i frequentatori del World Wide Web,
nonostante non esista una sua definizione univoca e ben definita ma
piuttosto un insieme di possibili applicazioni e aspetti caratterizzanti.
Ciò che è certo è che il Web negli ultimi anni si è evoluto e ha assunto
un nuovo ruolo per i suoi utenti rispetto al passato, passando da una
certa staticità a una maggiore dinamicità, che deriva dalle sue capacità
di strumento di collaborazione, condivisione, scambio, interazione,
comunicazione, partecipazione collettiva. Il Web è diventato il terreno
di incontro tra tutti gli abitanti del pianeta che hanno la possibilità di
collegarsi in Rete attraverso un computer o altri dispositivi che lo
permettono. Nel Web è possibile informarsi (Wiki), socializzare (social
networking), scambiare file (P2P networking), creare pagine di
opinioni personali (blog) e così via. Il Web è diventato un mondo
senza confini e aperto a chiunque voglia parteciparvi per portare il
proprio contributo. Purtroppo proprio questa apertura totale lo rende
un’attrattiva interessante per chi ha ben altri scopi, non del tutto leciti,
come gli hacker e chi, con metodi diversi ,cerca di compiere frodi a
danno degli utenti, spesso inconsapevoli dei pericoli che corrono.
Un aspetto di cui si continua a discutere riguarda la sicurezza dei dati
sensibili, non soltanto quelli degli utenti privati che condividono e
scambiano informazioni nel Web, ma anche a livello di aziende e
organizzazioni. Queste ultime potrebbero a loro insaputa subire fughe
di dati diffusi ingenuamente o inconsapevolmente dai propri
dipendenti, che spesso utilizzano il computer aziendale (magari un
notebook) anche per scopo personale di intrattenimento. Navigando
nei blog e nei siti di social networking gli utenti si espongono a diversi
pericoli.
Per esempio un tipo di minaccia legata inizialmente al mondo delle email, ma che ha trovato ampio terreno nel Web 2.0, sono gli attacchi di
phishing, che inducono gli utenti a inviare informazioni confidenziali
e password all’interno di una riproduzione fedele ma illegittima di un
113
sito Web. Questi siti di phishing, creati facilmente utilizzando le Rich
Internet Application (RIA), arrivano a trarre in inganno anche gli
utilizzatori più esperti. L’utilizzo delle RIA si è rivelato da un lato
estremamente vantaggioso, poiché rende più veloce l’esecuzione di
programmi attraverso il Web e sposta la maggior parte dei compiti di
elaborazione a livello di client. La presenza di un client eseguibile,
tuttavia può diventare facilmente un vettore per il trasferimento di
codici maligni e, in particolare, le RIA che utilizzano plug-in basati su
ActiveX risultano particolarmente vulnerabili.
Non solo le false riproduzioni di pagine Web possono rappresentare
una minaccia per l’utente, ma anche i siti legittimi possono diventare
pericolosi poiché in essi è possibile che malintenzionati inseriscano
malware all’interno di eseguibili XML, come è già successo per
esempio nel popolare sito di My Space o sull’home page del
Superbowl statunitense di qualche anno fa.
Un altro pericolo arriva dal video streaming. Attraverso la fruizione
di video on-line, per esempio dal sito di YouTube, è possibile che un
inconsapevole utente scarichi sul suo computer trojan horse, ovvero
programmi che potrebbero contenere codice dannoso in grado di
sottrarre dati confidenziali.
Un altro elemento di rischio può essere posto dai siti Web che
utilizzano la cifratura SLL (Secure Socket Layer). Infatti, molti sistemi
di sicurezza non esaminano il “tunnel SSL” all’interno del quale
vengono trasportati in modalità punto-a-punto i dati criptati,
rendendo il traffico SLL un possibile vettore da sfruttare per
predisporre azioni indirizzate alla sottrazione dei dati. L’utilizzo del
protocollo SSL in Web server predisposti da malintenzionati può
anche diventare un veicolo con cui trasportare trojan e bot al di là
della protezione del firewall e farli penetrare nella rete aziendale
protetta. Una volta installati i bot sono in grado di costruire reti di
collegamento tra computer che sfruttano analoghe sessioni SLL per far
fuoriuscire
informazioni
dall’azienda
o
per
introdurre
virus
informatici e trojan.
Da ultimo, ma non per importanza, va citato l’emergere dei botnet
(termine derivato da Robot), universalmente considerati una delle
principali minacce del momento. Si tratta di una rete di computer che
114
vengono di fatto “controllati” da un hacker, che li può utilizzare per
inviare un attacco o uno spam su grande scala, senza che l’utente del
computer si accorga di niente. Il fenomeno è in espansione e si
prevede che in futuro le botnet, e chi le governa, assumeranno il ruolo
di centrali distribuite di comando e controllo. In realtà, già oggi
esistono botnet disponibili a noleggio, come altri servizi di hacking a
pagamento.
Il calo dei virus e l’aumento dello spam
La riduzione del numero di virus in circolazione è sotto gli occhi di
qualunque utente di email. Se da un lato, come accennato, questo calo
si deve allo spostamento delle energie degli hacker verso attività più
redditizie, dall’altro non va dimenticato che ormai quasi tutti i pc sono
protetti
da
antivirus
costantemente
aggiornati,
che
riducono
significativamente le preoccupazioni e i danni. In effetti, sono oltre
200mila le varianti di virus attualmente in circolazione, ma i tool per
l’individuazione e la rimozione sono diventati accurati e largamente
disponibili.
Cresce invece lo spam, che secondo alcune fonti raggiungerebbe oggi
una percentuale pari all’80-90% del totale delle mail in circolazione. Il
costo associato è notevolissimo, sia in termini di tempo perso per
cancellare le mail sia perché lo spam rallenta i sistemi, intasando le
reti trasmissive. Lo spam deve il suo nome a una scenetta comica del
noto gruppo inglese Monty Python, ambientata in un pub equivoco
dove ogni pietanza era a base di “spice ham” (un prosciutto di
pessima qualità speziato per aggiustarne il sapore, in gergo appunto
“spam”), di cui veniva verbalmente sommersa una coppia di
malcapitati avventori.
Anche in questo caso, mentre inizialmente la maggior parte
dell’attività di spamming era costituita da email fastidiose ma
innocue, il cui scopo era un successo commerciale basato sulla legge
dei grandi numeri, oggi molti di questi messaggi sono veicolo di
codici maligni o contengono link a siti infetti o, comunque, fanno
parte di attacchi concatenati.
Per non essere individuati, gli spammer ricorrono a trucchi come
quello di utilizzare domini poco noti, cambiandoli con una rapidità
115
impressionante. Le tradizionali blacklist degli anti spam impiegano
circa 20 minuti per bloccare un sito, ma spesso il ritmo tenuto dagli
spammer nel modificare l’URL di invio è più rapido. Dato che
registrare un dominio costa pochi dollari, il vantaggio economico è
comunque notevole. Inoltre, utilizzano i nomi di dominio di piccole
isole, come quella di Man o quella minuscola di Tokelau, nel Pacifico,
un fenomeno noto come “spam-island hopping”. Senza contare che
esistono molti siti o reti poco protette di cui il sender di spam prende
possesso. Sono reti dormienti, che vengono utilizzate all’occorrenza.
Proprio l’Italia risulta tra i primi paesi per invio di messaggi spam, ma
in realtà sono appunto server zombie utilizzati da remoto finché non
vengono bloccati.
Il Phishing
Lo spam è dunque molto utilizzato per il phishing, termine con la
medesima pronuncia, ma storpiato nell’ortografia, dell'inglese
"fishing", pescare.
Si tratta di un sistema indirizzato a carpire dati personali e,
tipicamente, numeri di carta di credito, grazie alla collaborazione, in
buona fede, delle vittime della frode. Il sistema è, concettualmente,
molto semplice e perlopiù condotto via e-mail; il bersaglio si vede
recapitato un e-mail da parte di un’organizzazione o di una banca
nota, in cui lo si informa che, a causa di inconvenienti di vario tipo, si
sono verificati problemi relativi al suo conto oppure che un acquisto
da lui effettuato mediante la carta di credito non è potuto andare a
buon fine. L’utente viene, quindi, invitato a collegarsi a un sito in cui
inserire nuovamente i suoi dati, cliccando su un link contenuto
all’interno del messaggio di posta elettronica che, apparentemente,
corrisponde a quello del mittente del messaggio. Il sito è, ovviamente,
fasullo, ma replica in modo perfetto quello originario, in modo da
carpire le informazioni che è lo stesso utente a inserire.
L’e-mail, apparentemente, ha tutte le caratteristiche di un messaggio
“ufficiale” riportando logo, informazioni di copyright, slogan e
messaggi di marketing identici a quelli utilizzati tipicamente dalle
presunte aziende o banche mittenti. Spesso sono contenuti dati
personali carpiti magari attraverso siti di social networking, dando
116
l’impressione che effettivamente ci si trovi davanti a un messaggio
reale. I principali target di questo tipo di attacchi sono le banche e i siti
finanziari e, tra le organizzazioni prese di mira, vi è anche la casa
d’aste on line e-bay, che ha prontamente avvisato i propri utenti che
l’invio di messaggi di questo tipo non rientra nelle proprie modalità
operative.
Il contenuto delle mail può far riferimento alla necessità di inserire
nuovamente i propri dati per una verifica del proprio conto, al fine di
prevenire possibili frodi o di verificare che presunte violazioni che
hanno interessato l’organizzazione finanziaria non abbiano arrecato
danni allo specifico utente. Il tono può essere minimale, invitando a
eseguire operazioni che vengono descritte come di routine, oppure
più allarmista, sottolineando l’importanza e l’urgenza di collegarsi al
sito e reinserire i dati; è anche possibile che inviti l’utente a scaricare e
installare “security update” presenti in allegato al messaggio e
contenenti codice maligno. Sebbene, apparentemente, possa sembrare
un approccio ingenuo, il successo che ottiene questa tecnica è
sorprendente. Secondo i dati dell’Anti-Phishing Working Group,
organizzazione fondata nel Novembre 2003 che raccoglie oltre 400
membri in rappresentanza di 250 società, questo tipo di iniziativa
riscuote un consenso pari al 5% dei messaggi inviati. Trattandosi di email inviate in modo massiccio con modalità di spamming, si tratta di
un numero estremamente elevato.
Il phishing è in forte aumento e risulta tra le tipologie di attacchi più
sviluppati negli ultimi anni con tecniche che si affinano molto. Le
tecniche di social engineering, spesso adottate in abbinamento al
phishing, hanno visto aumentare la loro efficacia con la diffusione del
Web 2.0. Al successo di questo fenomeno si accompagna, secondo gli
addetti ai lavori, un aumento delle problematiche di sicurezza, prima
fra tutte il furto di identità: gli utenti si sentono fiduciosi e pubblicano
in rete non solo i propri dati anagrafici, ma anche svariate
informazioni sulla propria vita privata, tutti dati utili per truffe
mirate.
Peraltro, oggi i tool necessari per attività di spamming e phishing
sono pubblicamente disponibili su Internet e strumenti più sofisticati
sono comunque in vendita online, mentre è possibile acquistare
117
elenchi di indirizzi validi con milioni di nominativi per poche decine
di euro. Il successo dello spamming è dovuto proprio ai grandi
numeri: gli spammer vengono pagati pochi centesimi per ogni click
registrato su un sito da loro indirizzato, ma pochi centesimi per decine
di milioni di messaggi spediti fanno un sacco di soldi, pur
considerando basse percentuali di messaggi andati a buon fine.
Esistono anche varianti del phishing, come il “pharming” (che fa
riferimento alla manipolazione delle informazioni Domain Name
Server per reindirizzare l’utente in modo inconsapevole su siti Web
falsi), lo “spear phishing” (utilizzato per indicare attacchi indirizzati
in modo molto mirato a specifici target), lo “smishing” (che fa
riferimento ad attacchi portati sfruttando i servizi SMS disponibili sui
telefoni cellulari) e il “vishing” o “voice phishing (che sfrutta la
messaggistica vocale e, in particolare, il Voice over IP (VoIP), il cui
vantaggio per gli attacker è che offre garanzie ai truffatori di non
essere individuati poiché molti servizi telefonici via IP non prevedono
un preciso punto di partenza della chiamata).
Il social engineering
Può sembrare strano, ma uno degli strumenti più efficaci nella
compromissione della sicurezza informatica è condotto senza
l’utilizzo di strumenti informatici. Si tratta del cosiddetto “social
engineering”,
una
tipologia
di
attacco
indirizzata
a
carpire
informazioni sensibili attraverso l’uso del contatto umano, utilizzando
come complici inconsapevoli gli stessi obiettivi dell’attacco. Di fronte
a sistemi evoluti progettati per analizzare traffico sulle porte,
signature o anomalie di protocollo, il social engineering sfrutta una
delle
principali
vulnerabilità
nella
sicurezza
informatica
di
un’azienda: l’elemento umano.
Le motivazioni che inducono gli hacker all’utilizzo di tecniche di
social engineering sono molteplici. Innanzitutto si tratta di un metodo
più semplice rispetto alla violazione di un sistema e che non richiede
costi elevati o tool sofisticati. Permette, inoltre, di aggirare sistemi di
intrusion detection e non è influenzato dalla piattaforma operativa
utilizzata all’interno dell’azienda target.
118
I bersagli tipici sono rappresentati dal personale di help desk, dagli
addetti al customer service, da assistenti amministrativi, personale
vendite, sistemisti o tecnici. Questo perché, da un punto di vista
generale, i soggetti sono tanto più disponibili a fornire informazioni,
quanto meno sono direttamente coinvolti o interessati dalla richiesta.
Spesso, alle vittime di tali attacchi manca la consapevolezza del
rischio o anche solo l’interesse a discutere o esaminare le motivazioni
alla base di richieste che non sono direttamente pertinenti ai loro
compiti specifici.
Un attacco giunto a buon fine può fornire numeri di dial-in o
procedure di accesso remoto, permettere di creare un account o
modificare privilegi o diritti di accesso fino a determinare l’esecuzione
di programmi potenzialmente dannosi quali trojan horse. Questo tipo
di attacco può anche essere indirizzato a carpire informazioni quali,
per esempio, liste di clienti, dati finanziari, offerte associate a contratti
o informazioni riservate sui processi produttivi.I metodi utilizzati per
carpire informazioni sono vari e dipendono solo dalla fantasia
dell’attaccante.
Una tecnica è quella di raccogliere preventivamente una serie di
informazioni che possano fornire un pretesto credibile per la
costruzione di un attacco e permettano di guadagnare la fiducia di chi
subisce l’attacco. Tipicamente, infatti, il social engineering è una
tecnica preparata e costruita in step successivi e basata su una precisa
strategia, che preveda anche contro-argomenti in caso di possibili
obiezioni e vie di uscita ragionevoli per non bruciarsi il “lavoro”
svolto.
Va poi ricordato che, a differenza di un firewall informatico, l’essere
umano tendenzialmente è portato a fidarsi degli altri o ad avere
illusione che certe cose a lui non possano capitare. Spesso accade
anche che venga sottostimato il valore dell’informazione o si abbia
poca consapevolezza dalle conseguenze di azioni apparentemente
innocue.
Altre tecniche sono indirizzate a costruire un rapporto di fiducia
attraverso una serie di contatti ripetuti completamente innocui. Un
metodo molto efficace è quello di raccogliere una serie di piccole
informazioni che, singolarmente, non hanno utilizzo pratico ma che,
119
se considerate nel loro complesso, possono rappresentare una fonte di
informazione di valore elevato. Frammenti di informazione utili a tal
fine possono essere facilmente recuperabili da un hacker tramite i siti
Web, l’organigramma aziendale, attraverso newsletter o anche
documenti di marketing. Altre informazioni di carattere personale
possono essere ricavate da siti Web che contengono nomi di parenti o
di interessi specifici, a cui spesso un utente si ispira per elaborare le
proprie password.
Inoltre, poiché l’uomo è naturalmente curioso, altri “trucchi” sono di
lasciare supporti quali CD ROM o floppy contenenti codici maligni
presso specifiche postazioni sperando che vengano aperti ed
esaminati oppure inviare e-mail che invitano a visitare siti Web
potenzialmente dannosi.
Un
esempio
di
attacco
di
social
engineering
può
partire
dall’individuazione, da un documento di marketing, del nominativo
di una persona che ricopre una specifica carica aziendale. Telefonando
al centralino e chiedendo di essere messo in comunicazione con quella
persona (citando nome e cognome) è facile che si venga passati al suo
numero interno. Se la telefonata avviene in un giorno in cui questa
persona non è sicuramente in ufficio, per esempio perché dal sito Web
viene annunciata la sua partecipazione a un evento o a una
conferenza, non è infrequente poter recuperare il numero dell’interno
dal sistema di risposta automatica che invita a lasciare un messaggio.
A questo punto si dispone già di un numero di informazioni utili a
lanciare un attacco. Con un po’ di astuzia è possibile, per esempio,
ricavare informazioni riservate da un collega, ottenendo la sua fiducia
adducendo motivazioni di urgenza, la stretta conoscenza del contatto
“sfortunatamente” mancato e supportando le proprie affermazioni
con i dati in proprio possesso. Spesso basta conoscere anche solo
poche
informazioni
personali
di
un
individuo
per
lasciare
presupporre a qualcun altro una sua conoscenza approfondita.
Un’ulteriore fonte di informazioni è rappresentata dai rifiuti.
Documenti, bozze, annotazioni o anche nomi di piani e di progetti,
trovano
spazio
su
documenti
cartacei
che
vengono
gettati
nell’immondizia. Ancora più rischioso è gettare supporti di
memorizzazione danneggiati quali hard disk o sistemi removibili da
120
cui è sempre possibile ricavare informazioni parziali. Inoltre,
l’appropriazione dei rifiuti altrui non è, di per se stessa, una pratica
illegale.
Gli aspetti psicologici sono un elemento essenziale nel social
engineering. In generale un attaccante che utilizza queste tecniche può
essere individuato dal fatto che fa richieste fuori dall’ordinario o
adotta comportamenti anomali, quali manifestare estrema urgenza in
modo immotivato, utilizzare toni autoritari o intimidatori, offrire
aiuto per risolvere un problema sconosciuto o citare il management
come ente autorizzatore della richiesta. Particolari condizioni
lavorative possono aumentare il rischio associato a tali attacchi. Per
esempio, una forte pressione a svolgere i lavori in tempi rapidi, la
presenza di uffici distribuiti in varie località o l’utilizzo di personale
esterno all’azienda, sono tutti elementi che possono contribuire a
facilitare le condizioni affinché un attacco di social engineering abbia
successo.
L’unico sistema per proteggersi efficacemente è quello di aumentare
la cultura della sicurezza in azienda, in modo che questa non sia
percepita come una perdita di tempo o un ostacolo all’attività
lavorativa, predisponendo procedure apposite per la gestione delle
informazioni e la loro classificazione e mettendo a punto policy per la
“pulizia” della postazione di lavoro. La contromisura più efficace
resta quella di attivare sessioni di addestramento indirizzate alla
consapevolezza dell’importanza della sicurezza e dei possibili rischi
associati a comportamenti superficiali.
Il furto di identità
La cronaca, a onor del vero, dà maggior risalto a fenomeni di massa,
come i vari worm o pseudo tali che di tanto in tanto riescono a
perforare le difese diffondendosi in tutto il mondo, ma le attività
realmente criminali si concentrano su altri fronti: primo fra tutti il
furto di identità.
Rubare l’identità di qualcun altro significa riuscire a raccogliere
sufficienti informazioni al fine di spacciarsi per lo stesso, ad esempio,
per commettere frodi, aprire conti correnti, navigare su siti
pornografici, carpire dati aziendali riservati o quant’altro. Alle volte lo
121
scopo è indiretto, come nel caso dei database costituiti illegalmente
tramite strumenti di spamming.
Un’identità può essere utilizzata per sferrare attacchi contro terzi o
frodarli, con il rischio di dover anche affrontare spese legali per
dimostrare la propria innocenza.
Oltre al phishing, un metodo molto in voga per reperire/rubare
informazioni è collegato all’utilizzo di programmi cosiddetti spyware,
il cui scopo è quello di registrare il comportamento di navigazione,
esplorare il disco rigido, esportare dati raccolti, intercettare posta
elettronica o file, catturare dati immessi in sistemi Web (per esempio
con i keylogger, che memorizzano i tasti premuti) e altro ancora. Con
uno o più strumenti del genere è possibile “assemblare” sufficienti
dati per mettere insieme l’identità di un individuo.
Verso il Web 3.0
Ancora molti devono capire cos’è il Web 2.0 e si parla già della terza
ondata: il Web 3.0. Secondo la definizione di taluni, questo sarà
caratterizzato dall’interazione tra macchina e macchina. Non è un
futuro poi così lontano, già oggi esistono, per esempio, sistemi di
controllo di impianti industriali collegati a sensori che rilevano
determinati parametri. Quando questi ultimi superano una soglia
parte un allarme e il sistema di controllo genera un’azione
corrispondente. La possibilità di utilizzare la rete IP e Internet in
particolare per attuare una soluzione del genere è già stata presa in
considerazione. Ancora una volta, sono le problematiche di sicurezza
che faranno la differenza. Quali saranno le sfide del futuro per le
aziende che si occupano di sicurezza, una cosa è certa: non possono
continuare a giocare a nascondino con i “ragazzi cattivi”. Un rincorsa
senza sosta da una minaccia a un nuovo rimedio non ha senso. È
necessario modificare le regole del gioco: cambiare approccio e
anticipare le mosse dell’avversario, scendendo sul suo stesso terreno e
partendo dagli obiettivi che si pone.
122
La gestione delle minacce
Se ogni volta che si entra nel Web e si utilizzano applicazioni Webbased si corrono dei rischi, ci si domanda come possano difendersi le
aziende senza eliminare del tutto l’accesso in rete, che sembrerebbe
una soluzione alquanto limitativa per non dire paradossale in
quest’epoca. Senza contare la necessità d’interazione e collaborazione
con sempre nuovi e sofisticati strumenti.
Tutte le aziende attualmente utilizzano filtri anti-virus, anti-spam,
firewall o soluzioni più complesse e unificate di protezione dalle
minacce, ma, oltre a queste, è necessario che i professionisti IT
stabiliscano policy di controllo per gli utenti che siano allo stesso
tempo di vasta portata ma granulari.
È altresì importante che gli addetti alla sicurezza IT esercitino un
attento controllo a livello di protocollo su applicazioni RTSP (Real
Time Streaming Protocol), MMS (Multimedia Messaging Service), IM
(Instant Messaging), SSL e P2P (Peer to Peer) per identificare e
bloccare le minacce. È anche necessario un aggiornamento continuo
sulle più attuali tecniche di phishing e l’impegno a diffondere tra i
dipendenti una cultura sulla sicurezza e, quindi, sulle principali
modalità di attacco in cui possono incorrere, così che si rendano
consapevoli dei rischi che possono arrecare all’azienda ogni volta che,
per esempio, accedono al Web o si collegano a un link inviato da email sospette al proprio indirizzo di posta.
Non va però dimenticato che spesso l’utente poco consapevole non è
in grado di discriminare tra le diverse tipologie di malware. Un
“adware”, sebbene a tutti gli effetti costituito da codice che esegue
compiti non richiesti, ha come unica conseguenza di proporre (a volte
in modo insistente) messaggi pubblicitari e non è sullo stesso piano di
pericolosità di uno “spyware” che raccoglie informazioni sul numero
di carta di credito. Il risultato è che, spesso, l’utente fa fatica a trovare
un compromesso tra le prestazioni del suo computer (magari
eccessivamente vecchio) e il livello di sicurezza e rischia di effettuare
troppi oppure troppo pochi controlli. Affidarsi esclusivamente alle
pre-configurazioni proposte dai software è un approccio possibile che
però non risolve il problema, per i limiti intrinseci legati alle
123
prestazioni e alla tecnologia della macchina su cui è installato. Per
esempio, il numero di “firme” per l’individuazione di malware che
possono essere ospitati nel database di un tool locale non può
superare cinque o seicentomila a fronte di un numero complessivo di
codici dannosi individuati che si aggira, attualmente, a un milione e
ottocentomila.
Per queste ragioni anche per il mercato consumer, accanto ai prodotti
antivirus e firewall, cominciano a fare capolino soluzioni per la
prevenzione delle intrusioni e servizi di scansione effettuati attraverso
Internet. Esistono oggi strumenti basati sui dati che provengono da
tutto il mondo ai laboratori di ricerca e che consentono di effettuare
rilevazione dei codici maligni sfruttando nuove tecnologie di
individuazione quali l’analisi dei comportamenti.
La protezione degli endpoint
L’avvento di nuovi modelli di business che aprono le aziende verso
clienti, partner e fornitori, ha reso progressivamente più complicato
riuscire a definire in modo netto il perimetro della rete aziendale.
Inoltre, sotto la spinta del mobile computing, sono aumentati
notevolmente il numero di utenti remoti, le piattaforme e metodologie
di accesso, il numero e la varietà dei terminali per la connettività
(laptop, desktop, PDA, smart phone e così via).
Una delle immediate conseguenze di questo processo è il fatto che i
manager e gli amministratori IT si trovano sempre più spesso
impegnati a rispondere alla sfida di mantenere sicuri gli endpoint
spostando la loro attenzione dalla protezione del perimetro dagli
attacchi esterni realizzata attraverso, principalmente, soluzioni
firewall o di IPS. La presenza di endpoint insicuri costituisce un
grosso elemento di vulnerabilità tanto che, in molti casi, gli utenti con
accesso autorizzato pongono più rischi di quelli che devono
compromettere un firewall per entrare in rete.
In modo un po’ provocatorio, ma non troppo distante dal vero, si può
dire che gli endpoint si trovano “sempre” in condizioni di
vulnerabilità ed esposti a infezioni.
124
Tra i problemi che contribuiscono a rendere insicuri gli endpoint vi
sono la mancanza di aggiornamento alle patch critiche del sistema
operativo o delle applicazioni, la presenza di “signature” scadute per
il riconoscimento di virus, la mancanza di un firewall software o una
sua cattiva configurazione.
Inoltre, le nuove tattiche di attacco sono ormai in grado di infettare la
rete senza alcun coinvolgimento da parte dell’utente. Succede, perciò,
che anche un laptop solo occasionalmente connesso e compromesso
con un worm è in grado di arrecare danni alla rete interna non appena
si collega così come un dispositivo mobile di un dipendente che si
connette attraverso una porta Ethernet della rete corporate è in grado
di infettare l’intero network. Prevenire questo tipo di rischi richiede
l’utilizzo di strumenti automatici per garantire il rispetto delle regole
aziendali; altri temi da affrontare per predisporre una protezione
adeguata rispetto a questo tipo di minacce sono la messa a punto di
meccanismi di tutela nel caso di furto del pc. Le tecnologie utilizzate
solitamente prevedono un controllo e successivamente un blocco della
connessione al network nel caso in cui vengano individuate,
attraverso
un
opportuno
sistema
di
scansione,
carenze
nel’applicazioni delle regole di protezione. Tuttavia, se le indicazioni
del sistema di scansione giungono dopo che è già stata stabilita una
piena connessione, questo tipo di rimedio arriva troppo tardi e gli
endpoint compromessi sono in grado di infettare in pochi minuti i pc
interni e i server vulnerabili con un worm.
Per questa ragione, è opportuno prendere in considerazione sistemi di
protezione in grado di intervenire in modo preventivo e di effettuare
questo tipo di controllo prima di consentire la connessione
dell’endpoint al network e alla periferia della rete.
Diversi vendor stanno perciò proponendo sistemi di controllo di
accesso al network (NAC) implementati come software o appliance.
Attraverso questo processo di controllo viene valutato lo stato di
sicurezza di un sistema o di un utente non appena questo si connette e
sono immediatamente implementate le opportune policy di sicurezza
che possono includere (ma non solo) livelli di aggiornamento
software,
definizione
dell’antivirus,
configurazioni
specifiche,
individuazione dell’apertura o chiusura di porte, impostazioni del
125
firewall. In base al confronto effettuato, il NAC provvede quindi a
determinare se concedere, negare o limitare l’accesso, in funzione del
sistema, degli orari di connessione, della località da cui l’utente accede
e della verifica dell’identità e dei privilegi associati. Inoltre fornisce
solitamente all’utente le informazioni sulle azioni opportune da
attivare per porre rimedio alle eventuali limitazioni incontrate.
Un approccio integrato e l’offerta di servizi
Per poter realizzare l’integrazione delle soluzioni di sicurezza, tanto
più quanto maggiore si vuole che sia il livello d’integrazione, è
opportuno adottare un approccio sistemico, che abbracci l’insieme
delle problematiche della sicurezza partendo dalle esigenze aziendali
e traducendo le stesse in policy di sicurezza. Queste andranno poi
opportunamente adattate e implementate nei vari sistemi in maniera
consistente. Si ottiene, così, un sistema robusto in cui tutte le soluzioni
collaborano alla protezione e alla prevenzione.
Un tale sistema, peraltro, non consiste solo in un insieme integrato di
applicazioni, più o meno automatiche. Come già evidenziato, la
sicurezza è anche una questione organizzativa. Poco o nulla servono
le precauzioni se, poi, nessuno le adotta.
Le policy oltre che definite devono essere implementate. Molte di
queste, però, non sono automatiche o, comunque, possono essere
disattese
dagli
utenti,
anche
senza
intenzioni
dolose,
ma
semplicemente per accelerare il proprio lavoro (quanti hanno “voglia”
o si ricordano di lanciare il backup periodicamente?). Le policy
diventano procedure e una certa attenzione è richiesta, come, per
esempio, quella di non lasciare appuntate le password su foglietti
(tipico il post-it giallo sotto la tastiera).
A caratterizzare più di ogni altra cosa un approccio sistemico,
peraltro, è la visione della sicurezza come processo continuo. Si è
detto che il punto di partenza deve essere il rischio: comprendere
quali sono le informazioni e le risorse che hanno bisogno di
protezione e, soprattutto, quali sono i danni che si conseguirebbero in
caso di perdita delle stesse. Si ottiene, così, una misura degli
investimenti che sarà opportuno realizzare. Una volta progettato di
126
conseguenza il sistema di sicurezza, questo va implementato con tutte
le implicazioni di carattere organizzativo cui si è accennato, anche in
termini di definizione di policy aziendali.
Il passo successivo è quello del controllo e della manutenzione del
sistema. Questo, però, implica il continuo aggiornamento delle
soluzioni, perché stiano al passo con l’evoluzione delle minacce, ma
anche l’adeguamento di tutta l’architettura del sistema alle variazioni
dello scenario complessivo. È la stessa azienda soggetta a
cambiamenti: si pensi alle acquisizioni, all’istituzione di una nuova
business unit e a tutte quelle dinamicità che testimoniano il buon stato
di salute di un’impresa.
Periodicamente, dunque, è necessario rimettere tutto in discussione, a
partire dal rischio stesso cui è soggetta l’impresa, mantenendo sotto
controllo il sistema di sicurezza per verificarne la robustezza (per
esempio, con tecniche di vulnerability assessment) e l’adeguatezza.
Un sistema del genere deve essere gestito sia nell’operatività di tutti i
giorni sia nella sua pianificazione complessiva. Entrambe sono fasi
delicate, che richiedono un impegno crescente all’aumentare delle
dimensioni
aziendali,
delle
risorse
messe
sotto
controllo
e,
ovviamente, delle soluzioni implementate.
La complessità che ne emerge, unitamente all’importanza dei sistemi
di sicurezza, suggerisce la definizione di responsabilità ben precise,
con la nomina di un responsabile della sicurezza. In Italia, alcune
normative impongono la presenza di un responsabile della sicurezza
IT in azienda (da non confondere con quello imposto dalla legge 626,
che riguarda la sicurezza del posto di lavoro). Il security manager,
come viene spesso indicato con dizione inglese, è preposto alla
gestione del sistema di sicurezza e può essere perseguito anche
penalmente (come prevede il DPR 318) in caso di danni causati da
inadempienze alla sicurezza da parte dell’azienda.
Il ricorso a un provider esterno
La complessità dei molti sistemi che vanno implementati, le difficoltà
e i costi di gestione degli stessi, hanno portato a una crescita costante
dei Managed Security Service. L’aspetto più strettamente tecnologico
di protezione dalle specifiche minacce può essere affrontato
127
affidandosi a un provider fidato che con un misto di appliance
installate on premise e con una console di gestione di remota o con
modalità completamente o quasi in outsourcing è in grado di fornire i
livelli di sicurezza adeguati a ogni struttura aziendale.
Fondamentale, è l’attività di consulenza e, in particolare, la verifica
accurata dei punti deboli di tutto il sistema. Le aziende sono sempre
più esposte al rischio di vedere i propri sistemi informatici
compromessi, di essere vittime di furti di dati e intromissioni nei
sistemi, per poi essere ricattate o diffamate, o ancora di rimanere
senza collegamenti Internet o accesso Web perché sotto attacco. La
politica dello “struzzo”, ovvero fare finta di niente e non dare
attenzione al problema, è davvero pericolosa. Molto meglio
prepararsi, piuttosto che sperare che non succeda niente. L’approccio
vincente, secondo gli esperti, è quello di predisporre un piano
d’azione, ragionando sul cosa fare “quando” (e non “se”) si apre una
breccia nel sistema informatico. E questo perché pianificare un
intervento e preparare una strategia di reazione può fare la differenza
fra un disastro informatico e un evento sotto controllo.
Una delle attività più utili in tal senso è il “penetration test”, che
consiste nella simulazione di un attacco reale contro una rete o
un’applicazione, con modalità differenti. Fra queste, la simulazione di
una minaccia proveniente dall’interno dell’azienda o di un attacco
esterno, con informazioni di partenza più o meno significative. Si può
anche ipotizzare che lo staff IT si accorga subito o dopo un certo
periodo di tempo di quanto sta accadendo e che sia in grado di reagire
oppure no.
Tipicamente, il penetration test viene svolto da società esterne
specializzate con strumenti ad hoc (alcuni tool open source sono
molto diffusi e facilmente reperibili in rete) e serve a verificare il
livello di sicurezza di sistemi critici per il business aziendale, oppure
per controllare se il Service Level Agreement garantito dal fornitore di
servizio esterno (per esempio per i servizi managed di intrusion
detection) è rispettato. In ogni caso, è importante avere un chiaro
obiettivo prima di avviare il test, per esempio focalizzandosi nella
valutazione del rischio che un attacker esterno possa compromettere
un determinato asset critico o uno specifico servizio di business.
128
6 - Il binomio sicurezza logica e
sicurezza fisica
L’Information Security è stata storicamente separata dalla sicurezza
fisica, intesa come impianti antincendio, sistemi antifurto, barriere
all’ingresso.
Di fatto si tratta di una distinzione che non ha più senso. Innanzitutto
i due mondi sono sempre meno disgiunti, considerando la pervasività
dell’IT. In secondo luogo ci sono sempre più contatti, tanto che si
parla ormai apertamente della convergenza tra sicurezza fisica e
sicurezza logica. Se ne parla soprattutto in termini di protezione più
efficace e contributo a valore, derivante dall’integrazione delle
soluzioni. Ci sono poi aspetti legali che dovrebbero spingere in questa
direzione. In particolare, basti pensare che la legge sulla Privacy è
oggi considerata la legge principale in materia di sicurezza IT. Eppure
il responsabile della privacy in azienda è normalmente una figura
dirigenziale che si occupa di tutt’altro che informatica: tipicamente il
direttore del personale. La maggior parte dei dati sensibili in azienda,
infatti, sono quelli relativi ai dipendenti. Purtroppo, risorse umane e
IT raramente seggono allo stesso tavolo per discutere di progetti
collegati alla sicurezza. Ci sono anche ambiti tecnologici in cui la
convergenza è forte, per esempio, quello del controllo degli accessi o
delle presenze in azienda, oggi sempre più attuato con badge
elettronici direttamente connessi con i sistemi ERP aziendali, oppure
mediante lettura di dati biometrici digitalizzati.
Altro ambito in forte sviluppo è quello della videosorveglianza
integrata su IT, dove si aprono interessanti scenari sul fronte della
digitalizzazione di immagini e video.
Tutte queste soluzioni hanno una componente informatica e sono
relative alla protezione degli asset aziendali. È pertanto evidente che
129
la correlazione tra gli eventi che vengono registrati dall’una e
dall’altra parte porta benefici in termini di efficacia della protezione.
L’evoluzione della videosorveglianza
La videosorveglianza è storicamente caratterizzata da sistemi di
videocamere collegate in circuito chiuso.
Questa soluzione è stata adottata al fine di evitare che il sistema possa
essere manomesso. Peraltro, l’installazione e la manutenzione di
questo tipo di soluzioni risultano costose e presentano un limite di
copertura.
Tali sistemi, infatti, adottano cavi video che non possono trasportare il
segnale proveniente dalle telecamere su lunghe distanze.
In passato lo sviluppo di tecnologie in fibra ottica e di architetture di
rete ottimizzate per il trasporto di dati digitali multimediali (per
esempio, le reti ATM – Asynchronous Transfer Mode, SONET/SDH)
hanno permesso di estendere gli ambiti applicativi di queste
soluzioni, senza però abbassarne gli elevati costi di utilizzo.
È stato, invece, l’avvento di Internet e delle cosiddette Web Cam a
portare un nuovo impulso nel settore. La qualità del video su Internet
è limitata, ma una struttura basata su una rete IP privata è
sicuramente più performante ed economica di altre strutture.
L’utilizzo di del protocollo IP su reti VPN per la trasmissione su lunga
distanza, invece, permette di risparmiare sui costi e di gestire il
controllo di più luoghi tramite una console centralizzata. Anche le
telecamere adottate per questo tipo di riprese risultano essere molto
più convenienti.
Si sono abbassati, dunque, i costi di questi dispositivi. Ma un ulteriore
vantaggio deriva dallo sviluppo delle tecnologie di rete senza fili. Le
telecamere, infatti, possono essere dotate di schede Pc Card Wi-Fi, che
consentono un collegamento in banda larga (oltre 100 Mbps con le più
recenti tecnologie) a un access point, in grado di servirne diverse
contemporaneamente.
Questo consente l’installazione di sistemi di videosorveglianza anche
in luoghi con vincoli ambientali o architettonici (per esempio, negli
edifici storici, dove la cablatura non è consentita) oppure in
130
installazioni a carattere temporaneo (per esempio, una mostra d’arte
organizzata
in
locali
normalmente
non
attrezzati
per
la
videosorveglianza, oppure un congresso).
Attualmente si è arrivati a parlare di videosorveglianza di quarta
generazione, basata su un’architettura di rete IP, conforme agli
standard, operante su un sistema network-centrico, in cui la rete
stessa costituisce la matrice video per il trasporto delle immagini.
È
indubbio
che
realizzare
architetture
di
videosorveglianza
all’avanguardia permette di ottenere maggiore affidabilità, un livello
più elevato di disponibilità del sistema e, al contempo, più versatilità e
interoperabilità tra tecnologie e soluzioni proprietarie che sino a ieri
non potevano colloquiare tra di loro.
La possibilità di far confluire le funzioni di switching video all’interno
di un ambiente IP preesistente, permette poi di ridurre la complessità
dell’infrastruttura e, di conseguenza, i costi di installazione di un
sistema di videosorveglianza, seppur mantenendo l’investimento
pregresso e le competenze umane a esso associate.
Per queste ragioni, la trasformazione di un servizio che sino a ieri era
segregato su una sua rete proprietaria (ottico-coassiale), privata e
parallela, verso l’IP, trasforma la videosorveglianza in un’altra
applicazione, valorizzando gli asset generati dalla stessa e creando un
serie di altri servizi che sino a ieri erano impensabili. Si pensi, per
esempio, alla correlazione tra gli eventi di sicurezza fisica e sicurezza
ICT logica, alla possibilità di analizzare il video registrato in tempo
reale per ridurre i tempi d’investigazione, alla possibilità di
aggiungere e scalare una soluzione di videosorveglianza in modo
immediato poiché ogni punto rete IP è, praticamente, un punto
telecamera.
A oggi, considerando il livello di diffusione delle reti a larga banda in
molte realtà pubbliche, la videosorveglianza di quarta generazione è
una realtà perseguibile. L’elemento strategico ovvero la rete IP, agisce
in qualità di matrice video per un sistema di sicurezza fisica che
virtualmente può abbracciare qualsiasi punto toccato dalla rete stessa
e gestito da diversi enti competenti, sino ad arrivare a un unico centro
per la sicurezza. Una piattaforma di videosorveglianza “networkcentrica” del tipo descritto permette di effettuare le operazioni di
131
monitoraggio attraverso stazioni pc o Video Wall e di accedere in
maniera sicura, in qualsiasi luogo, in tempo reale e in base al
verificarsi di specifici eventi. Da parte loro, gli operatori hanno la
possibilità di controllare la rete da qualsiasi terminale IP e di gestire la
raccolta di flussi video provenienti da differenti siti. Inoltre è possibile
predisporre soluzioni tecnologiche interoperabili con telecamere e
sistemi analogici di tipo legacy. L’affermazione di queste nuove
tecnologie
si
traduce
in
un
mercato
delle
soluzioni
di
videosorveglianza su IP che cresce costantemente a due cifre
delineando un mercato stimato valere ogni anno oltre 8 miliardi di
dollari.
Da analogico a digitale
La progressiva affermazione del protocollo IP e la contestuale
disponibilità di ampiezza d banda sempre più elevata sta aprendo le
porte a un vero è proprio “rinascimento” della videosorveglianza
all’insegna della migrazione dalle tecnologie analogiche a quelle
digitali e alla loro distribuzione attraverso Internet.
Le ragioni che inducono a questa evoluzione sono molteplici e
significative. Innanzitutto, ogni telecamera analogica necessita di un
cavo di connessione dedicato, che la collega al convertitore del segnale
in flussi digitali per la memorizzazione dei dati. La conseguenza è che
architetture di questo tipo risultano poco flessibili e inefficienti in caso
di trasmissioni su lunghe distanze o di gestione da remoto.
Altra caratteristica delle telecamere IP è la loro maggiore flessibilità e
interoperabilità che deriva dalla possibilità, in caso di necessità, di
riposizionamento delle telecamere in nuove aree senza troppe
difficoltà e in tempi molto più rapidi rispetto ai dispositivi di tipo
analogico.
Dal punto di vista della memorizzazione dei dati consentono l’utilizzo
di dischi rigidi o di qualsiasi altro dispositivo di memorizzazione di
massa, mentre la gestione da remoto è possibile grazie alla
disponibilità di un Web server integrato all’interno delle telecamere
che garantisce la visualizzazione delle immagini direttamente da un
browser. In più le telecamere analogiche non possono offrire una serie
132
di funzionalità avanzate molto utili presenti sulle telecamere IP, grazie
ai sistemi di image processing di cui sono dotate e alla qualità delle
immagini che sono in grado di offrire.
Se, per molti anni la videosorveglianza analogica aveva abituato
l’utente a una gestione della sicurezza basata essenzialmente sulla
registrazione degli eventi nel loro complesso, l’alta risoluzione offerta
dalle tecnologie digitali attuali ha aperto nuove opportunità di
estendere il livello di controllo e di modificare la tipologia di
applicazioni
di
videosorveglianza
grazie
alla
possibilità
di
visualizzare dettagli funzionali all’identificazione di persone e oggetti
o di espandere l’area da visualizzare.
Si pensi, per esempio, alle nuove applicazioni di video motion
detection, che permettono di catturare immagini in movimento.
Oppure l’object detection, che consiste nel rilevamento di elementi
estranei all’immagine rispetto alla condizione di normalità, ossia
quando non ci sono movimenti nell’immagine fissa, che potrebbero
richiedere una maggiore attenzione. I sensori digitali grazie all’elevata
risoluzione ottenibile permettono, per esempio, di individuare e
leggere dettagli di interesse e di effettuare, per esempio, il
riconoscimento delle targhe delle autovetture o il conteggio del
numero di persone che transitano all’interno di un edificio fino a
spingersi al riconoscimento delle persone. Il fatto poi che la
telecamera acquisisca le immagini già in formato digitale apre la
strada a una serie di funzioni di elaborazione sempre più sofisticate.
La gestione dell’immagine viene effettuata in modo sempre più
intelligente ed è anche possibile effettuare uno zoom di tipo digitale
direttamente
per
incrementare
ulteriormente
la
dimensione
dell’immagine dopo che lo zoom di tipo ottico ha raggiunto la sua
massima estensione.
Cambia la qualità video
Nei video analogici l’immagine è organizzata per linee TV in accordo
con l’evoluzione del formato televisivo mentre le immagini digitali
sono formate da punti (pixel).
Passando ai numeri, possiamo ricordare come il formato CIF
(Common Intermediate Format) per la registrazione delle immagini,
133
noto anche come FCIF (Full Common Intermediate Format) ha offerto
per molto tempo un standard per la risoluzione orizzontale e verticale
di sequenze video con una risoluzione di 352 × 288 punti adatta per le
trasmissioni basate sullo standard televisivo PAL (Phase Alternation
by Line), caratterizzato a sua volta da una risoluzione di 576 linee e
una velocità di aggiornamento di 25 fotogrammi al secondo o per e lo
standard NTSC comunemente utilizzato in Nord America e Giappone
che prevede una risoluzione di 480 linee.
Formato
di
Numero di megapixel
Risoluzione in pixel
SXGA
1.3 megapixel
1280x1024
SXGA+(EXGA)
1.4 megapixel
1400x1050
UXGA
1.9 megapixel
1600x1200
WUXGA
2.3 megapixel
1920x1200
QXGA
3.1 megapixel
2048x1536
WQXGA
4.1 megapixel
2560x1600
QSXGA
5.2 megapixel
2560x2048
visualizzazione
Le sigle che caratterizzano le differenti risoluzioni video
Il CIF è essenzialmente un formato derivato dal mezzo televisivo e
alcune telecamere di rete oggi disponibili utilizzano questo formato
poiché sfruttano un blocco telecamera progettato per telecamere
analogiche.
Ricordando
che
la
qualità
ottenibile
attraverso
l’operazione di digitalizzazione di un video analogico dipende dal
numero di linee TV disponibili, la dimensione massima di
un’immagine digitalizzata (di solito indicata con la sigla D1)
corrisponde a una risoluzione di 720x480 pixel per NTSC o di 720x576
pixel per il PAL.
Lo sviluppo di sistemi completamente digitali ha, invece, messo a
disposizione risoluzioni elevate che hanno potuto beneficiare del
continuo sviluppo derivato dall’industria informatica. L’affermazione
dello standard VGA ha messo inizialmente a disposizione una
134
risoluzione di 640x480 pixel che è quella solitamente utilizzata nelle
telecamere di rete, ma sono ormai disponibili telecamere con
risoluzione nell’ordine del megapixel ovvero in grado di fornire
un’immagine contenente un milione o più pixel.
Il confronto è presto fatto. A fronte dalla massima risoluzione offerta
da una telecamera analogica convenzionale dopo la digitalizzazione
D1 corrispondente a un massimo di 0,4 megapixel (414.720 pixel), un
sistema digitale con un formato di 1,3 megapixel (1280x1024 pixel)
offre una risoluzione superiore di otre il 3. Se si considera che la
prossima disponibilità di telecamere di rete con risoluzioni da 2 o 3
megapixel e, in futuro, ancora superiori si comprende il distacco
incolmabile tra le differenti tecnologie.
La nuova frontiera è, infatti, rappresentata dallo standard HDTV
(High-definition television) che fornisce risoluzioni fino a cinque volte
superiori alle TV analogiche standard.
Ricordiamo per esempio gli standard SMPTE 296M (HDTV 720P) con
una risoluzione di 1280x720 pixel e lo standard SMPTE 274M (HDTV
1080) che definisce una risoluzione di 1920x1080 pixel .
Inoltre, lo standard HDTV si basa su pixel quadrati e questo rende
ottimale la visualizzazione dei video HDTV anche su monitor di
computer standard evitando così i possibili effetti di distorsione di un
video analogico tradizionale digitalizzato quando questo viene
visualizzato sul monitor di un pc.
Cambiano i player
Il passaggio verso le nuove tecnologie di videosorveglianza
rappresenta anche un passaggio fondamentale di cambiamento nei
referenti aziendali per questo tipo di applicazioni. Le responsabilità
cessano di essere appannaggio del facility manager per estendersi
anche
all’IT
manager
che
in
deve
essere
coinvolto
poiché
l’infrastruttura di rete utilizzata per la videosorveglianza è la
medesima utilizzata per le applicazioni IT. Dal punto di vista della
realizzazione, inoltre, la sorveglianza analogica era implementata
tipicamente da elettricisti e impiantisti elettrici, mentre oggi questo
compito si sposta verso i system integrator. Le conseguenze di questo
trend sono uno spostamento nel mercato sia dal punto di vista
135
dell’interlocutore a cui devono indirizzarsi i vendor che si traduce in
un canale più qualificato, sia del referente interno al cliente che, come
detto, risulta essere una figura all’interno del dipartimento IT.
Una gestione semplificata
La videosorveglianza analogica si basa su un cavo coassiale connesso
a un digital recorder e un monitor. Le funzionalità offerta da una
soluzione di questo tipo si limitano alla visualizzazione in tempo reale
e alla possibilità di registrazione. Inoltre la tecnologia coassiale
presente una serie di limiti intrinseci quali, per esempio, la limitazione
della lunghezza del cavo. Con l’avvento della tecnologia digitale le
telecamere possono essere monitorate in rete sfruttando gli strumenti
esistenti per la gestione di reti Ethernet, e si interfacciano con
l’infrastruttura preesistente per l’IT. La fase di registrazione viene
sostituita da apparati di video network recorder. Tutto ciò si realizza
su protocollo di comunicazione TCP/IP.
Possibilità di definizione di aree sensibili al movimento in un impianto di
videosorveglianza (Fonte: D-Link)
L’adozione della tecnologia digitale su IP, pertanto, semplifica
notevolmente l’installazione di una rete di videosorveglianza.
Una rete analogica richiede che ogni telecamera sia collegata a un
concentratore con un cavo coassiale e questo rappresenta un problema
all’interno di ambienti estesi per la richiesta di rigenerazione
necessaria in ambito analogico. Nell’ambito dell’IP è possibile trovare
136
molto più facilmente una connessione ed è possibile anche sfruttare le
connessioni di rete wireless.
Un altro aspetto caratteristiche della videosorveglianza su IP riguarda
la centralizzazione della gestione che rappresenta un’opportunità
“naturale” per questo tipo di prodotti in grado di avvalersi del livello
di flessibilità offerto da un modello di rete gestibile da postazione
centrale e remota in ogni momento e ovunque: diventa molto
semplice decidere a Milano come controllare e spostare una
telecamera di sorveglianza in Cina e anche comandare queste
operazioni tramite dispositivi portatili quali smartphone.
Il supporto delle funzionalità Pan/Tilt/Zoom (PTZ) permette, infatti,
di gestire facilmente lo spostamento su diversi assi della telecamera e
di effettuare uno zoom.
Un ulteriore elemento di flessibilità è rappresentato dal supporto della
tecnologia Power over Ethernet (PoE) che consente di sfruttare la
connessione Ethernet oltre che per il trasferimento delle informazioni
anche per alimentare apparti che, difficilmente, potrebbero essere
collegati a un alimentatore esterno.
Come detto, la disponibilità di un maggior numero di dettagli abilita
l’applicabilità
di
tecnologie
per
l’analisi
intelligente
delle
informazioni. Tra le funzionalità di questo tipo possiamo ricordare
per esempio la possibilità di impostare azioni in base al rilevamento di
un movimento non solo davanti allo spazio visivo della telecamera ma
restringere
la
condizione
a
specifiche
porzioni
o
insiemi
dell’immagine così da poter discriminare il movimento all’interno di
un’area del parcheggio da quello delle foglie degli alberi mosse dal
vento. Le azioni basata su eventi legati al posizionamento possono
essere incrociate attraverso opportuni software di gestione con
condizioni legate al periodo in cui avvengono le azioni in grado di
attivare un allarme, la durata, a ripetitività e la persistenza delle
azioni stesse. Anche in questo casi il raggiungimento dell’obiettivo è il
risultato dell’interazione tra la tecnologia digitale e la gestibilità
offerta dalla tecnologia IP.
Sistemi di questo tipo permettono di considerare nuove opzioni per
applicare modalità di sorveglianza differente e più efficaci: basti
pensare alla possibilità di sostituire un sistema di ronda effettuato a
137
intervalli di tempo più o meno lunghi, con un sistema di
videosorveglianza che opera con continuità ed è in grado di segnalare
automaticamente a uno più strutture di competenza un eventuale
pericolo per la sicurezza. Le telecamere hanno poi funzioni di
protezione intrinseca con la possibilità di inviare allarmi e/o attivare
azioni in caso di possibili manomissioni alla telecamera stessa.
Le telecamere su IP possono ospitare anche sistemi audio che ne
estendono ulteriormente la flessibilità d’uso spingendole verso i limiti
di un sistema interattivo a distanza in grado di abilitare
l’interlocuzione tra chi si trova nei pressi della telecamera di
sorveglianza e che la sta gestendo da remoto.
Le opportunità del wireless nella videosorveglianza
Lo sviluppo della connessione di rete wireless ha ampliato
maggiormente le caratteristiche di flessibilità dei dispositivi di
videosorveglianza digitale.
L’arrivo del wireless nella videosorveglianza ha portato una serie di
ulteriori benefici allargandone il raggio di utilizzo anche dove la
tecnologia analogica o le reti DSL non potevano arrivare. C
on le tecnologie wireless è possibile superare le barriere che hanno
frenato l’adozione di sistemi di videosorveglianza in aree geografiche
remote, che non sono ancora adeguatamente servite dai servizi di
collegamento tramite fibra ottica. Ma è soprattutto la possibilità di
posizionamento delle telecamere in aree solitamente poco favorevoli e
la facilità e velocità con cui possono essere disinstallate e reinstallate
in altre postazioni a conferire la massima versatilità ai sistemi
wireless.
I settori che possono beneficiare dell’adozione di tecnologie di
videosorveglianza wireless vanno da quello della sicurezza pubblica a
quello industriale fino al privato. In particolare nella Pubblica
Amministrazione locale si sta assistendo alla diffusione di sistemi di
videosorveglianza che garantiscono maggiore sicurezza ai cittadini e
agli edifici storici nelle aree urbane ma anche nelle stazioni di treni e
metropolitana, nei musei e nei centri storici e così via. Altre
applicazioni di videosorveglianza wireless possono riguardare
138
l’ambito industriale: per esempio per migliorare il controllo in tempo
reale dei processi di produzione, sia a vantaggio dell’azienda sia per
una maggiore sicurezza dei dipendenti oppure nell’attività di logistica
e magazzino per controllare i flussi in entrata e uscita di merci, mezzi
e persone.
Un altro settore in cui si sta valutando l’adozione di sistemi di
videosorveglianza è quello del monitoraggio in fase di smaltimento e
riciclaggio dei rifiuti, per evitare che si verifichino attività in contrasto
con le norme che ne stabiliscono le procedure nei limiti della legalità.
Esistono più tipologie di connessione wireless che possono essere
adottate nel settore della videosorveglianza in considerazione di
diversi fattori quali le distanze da coprire, le caratteristiche
morfologiche e climatiche dell’ambiente o l’area geografica in cui
serve localizzarle.
Le tecnologie Wi-Fi basano sullo standard EEE 802.11 b/g e hanno una
frequenza di banda di 2,4 GHz con una velocità di trasmissione dati
dai 11Mbit/s (nel caso dello standard b) a 54 Mbit/s (g). Hanno una
potenza debole e coprono aree di qualche centinaio di metri ma sono
frequenze libere che possono essere utilizzate senza licenze.
Il Wi-Fi, a causa della maggiore sensibilità alle interferenze e per le
distanze limitate che copre, risulta perciò poco adatto e affidabile per
applicazioni di videosorveglianza wireless in aree esterne estese ma
resta una soluzione possibile in ambienti chiusi e più ristretti.
Per estendere ulteriormente la portata è necessario indirizzarsi verso
altri standard come l’emergente 802.11n o le tecnologie che operano a
frequenza più elevata (oltre i 5 GHz) come l’802.11a oppure lo
standard di derivazione europea Hiperlan (High Performance Radio
LAN) che è in grado di coprire distanze di oltre una decina di km.
Anche il Wi-Max, che utilizza una banda di 3,5 GHz, copre distanze
fino a venti km. Richiede una licenza e le bande sono state assegnate
dal Ministero delle Comunicazioni e si dividono in tre blocchi: due a
uso nazionale e uno regionale.
Per l’implementazione di telecamere nei centri urbani è necessario che
i dispositivi siano resistenti a interferenze elettromagnetiche e
utilizzino frequenze libere per la connessione. Pertanto l’Hiperlan,
grazie alle sue caratteristiche, si rende estremamente adatto a
139
connettere dispositivi di videosorveglianza in aree urbane estese come
pure in siti remoti.
Anche la tecnologia Wi-Max che è quella tipicamente usata dagli
operatori di telecomunicazioni ha una potenza di segnale che ben si
adatta a un utilizzo in aree urbane. Prevede architetture point-tomultipoint, con una stazione base che connette il flusso di più
telecamere localizzate in una determinata area. La necessità di licenza
può risultare un ostacolo ma anche una garanzia della non
interferenza delle frequenze.
140
ŝȱȬȱȱȱȱ£
I capitoli seguenti sono un esempio di come alcune primarie società
del settore hanno affrontato i problemi analizzati nel presente volume
e sviluppato una strategia di prodotto e soluzioni volte ad affrontare il
problema della sicurezza aziendale . Non rappresenta una presa di
posizione degli autori del volume e quanto illustrato deriva
dall’analisi di documentazione liberamente disponibile o fornita dalle
società medesime.
141
Sicurezza aziendale e continuità del business 2011
ASTARO
Le strategie e le architetture
Astaro si è da subito presentata sul mercato con un approccio chiaro,
impostata sul concetto di "tutto in uno", diventando uno dei fornitori più
autorevoli nella produzione di soluzioni Unified Threat Management
(UTM).
Rispetto ad analoghe proposte concorrenti, la casa nata in Germania nel 2000
si distingue per il design della propria soluzione, nata intrinsecamente come
UTM e non mutuata, come in altri casi, da un firewall o altro tipo di sistema
e, conseguentemente, predisposta per adattarsi molto rapidamente alle
evoluzioni della sicurezza, a detta dei suoi stessi responsabili.
Astaro Security Gateway, certificato ICSA e Common Criteria, comprende
quindi l'integrazione di molteplici applicazioni di sicurezza integrate in un
unico apparato. È comunque possibile installare un'appliance per svolgere
una sola funzione (come la network security o la mail security, per esempio).
Più precisamente, la "natura" della protezione è software, essendo infatti
disponibile sia sulle macchine targate Astaro sia come puro codice che può
essere installato su un server del cliente o, anche, come licenza virtuale, cioè
come applicazione da inserire in un'infrastruttura virtualizzata (a tal
riguardo, Astaro Security Gateway dispone della certificazione VMware
Ready). Più in dettaglio, osserviamo che la versione software comprende il
sistema operativo e tutte le applicazioni di sicurezza in bundle, in un singolo
file immagine software. Gli "apparati software", come li chiamano in Astaro,
possono essere installati su hardware scelto dal cliente, cui viene lasciata così
una flessibilità d'implementazione. L'installazione e la configurazione, come
sottolineano i responsabili tecnici di Astaro, sono semplici e rapide, perché,
rispetto alle tradizionali applicazioni software, non richiedono una
precedente installazione del sistema operativo.
1
ASTARO
Analogamente, gli "apparati virtuali" consistono in software, preinstallato e
preconfigurato per gli ambienti VMware, che permette di realizzare una
soluzione di sicurezza all in one per ambienti virtualizzati. Le funzioni
disponibili includono network security, mail security, Web security e Web
Application security.
In tutti i casi si tratta della stessa unica soluzione, con tutte le funzionalità,
così come la stessa soluzione è installata su tutte le macchine, che si
differenziano per prestazioni e caratteristiche hardware, dal più piccolo
modello da 10 utenti sino al grande da diverse migliaia di utenti. In altre
parole, Astaro fornisce lo stesso livello di protezione al mondo enterprise
come alla piccola e media impresa. Il beneficio, peraltro, è anche per i
partner di Astaro (sono 2500 nel mondo), che devono investire nella
formazione su un unico prodotto, con enormi risparmi sul training e sul
fronte commerciale, essendo il listino unico e semplificato.
Tale unica soluzione permette di facilitare la protezione della rete. In
particolare, le aziende di piccole e medie dimensioni possono modellare un
ambiente di rete più comodo ed efficace, proteggendosi dal furto di dati, dai
virus, dallo spyware e dallo spam, come sarà analizzato più in dettaglio in
seguito. Il portafoglio di Astaro è poi completato da strutture di reporting e
gestione, che supportano anche il modello MMS (Managed Security Service).
Un'architettura open
Sono cinque le aree per una protezione estesa contemplate dalla soluzione
Astaro Security Gateway: network security, Web security , mail security, WiFi, Web e firewall application. La sintesi utilizzata non deve banalizzare
l'approccio che Astaro ha affinato sin dalla fondazione per opera di Gert
Hansen, Jan Hichert e Markus Hennig, tre esperti di sicurezza provenienti
dal mondo Open Source. Con questo ambiente tuttora viene mantenuto un
ottimo rapporto, condividendone in linea di massima la filosofia, anche se
oggi la tecnologia è ormai in gran parte proprietaria. Più precisamente, la
società applica tuttora una forte condivisione delle informazioni. Astaro è
inoltre uno dei principali player nei progetti open source di sicurezza e
parecchi dei suoi sviluppatori sono anche attivi su famosi prodotti di
sicurezza open source.
In base alla collaudata qualità della piattaforma Linux, Astaro combina i
maggiori prodotti commerciali e open source per la sicurezza per creare un
appliance UTM in grado di fornire un'avanzata protezione per la rete,
2
integrando quest'ultima con i filtri Web e la protezione della posta
elettronica in un'interfaccia utente basata sul Web, intuitiva e di facile uso.
La tecnologia di base, come accennato, si sviluppa su cinque aree per una
protezione estesa.
La network security
La network security riguarda tutto quello che è sicurezza perimetrale e che
riguarda la rete, per cui una copertura che va dal firewall all'Intrusion
Prevention System (IPS). Più precisamente, le funzionalità fornite in
quest'ambito da Astaro comprendono: firewall, intrusion prevention, DoS
protection, bandwidth control, VPN IPSec e VPN SSL, accesso remoto native
Windows, autenticazione basata su molteplici sistemi di tipo directory
(Active Directory, Edirectory, standard LAP ecc.) e la funzionalità
UserPortal.
Senza entrare nel dettaglio di ogni funzione, si osservi che il firewall, per
cominciare, è di tipo a oggetti, quindi permette di risparmiare molto tempo
nella configurazione perché è sufficiente definire un oggetto, come una
workstation o un web server, e riutilizzare gli stessi dati associati a tale
oggetto nell'intera configurazione. In pratica, cambiando una caratteristica
di un oggetto (per esempio l'indirizzo di un Web server) tutte le policy e i
servizi che usano questo oggetto saranno automaticamente aggiornati in
base alla modifica effettuata. Nel caso del Web server, l'indirizzo dovrà
essere modificato una sola volta, e tutte le regole che includono tale "server
web" come oggetto verranno aggiornate istantaneamente in modo
automatico. Si risparmiano ore di lavoro e si minimizzano le possibilità di
errore umano rispetto ai metodi tradizionali, che correggono tutte le regole
manualmente.
Tutte le operazioni sono gestite tramite un’intuitiva interfaccia Web,
sviluppata con le più moderne tecnologie software. Grazie a questa
interfaccia, l’amministratore è in grado da remoto di gestire completamente
e in un modo molto semplice tutte le funzionalità dell’appliance, eseguendo
analisi dettagliate e approfondite grazie anche all’estesa reportistica
integrata.
Grazie a questo gli amministratori della sicurezza possono eseguire analisi
dettagliate e approfondite, in base alle loro reali necessità.
Il packet filter di Astaro, infine, è impostato di default su un blocco totale,
anche qui accelerando i tempi di configurazione, la quale non richiede uno
studio dei "blocchi di protezione": si tratta di "liberare" quanto occorre.
3
ASTARO
L'IPS di Astaro analizza nel dettaglio i pacchetti in linea, bloccando quelli
con contenuti "maligni". Questi vengono rilevati grazie a una serie di regole
selezionabili tra oltre 8000 pattern differenti di un elenco che viene
aggiornato a intervalli di pochi minuti. In questo modo, agisce praticamente
in tempo reale, molto prima che possano essere eliminate le vulnerabilità
installando le patch e, talvolta, prima ancora che le patch siano disponibili,
proteggendo il sistema dalle nuove minacce, non appena queste vengono
identificate e iniziano a diffondersi.
Una funzione molto utile è quella per l'assegnazione e il controllo della
banda (Quality of Service), che nel caso di Astaro risulta particolarmente
semplice: basta infatti specificare la larghezza di banda totale fornita dal
provider e automaticamente vengono generate da un motore "intelligente" le
regole per ottimizzare l'uso della stessa. La suddivisione e la prioritizzazione
dei pacchetti di piccole dimensioni vengono eseguite automaticamente. Per
gli utenti più esigenti, è possibile definire regole specifiche da associare a
specifici pattern di traffico o a porte predefinite, assegnando una banda
minima e una banda massima. L'utente può determinare quali applicazioni o
utenti avranno accesso a Internet, con la possibilità di controllare anche in
che modo una data risorsa fissa viene utilizzata in condizioni differenti.
Questo funzionamento si presta particolamente per il controllo dei software
P2P e IM, noti per il consumo e abuso della banda.
Le possibilità di accesso remoto sono molteplici, con l'utilizzo di VPN basate
su protocolli standard, come IPSec o SSL, o con soluzioni a basso costo
incluse in Windows, per le cui funzioni Astaro Security Gateway può
fungere da terminazione del tunnel. Da segnalare la disponibilità di un DNS
dinamico (DynDNS). Inoltre, vale la pena evidenziare che la procedura di
installazione e connessione di accesso remoto SSL Astaro non richiede
alcuna conoscenza o esperienza tecnica. Il client VPN SSL di Astaro è
disponibile gratuitamente, e consente l'accesso a questo tipo di connessione
a un numero illimitato di utenti.
Un ulteriore elemento che contraddistingue Astaro per la sua elevata
capacità di integrazione con ambienti esistenti è l'autenticazione. La
soluzione Astaro è in grado di interfacciarsi con vari tipi di server di
autenticazione e dispone di specifiche funzioni di integrazione con Active
Directory, eDirector, Radius, Tacas+ e Ldap.
È dunque possibile
"appoggiarsi" alle directory già presenti in azienda, che contengono tutte le
informazioni relative a singoli utenti e gruppi, incluse le combinazioni di
accesso con nome utente e password, e riutilizzare tali dati per la creazione
delle nuove regole di accesso e sicurezza. Tale soluzione consente agli utenti
4
di navigare in rete, visualizzare i messaggi e-mail in quarantena e
connettersi alla rete VPN, utilizzando sempre la medesima combinazione di
nome utente e password esistente. Gli amministratori potranno poi generare
rapporti dettagliati in base ai nominativi dei singoli utenti. Una caratteristica
peculiare di Astaro è quella di poter supportare più server di autenticazione
contemporaneamente,
utilizzando
sempre
lo
stesso
protocollo
di
autenticazione.
Una videata di Astaro UserPortal
Infine, una menzione merita anche Astaro UserPortal, che pure consente
risparmi di tempo importanti per lo staff IT. All'atto pratico, applica una
formula self-service che consente al personale aziendale di gestire alcune
funzionalità essenziali in totale autonomia. Mettendo a disposizione
numerose funzionalità di personalizzazione, il portale permette, per
esempio, all'utente di creare la propria white list per lo spamming, oppure
consultare l'elenco dei messaggi classificati spam in quarantena per reperire
i messaggi desiderati. La consultazione della posta può essere effettuata
anche in remoto, da qualsiasi luogo, perché, una volta effettuato l'accesso, gli
utenti potranno scaricare il loro client SSL VPN, istituendo una connessione
sicura alle risorse protette dalle soluzioni Astaro.
5
ASTARO
Astaro UserPortal, inoltre, fornisce un log di posta completamente
personalizzabile. Pertanto, se un messaggio viene ricevuto e poi cancellato a
causa di un virus oppure rispedito al mittente perché il suo contenuto
corrisponde alle parole chiave di una data black list, l'utente sarà ancora in
grado di determinare con esattezza cosa è accaduto al suo messaggio, anche
quando il messaggio non è stato ricevuto o salvato nella cartella di
quarantena.
La Mail security
Astaro Mail Security si occupa di fornire le soluzioni per la protezione della
posta elettronica, che rappresenta un'importante fonte di pericolo a causa di
minacce, quali virus, spam, phishing o violazioni della privacy.
La protezione dai virus fornita da Astaro impiega un doppio sistema di
scansione per file, messaggi e-mail e oggetti contenuti nei siti web,
utilizzando due motori differenti che operano parallelamente. In questo
modo il rischio di un ritardo nel riconoscimento di un virus per un mancato
aggiornamento è molto ridotto.
Il sistema, inoltre, emette una pagina di notifica per informare gli utenti, che
dovessero trovarsi davanti a un virus durante la navigazione su Internet o
durante il download di file, di quanto accaduto e del perché la connessione o
il download sia stato bloccato. Si evitano così confusioni e relative chiamate
all'help desk. Analogamente, i messaggi e-mail contenenti virus possono
essere messi in quarantena per poi essere visualizzati, oppure vengono
eliminati immediatamente, mentre un report integrato provvede a informare
l'utente dell'evento.
Per quanto riguarda lo spam, il toolkit di Mail Filtering di Astaro dispone di
un motore di scansione primario che utilizza una tecnologia basata su un
pattern globali e sul fingerprinting, per bloccare lo spamming e tenere pulita
la casella di posta degli utenti. L'identificazione dei messaggi di spamming
avviene mediante la comunicazione in tempo reale tra l'applicazione
antispamming e una rete composta da milioni di analizzatori e partecipanti
attivi che effettuano la scansione elettronica dei messaggi, scambiandosi le
fingerprint dei messaggi e-mail ricevuti. Un approccio proattivo che
consente di ottenere le notifiche delle nuove minacce di spamming in pochi
secondi, per cui Astaro è in grado di classificare i messaggi come spam o
come validi in tempo reale, senza curarsi della lingua in cui il messaggio è
stato scritto o del suo contenuto interno. Infatti, come spiegano i responsabili
della società, l'antispam di Astaro effettua la tracciatura e l'identificazione
6
dello spamming fin dal momento del lancio e della diffusione, eseguendo la
scansione in tempi molto più rapidi e con maggiore accuratezza rispetto alle
tradizionali soluzioni che analizzano nel dettaglio i messaggi in base a un
gruppo prefissato di regole predefinite.
Astaro antispamming
Un altro problema collegato con la posta elettronica è la sua trasparenza. Per
ridurre il rischio di violazioni della privacy, Astaro Email Encryption
permette di crittografare i messaggi. Come sottolineato dai responsabili della
società, la soluzione si distingue per la semplicità, che elimina i costi, spesso
molto elevati, di formazione sull'implementazione e utilizzo di una
tecnologia d'encryption. In particolare, il sistema Astaro s'integra in modo
trasparente nei gateway, crittografando e decrittografando automaticamente
i messaggi, con la possibilità per gli amministratori IT di gestire tutte le
operazioni da un pannello di controllo centralizzato.
Una volta abilitato, il motore di encryption della posta può essere
preconfigurato con una serie di chiavi di crittografia PGP o S/MIME dei
mittenti e dei destinatari potenziali. La soluzione Astaro è anche in grado di
“estrapolare” le chiavi contenute nei messaggi. Questo facilita la
comunicazione con utenti esterni che usano mail crittografato. La prima
volta che uno di essi invierà un messaggio e-mail contenente la sua chiave o
la firma elettronica a un dipendente dell'azienda che usa il sistema di
7
ASTARO
encryption Astaro, questo rileverà la presenza di tali dati, memorizzandoli.
Da quel momento in poi, tutte le e-mail inviate a quell'utente verranno
crittografate automaticamente, mentre egli potrà decrittografarle con il
sistema da lui normalmente utilizzato.
Per l'accesso alla posta da remoto è poi disponibile il già citato Astaro
UserPortal.
La Web security
La Web security concerne tutto quanto ruota attorno al Web, ivi compreso le
chat e il peer to peer. In altre parole, ambienti Internet in cui si annidano
molte e variegate minacce. Un primo livello di protezione è fornito dalla
scansione antivirus, come già accennato nel precedente paragrafo. A questo
si aggiungono altre funzionalità, a partire dall'URL filtering per arrivare a
spyware protection, HTTPS scanning e al controllo di peer-to-peer e istant
messaging.
L'URL Filtering di Astaro permette alle aziende di proteggere gli utenti
durante la navigazione Web, potendo bloccare o consentire qualunque tipo
di contenuto, dal singolo URL fino a intere categorie o tipologie di URL.
Grazie alle funzioni di reporting integrate sarà possibile determinare quali
utenti hanno visitato determinati siti, quando lo hanno fatto e per quante
volte, unitamente alle statistiche relative all'utilizzo della banda passante,
che permettono di dettagliare gli eventuali abusi.
Anche in questo caso, la soluzione proposta da Astaro si distingue per la
semplificazione della configurazione. Come spiegano i tecnici della società,
infatti, è sufficiente abilitare il filtro URL e quindi selezionare i contenuti da
bloccare e gli utenti a cui devono essere applicate le restrizioni. È possibile
creare profili multipli, da assegnare a diverse tipologie di utenti o
dispositivi. Per esempio, è possibile applicare forti restrizioni alla LAN
wireless degli account ospiti utilizzati da visitatori esterni all'azienda
lasciando al contempo maggiore libertà di azione alle postazioni del
personale interno.
La granularità nel controllo dei contenuti accessibili è rappresentata dalle 95
categorie di classificazione, mentre l'utilizzo congiunto con una directory
d'autenticazione aziendale consente di definire regole per gli utenti e i
gruppi esistenti. Report dettagliati illustrano l'efficacia delle security policy
adottate e l'eventuale necessità di apportare azioni correttive.
La funzione antispyware, invece, si avvale di un database aggiornato in
tempo reale contenente miliardi di URL classificati come spyware che, in
8
caso di accesso da parte dell'utente, vengono bloccati, inviando all'utente un
messaggio di notifica. Il filtro antispyware Astaro, come spiegato dalla stessa
società, è in grado di apportare benefici anche nei casi in cui lo spyware
riuscisse a penetrare all'interno della rete mediante un mezzo fisico, come un
disco esterno o una chiavetta USB.
Per ovviare ai rischi rappresentato dal falso senso di sicurezza indotto dal
protocollo HTTPS (sui siti che lo usano, infatti, possono essere annidati
comunque codici maligni), Astaro propone un filtro in grado di esaminare i
flussi di pacchetti crittografati dall'interno, utilizzando un avanzato
approccio di tipo man-in-the-middle, per consentire un controllo completo e
approfondito. Sugli apparati Astaro è presente un certificato CA dedicato,
che può essere scaricato direttamente dal portale utenti, oppure essere
implementato mediante Microsoft Access Directory, in modo tale che sul
client non venga visualizzato alcun avviso di sicurezza o di sito non fidato
L'URL filtering può essere eseguito su tutti i siti ai quali si accede e il filtro
HTTPS Astaro è anche in grado di effettuare la scansione approfondita del
flusso dati, identificando virus, spyware e contenuti maligni che tentano di
accedere alla rete attraverso la connessione HTTPS.
Videata di Astaro User Reporting
Per quanto riguarda, invece, IM e P2P, Astaro utilizza una tecnologia basata
sul riconoscimento, che permette d'identificare efficacemente queste
9
ASTARO
tipologie di software, consentendo agli amministratori IT d'implementare
regole singole mirate a bloccare tali programmi. Gli amministratori possono
monitorare le modalità di utilizzo di questo tipo di programmi da parte
degli utenti, bloccandone anche le funzioni di invio e ricezione file.
Il sistema, inoltre, non si lascia ingannare dalle "maschere" a volte adottate
da queste applicazioni, grazie a un riconoscimento approfondito.
Tutte le operazioni sono registrate e report dettagliati mostrano il tipo di
utilizzo che viene fatto di Internet e della banda passante. I rapporti sono
presentati a livello aggregato, consentendo una successiva navigazione
vieppiù approfondita.
La Wireless Security
Più specifica, poi, la sicurezza dell'accesso wireless, per la quale Astaro ha
sviluppato la Wireless security, con soluzioni avanzate per i propri access
point. In pratica, come spiegano i responsabili Astaro, con gli access point
Astaro AP 10 e AP 30, si realizza rapidamente una rete wireless sicura. Più
precisamente, è possibile sia creare una rete Wi-Fi completamente nuova, sia
estenderne una esistente, realizzando un bridging sul punto in cui l'access
point è collegato fisicamente.
Gli apparati d'accesso wireless Astaro, in particolare, non richiedono alcuna
configurazione, in quanto le funzioni intelligenti dell'access point sono state
limitate al minimo indispensabile, per essere centralizzate sul controller
wireless. A fungere da quest'ultimo è di fatto l'Astaro Security Gateway.
Tutte le procedure di configurazione, registrazione e individuazione e
risoluzione problemi, dunque, vengono eseguite direttamente dalla
postazione in cui è installato l'apparato Astaro Security Gateway. Le
funzioni di reporting integrate di Astaro visualizzano tutte le informazioni
sui client wireless connessi, senza richiedere l'uso di tool esterni di altri
produttori. Con questo approccio, come sottolineato dai responsabili Astaro,
si riducono notevolmente i costi di gestione totali delle LAN wireless, grazie
ai ridotti costi richiesti per gli upgrade e alla maggiore semplicità di
migrazione verso le tecnologie future.
L'application Security
Infine, un'area di crescente criticità è quella dell'application security, che
comprende sistemi di Web server firewalling per proteggere le applicazioni
da attacchi SQL injection, URL disrupting e così via.
10
In particolare, la soluzione impiega tecniche di reverse proxy, oltre a un Web
application firewall e al già citato antivirus a doppia scansione.
Grazie alla tecnologia di reverse proxy di Astaro, l'amministratore può
controllare il traffico in ingresso sui server, proteggendolo con le opzioni di
scansione e di sicurezza desiderate. Semplificata, inoltre, la configurazione
rispetto a soluzioni analoghe: è possibile, infatti, specificare manualmente il
server interno (o i server se più di uno) che si desidera proteggere, oppure è
possibile eseguire una scansione automatica che consente di identificare le
macchine che attualmente dispongono di servizi HTTP e HTTPS interni
attivi. Successivamente, sarà sufficiente definire quale tipo di interfaccia o
quale alias di indirizzo IP utilizzare per consentire l'accesso ai server
selezionati dalla rete Internet pubblica e infine applicare i profili di
protezione definiti in base alle esigenze specifiche dell'amministratore.
Astaro Application Control, inoltre, permette agli amministratori di
monitorare quali applicazioni vengono utilizzate e da chi, aggiungendo
funzionalità firewall di nuova generazione che forniscono visibilità
sull’utilizzo di Internet, per bloccare applicazioni indesiderate come
Facebook, per esempio, e a fissare le priorità nell’utilizzo della larghezza di
banda Internet. Si può così limitare l’uso di applicazioni che abbassano la
produttività permettendo invece l’accesso a quelle necessarie ai dipendenti
per adempiere alle proprie responsabilità.
La funzione di reverse proxy consente inoltre di alleggerire il carico del
traffico dati crittografato mediante protocollo HTTPS in transito sui server
Web. Mentre i visitatori eseguono la connessione al sito aziendale
direttamente su protocollo HTTPS, infatti, la soluzione Astaro Security
Gateway provvede alla decriptazione del traffico dati, che viene poi inoltrato
ai server interni come traffico HTTP standard. In alternativa, se la situazione
lo richiede, i visitatori possono effettuare l'accesso direttamente con
protocollo HTTP, per poi eseguire il passaggio al protocollo criptato HTTPS
durante l'intero tragitto che dalla rete interna porta ai server di destinazione.
Come spiegato dalla società, grazie al supporto ai certificati di produttori
terzi e all'estrema semplicità di esecuzione dell'intero processo, gestibile da
interfaccia grafica in modo chiaro e accurato, Astaro Security Gateway
consente di garantire la massima sicurezza al traffico dati, senza alcuna
necessità di utilizzare personale specializzato per l'esecuzione delle
operazioni richieste.
URL hardening e cookie protection completano le funzionalità disponibili
per estendere l'utilizzo sicuro delle applicazioni Web.
11
ASTARO
La gestione con Astaro Command Center
Astaro Command Center è un sistema per la gestione centralizzata delle
applicazioni dedicate alla sicurezza. Consente, dunque, di avere una visione
chiara della situazione e dei trend sulla sicurezza, monitorando la stessa
senza dover guardare una miriade sparsa di dati. Tramite un semplice login, si può amministrare anche tutti i prodotti Astaro, attraverso intuitivi
report sull'hardware in tempo reale, potendo operare monitoraggio e
gestione di tutti i dispositivi in modo efficiente e produttivo. Tramite Astaro
Command Center è inoltre possibile creare, in pochi passaggi, tunnel VPN
IPSec, implementando regole per postazioni multiple.
Soluzioni e servizi
Oltre all'architettura aperta e completa, Astaro Security Gateway presenta
tecnologie innovative per un elevato livello di protezione. A parte il firewall
di tipo stateful e l'IPS in grado di bloccare oltre 8mila tipi di attacco, vanno
evidenziate, per esempio, la dotazione di due motori indipendenti per la
scansione dei virus e quella di una crittografia trasparente (con tecnologie
TLS, OpenPGP o S/MIME), che appone una firma univoca e codifica i
messaggi di posta, senza bisogno di installare un client dedicato.
Le appliance Astaro Security Gateway
Per quanto riguarda la versione appliance, va sottolineata l'ampiezza
dell'offerta hardware, che parte da un modello entry level (limitato a 10
utenti ma che può arrivare a 80), per salire a 300, 800, 1500, 3500 e 5000, con
una scalabilità destinata a crescere. Il throughput dipende dai livelli di
sicurezza attivi, ma, secondo dati forniti del costruttore parte, per quanto
riguarda l'UTM da 35 Mbps sul modello da 10 utenti, fino a 350 Mbps per il
più grande.
Astaro Mail Archiving
Altra soluzione innovativa è Astaro Mail Archiving, una soluzione per
l'archiviazione sicura e conforme alle normative vigenti della posta
12
elettronica. Molteplici i vantaggi, che, a detta dei responsabili, derivano in
buona parte dalla semplicità della soluzione. In pochi minuti e click è
possibile configurare gli archivi, dopodiché si ha la garanzia di
un'archiviazione continua abbinata a una capacità di ricerca rapida, fornita
da Outlook Archive Search. Un'estensione con una "App" gratuita nell'Apple
Store consente di accedere alla propria posta da ovunque tramite iPhone.
Architettura di Astaro Mail Archiving
RED (Remote Ethernet Device)
Lo sviluppo di tecnologie innovative, insieme alla filosofia di condivisione
informativa mutuata dall'open source, contribuisce a conferire all'azienda
tedesca, che vanta circa 40mila clienti, la fama di visionaria.
A tal riguardo, merita una menzione speciale una soluzione che pone nuovi
riferimenti nell'ambito delle connessioni in VPN (Virtual Private Network).
Si tratta di RED (Remote Ethernet Device), una "scatoletta" che consente di
collegare in VPN sedi o utenti remoti in modo assolutamente sicuro e plug
and play: come se si "estendesse" il cavo Ethernet dall'azienda all'utente. Ma
non è un semplice "tunnel": RED fornisce la stessa sicurezza UTM completa
che si ha nella sede centrale, anche ai più piccoli uffici remoti o home office
(interessante per il telelavoro crescente, per esempio). L'intero traffico dati
fra la filiale e Internet, infatti, viene instradato attraverso un tunnel criptato
verso l'Astaro Security Gateway centrale e qui viene eseguito il rilevamento
di virus, spam e programmi maligni. Elevata anche la semplicità
d'installazione: le appliance RED dovranno solo essere spedite presso le sedi
remote, dove basta collegarle al router Internet e accederle (senza che siano
richieste
13
competenze).
La
configurazione,
invece,
viene
effettuata
ASTARO
centralmente presso la sede aziendale tramite Astaro Security Gateway e
viene poi distribuita automaticamente a tutte le appliance RED collegate.
Stando a quanto comunicato dalla società, RED è utile anche per collegare
dispositivi in remoto, come le telecamere di videosorveglianza.
Architettura di Astaro RED
Servizio di Mail Archiving
In termini di vision, non poteva mancare, ovviamente, una predisposizione
verso il cloud: Astaro, infatti, sta sempre più spingendo in una logica di
Security as a Service. Il primo a essere stato reso disponibile, partendo
ovviamente dalla relativa soluzione disponibile come applicazione, è un
servizio di Mail Archiving in the cloud, con la possibilità di attivare solo le
funzionalità che occorrono, pagando un abbonamento annuale: se non si
rinnova, si spegne il servizio.
Astaro Log Management
Astaro Log Management consente agli utenti dell’Astaro Security Gateway
di memorizzare e analizzare centralmente i dati di log provenienti da tutti i
sistemi e le applicazioni. Grazie al suo error tracking, alla politica di
protezione e agli alert automatici, si può ridurre il tempo di risoluzione dei
problemi fino al 80%, secondo dati dichiarati da Astaro, aiutando al tempo
stesso le aziende a conformarsi allo standard PCI e ad altri regolamenti.
14
Astaro Endpoint Security
Astaro Endpoint Security aggiunge Data Leakage Prevention che consente di
controllare l'utilizzo delle porte USB, lettori DVD e altri dispositivi periferici.
Gestiti da un Astaro Security Gateway (ASG) centralizzato, gli agenti di
sicurezza possono essere facilmente attivati su ogni dispositivo della vostra
rete locale come anche su dispositivi remoti. Questa funzione include ampie
caratteristiche di reporting che consentono agli amministratori IT di
analizzare l'utilizzo del dispositivo e tenere traccia della posizione di ogni
macchina in caso di furto o smarrimento.
La società
Con oltre 56.000 installazioni, Astaro protegge reti aziendali, scolastiche e
governative dalle minacce alla sicurezza IT. Il pluri-premiato Astaro Security
Gateway, che ha ricevuto le certificazioni ICSA e Common Criteria, combina
tecnologie avanzate in un'unica interfaccia, fornendo una soluzione
completa per sedi aziendali, data center e uffici periferici. Astaro, con sedi
principali a Wilmington, negli Stati Uniti e a Karlsruhe, in Germania,
consente
di
effettuare
download
gratuiti
dei
propri
prodotti
su
www.astaro.com. Sullo stesso sito si possono trovare ulteriori informazioni.
15
BT
Un elemento fondamentale nella sicurezza aziendale e nelle soluzioni che la
implementano, evidenzia Bruce Schneier, Chief Security Technology Officier
di BT ed uno dei maggiori esperti mondiali nel settore della sicurezza, è che
sia possibile stabilire una relazione di fiducia, trusted, tra le entità che
entrano in relazione di business, siano essi dispositivi informatici,
applicazioni o dipendenti aziendali, e questo sia che si operi da postazioni
fisse che mobili.
Il concetto, che si applica in un contesto di infrastruttura IT aziendale,
assume ancor maggior valenza nel cloud computing, dove spesso non è
possibile sapere dove si trovino i server che elaborano le applicazioni fruite
o, cosa ancor più critica per la sicurezza, dove si trova lo storage fisico su cui
sono memorizzate le informazioni aziendali. L’evoluzione verso il cloud
computing obbliga in sostanza, evidenzia BT, a vedere in modo nuovo
l’intero concetto di sicurezza e considerare nell’equazione non solo algoritmi
o meccanismi di protezione, ma tutto quanto concerne a far si che sia
possibile stabilire relazioni di fiducia tra le entità coinvolte in un processo di
business.
Il problema è che la sicurezza ha oggi una valenza molto diversa anche da
soli pochi anni fa e la protezione dalle minacce esterne è solo uno degli
aspetti. Altri, parimenti importanti, riguardano la sicurezza del business, la
disponibilità delle informazioni, l’adeguamento delle infrastrutture e dei
processi aziendali. In pratica, se il “dato” aziendale, come asset, deve essere
protetto, un’azienda, come entità, deve essere resa sicura nei confronti del
1
BT
mercato, e deve essere in grado di stabilire relazioni trusted con i propri
partner e i propri clienti.
Soluzioni per un IT sicuro e trusted
Per rispondere ad un’esigenza di sicurezza globale in uno scenario in forte
evoluzione BT ha sviluppato modelli di servizi che prendono atto del fatto
che il CIO ha il problema di reperire non solo il budget ma anche le relative
competenze. Infatti, se l’adozione di tecnologie aperte in un mercato globale
è una concreta opportunità di business, gli strumenti che si usano per
operare nel market place possono risultare molto rischiosi. In assenza delle
corrette tecnologie e capacità gestionali atte a mitigare i rischi l’impatto
economico potrebbe essere molto pesante.
Per permettere alle aziende di ottimizzare il ROI, pur in uno scenario di
limitata disponibilità di budget e per abilitare la riduzione di spese in conto
capitale, BT ha sviluppato un’offerta che prevede la fruizione di risorse ICT
e la fornitura sia di servizi di sicurezza che di governance con un approccio
aderente al modello di Cloud Computing, che permette di pagare le risorse
usate in base al consumo e alle effettive necessità. In pratica, è possibile
disporre rapidamente di soluzioni IT per la sicurezza e la protezione dei dati
senza doversi preoccupare di conoscenze specifiche o di ottenere tutta la
serie di certificazioni richieste dalle severe normative in vigore e neppure di
doversi occupare di mantenere in futuro la compliance, perché del tutto si
occupa BT.
L’approccio sviluppato è stato adottato da BT sia per quanto concerne la sua
offerta di Virtual Data Center che per quanto concerne l’offerta di Sicurezza,
che abbraccia tematiche che vanno dalla classica sicurezza perimetrale
all’intrusion prevention, dalla consulenza normativa alla Governance totale
dell’IT.
2
I servizi IT
In campo IT e in particolare per quanto concerne la sicurezza e la protezione
dei dati aziendali, BT Italia ha sviluppato un portfolio di soluzioni molto
ampio, che ora comprende “Managed IT Services” e soluzioni di Business
Continuity, Security e Governance, erogate tramite infrastrutture di
proprietà (data center di ultima generazione) e di competenze riconosciutole
dal mercato.
L’offerta di BT ha l’obiettivo di assicurare la massima disponibilità e
sicurezza alle applicazioni e ai sistemi delle aziende. Si basa su infrastrutture
(rete e datacenter) che adottano le tecnologie best of breed e le architetture
più recenti, con processi e competenze in grado di supportare la gestione
(ordinaria e non) e la prevenzione di eventuali problemi.
A partire dal 2008, per rispondere in modo specifico alle esigenze di
sicurezza e flessibilità, ha realizzato il Business Continuity Control Center,
un centro di controllo integrato per la gestione delle problematiche relative
ai servizi ed alle infrastrutture (rete, sistemi, sicurezza e applicazioni). E’
operativo h24, costituisce per le aziende un unico punto di contatto presso
cui è possibile trovare tecnici specializzati ed è organizzato secondo le best
practices ITIL (Information Technology Infrastructure Library), per la
gestione di incident, service request e variazioni sui servizi IT erogati.
Tramite i servizi e il centro, BT ha realizzato numerosi progetti a supporto
della business continuity delle aziende ed ha accumulato una forte
esperienza
in
field
nel
campo
del
Disaster
Recovery,
corollario
indispensabile per la sicurezza del business.
A questi servizi si aggiunge la tematica di rilievo per le aziende del SAP
Management, che BT propone in due modalità, Remote Administration o
Full Outsourcing, attraverso ERPTech (società 100% BT, certificata SAP
Partner Hosting) e i Servizi Professionali, questo anche a seguito
dell’integrazione delle competenze apportate in BT Italia dalle sue
3
BT
acquisizioni
(in
particolare
INS,
focalizzata
nell’assistenza
nella
progettazione, realizzazione, protezione e gestione di reti di natura businesscritical e Counterpane, operante nel campo della sicurezza digitale).
Rete e data center di eccellenza
Tre gli elementi chiave nella piattaforma dei servizi BT: la rete, le business
factory e il business continuity center.
BT Italia ha una rete di proprietà in fibra ottica, di oltre 14.000 chilometri,
estesa su tutto il territorio nazionale e connessa alla rete paneuropea e
mondiale di BT. La rete eroga servizi in più di 170 Paesi ed è stata progettata
e realizzata in aderenza ad elevati livelli di sicurezza, flessibilità, scalabilità e
affidabilità.
Alla rete IP nazionale e a quella globale sono connessi a Milano e Roma i
data center che erogano servizi business critical alla clientela o all’utenza
interna distribuita sul territorio, le architetture di disaster recovery ed anche
le infrastrutture necessarie alla gestione h24 di reti, sistemi e applicazioni.
Sono stati progettati per costituire le infrastrutture abilitanti per la
realizzazione di progetti nei quali siano un requisito fondamentale elevati
livelli di sicurezza logica e fisica, disponibilità e affidabilità dei servizi,
prestazioni e capacità di gestione e personalizzazione.
Terzo elemento chiave è, come accennato, il Business Continuity Control
Center. E’ stato sviluppato da BT per far convergere in un unico centro tutte
le capacità BT di monitoraggio e gestione di reti, sistemi, applicazioni e
sicurezza. Il centro dispone di risorse tecniche specialistiche, processi e
procedure operative dedicate alla gestione e alla erogazione centralizzata dei
servizi. E’ stato strutturato e dimensionato per assicurare un funzionamento
h24 di tutti i servizi erogati alle aziende.
4
CHECK POINT
Check Point Software Technologies ha maturato negli anni una visione
completa della sicurezza, avendone seguito l’evoluzione sin dal 1993, anno
della sua fondazione. Ma oggi appare molto diversa rispetto agli esordi,
quando proponeva un firewall avanzato e subito dopo introduceva le
Virtual Private Network, posizionandosi come best of breed nel proprio
ambito. Negli anni, l'offerta è stata ampliata con vari tasselli, sempre nella
logica di perseguire l'eccellenza, Ma oggi, secondo la strategia della società,
la sicurezza non può più essere una mera collezione di tecnologie puntuali,
pur ottime e potenti, perché i bisogni delle aziende in termini di sicurezza e
l'approccio verso quest'ultima sono cambiati. Un nuovo approccio che
rappresenta il primo forte elemento di discontinuità rispetto al passato, cui
corrisponde una nuova strategia basata sulla visione "3D Security" di Check
Point.
Secondo tale visione, la sicurezza va considerata quale un processo
aziendale come altri, fortemente decisivo per i destini dell'azienda. Come
tale deve essere funzionale innanzitutto agli obiettivi di business. È partendo
da questi, in altre parole, che ogni azienda deve definire i requisiti della
sicurezza, in base ai quali si devono definire al meglio le policy. Queste
ultime, peraltro, rappresentano "soltanto" la prima delle tre dimensioni in
cui va articolata la sicurezza: policy, appunto, persone ed enforcement.
1
CHECK POINT SOFTWARE TECHNOLOGIES
La 3D Security
Secondo quanto spiegato dai responsabili di Check Point, la 3D Security
permette alle imprese d'implementare un concetto di sicurezza che va oltre
la tecnologia, interpretandolo come processo di business e razionalizzando
al contempo investimenti e attività operative per garantire l'integrità di tutte
le informazioni. In altre parole, il giusto livello di sicurezza per conseguire
gli obiettivi di business prefissati.
Questo è possibile attraverso le tre dimensioni:
Policy - La sicurezza parte da policy ben definite e ampiamente condivise
che ricalcano esigenze e strategie organizzative. La definizione delle policy è
da sempre il punto di partenza di un sistema per l'ICT sicurezza, ma la
maggior parte delle aziende moderne, secondo quanto affermato dai
manager di Check Point, oggi non dispone di tali policy, affidandosi a liste
di controllo "system-level" e a un insieme di varie tecnologie. Rispetto a tali
sistemi "tradizionali", tipicamente rigidi nel descrivere al firewall i parametri
per sorgente, destinazione, servizio e azione, le nuove soluzioni di Check
Point consentono di supportare più da vicino i bisogni del business. Per
esempio, la sorgente non è un indirizzo IP o un segmento di rete, ma un
gruppo di utenti o anche un singolo utente. Non si descrive un protocollo,
ma un servizio specifico e in maniera anche granulare, tanto che è possibile
definire una policy che, per esempio, consente al gruppo del marketing di
accedere a Facebook, ma inibendo l'accesso ai servizi di "svago" forniti dal
noto sito di social networking e permettendo solo quanto necessario per
aggiornare la pagina aziendale. In questo modo è possibile supportare un
utilizzo anche professionale delle molte opportunità offerte dal Web 2.0.
Le persone/utenti - Gli utilizzatore dei sistemi IT rappresentano una parte
critica del processo di sicurezza. Anche senza dolo, succede spesso, infatti,
che commettano errori, provochino infezioni da malware e causino fuga di
informazioni. Secondo Check Point le persone devono essere coinvolte,
mentre in passato le tecnologie venivano calate dall'alto e non spiegate, con
il rischio concreto che il comportamento dell'utilizzatore ne inficiasse
2
l'efficacia. È un problema di cultura che spesso viene trascurato in azienda,
anche perché risulta difficile far cambiare abitudini. Basta, però, anche solo
informare gli utenti, perché questi diventino parte attiva e non sviluppino
comportamenti che possano mettere a repentaglio la sicurezza quando
navigano su Internet o condividono dati sensibili. Al tempo stesso, la
sicurezza dovrebbe essere più semplice e trasparente possibile e non
dovrebbe modificare il modo di lavorare degli utenti.
Enforcement – L'enforcement rappresenta l'insieme di tecnologie e
applicazioni che permettono di realizzare le policy e favoriscono il
comportamento corretto degli utenti. Secondo Check Point,: sicurezza
significa ottenere un migliore controllo sui diversi strati di protezione.
Impiegando prodotti disparati, ciascuno con un proprio linguaggio per le
policy e ognuno focalizzato su un singolo aspetto, purtroppo le aziende
rischiano di perdere questa capacità di controllo. In alcuni casi, per esempio,
i sistemi di sicurezza generano report che avvisano di una violazione in atto,
ma non applicano le policy di risposta. Le aziende devono e possono
raggiungere un più alto livello di visibilità e di controllo consolidando la
propria infrastruttura di sicurezza e utilizzando sistemi che prevengono gli
incidenti piuttosto che limitarsi a rilevarli. Le soluzioni per la 3D Security di
Check Point prevedono automatismi, che accelerano le risposte agli eventi di
sicurezza,
e
meccanismi
che
consentono
di
applicare
le
policy
precedentemente definite e che mantengono consapevole e informato
l'utente finale, aiutando anche quest'ultimo a rispettare le policy.
Questa visione rimarrebbe un approccio teorico se non fosse supportata da
un unico sistema per la gestione e correlazione degli eventi di sicurezza, che
conferisce dinamicità e flessibilità, favorendo la consistenza delle policy e la
loro applicazione.
L'architettura in una release
Check Point ha rilasciato la R75, prima release del sistema per la sicurezza di
rete che consente di implementare gli elementi di questo approccio multidimensionale, sulla base della software blade architecture, già introdotta da
un paio d'anni circa. Non è facile, però, educare e coinvolgere gli utenti; così
3
come è difficile "imporre" la sicurezza e l'applicazione delle policy senza
automatismi. Questi ultimi, peraltro, non possono apparire come un vincolo
troppo ristrettivo o addirittura un ostacolo. Ecco che la società israeliana ha
ulteriormente affinato la soluzione di User Check, già introdotta da qualche
tempo con la prima versione del DLP, per un enforcement "informato". Di
fatto tutte le attività sono registrate, mentre automatismi avvisano l'utente
degli eventuali comportamenti non consentiti o non consigliati: è possibile
bloccarli o permettere una sorta di "autocertificazione". Questo a più livelli:
per esempio per l'accesso al Web o altre risorse (application control), oppure
per l'invio di documenti riservati (DLP). In questo modo, si limita il rischio
di "errori" dovuti all'ingenuità dell'utente. Ovviamente c'è molta granularità,
dando privilegi automatici o blocchi definitivi (per esempio, per alcuni
documenti si può stabilire che non sono ammesse eccezioni).
Con la release R75 del sistema per la sicurezza di rete vengono aggiunte le funzionalità necessarie a
completare la vision della 3D Security
L'inserimento all'interno della R75, delle blade Application Control, ID
Awareness e Mobile Access, hanno consentito di completare il quadro della
3D Security, cioè di realizzare il sistema unico di gestione unificata che
permette di definire le policy, coinvolgere le persone e applicare la sicurezza
e le sue policy. La granularità nella definizione delle policy, in particolare, è
resa possibile dall'altrettanto elevata granularità nell'identificazione delle
persone fisiche. Le funzionalità fornite da ID Awareness software blade
4
sono, quindi, fondamentali per garantire una corretta assegnazione dei
privilegi e concretizzare l'applicazione delle policy stesse.
L'Application Control software blade, da parte propria, estende la
protezione e il controllo a tutte le applicazioni Web, ai siti di social
networking e ai vari servizi che sono accessibili sulla Rete. La soluzione
consente di definire policy di security e di utilizzo. Più precisamente, è
possibile rilevare e controllare l'uso delle applicazioni in maniera granulare,
grazie alla sofisticata definizione degli utenti: per esempio, Mario Rossi dalla
macchina 1234 può accedere alle seguenti applicazioni.
Mobile Access Software Blade risponde al crescente bisogno di protezione
per i dispositivi e le connessioni mobili. La soluzione, a detta dei
responsabili di Check Point, garantisce una connettività sicura e protegge i
dati con una cifratura molto consolidata. Si tratta di ambienti che non sono
ancora inquadrati in un contesto di sicurezza aziendale adeguato e in cui i
rischi sono crescenti.
L'architettura Software Blade
Check Point ha sviluppato la Software Blade Architecture per superare il
concetto di Unified Threat Management, permettendo alle aziende di
racchiudere in un unico sistema tutte le soluzioni necessarie per raggiungere
il corretto livello di sicurezza per la propria azienda. In maniera efficiente è
possibile costruire una soluzione su misura a gestione centralizzata che
riduce complessità e impegno operativo.
Per software blade, s'intende un elemento di sicurezza logico indipendente.
Tali applicazioni modulari possono essere acquistate singolarmente e
inserite nel sistema. All'occorrenza si possono rapidamente abilitare e
configurare, all'emergere di una nuova minaccia o di nuove esigenze di
business, massimizzando l'efficienza del sistema nell'espansione dei servizi
per la sicurezza. Il consolidamento dell'hardware impiegato, l'unificazione
della gestione e la modalità di attivazione solo a necessità sono tutti fattori
che contribuiscono a ridurre il costo totale di possesso (TCO).
5
Le software blade della famiglia security gateway
Alla flessibilità e alla gestibilità si aggiunge anche il vantaggio del sistema
unico, in grado di coprire le esigenze di sicurezza a 360 gradi, permettendo
di raggiungere il livello di sicurezza adeguato per le esigenze di business e
di rafforzare tutti i punti sensibili e i livelli della rete aziendale.
L'idea delle software blade è nata partendo da una serie di attività congiunte
con partner e grossi clienti, con i quali Check Point, come ci hanno spiegato i
responsabili della società, hanno condiviso esigenze e idee. Il punto di
partenza è stato il bisogno di acquistare solo quello che serve quando serve,
salvaguardando gli investimenti. L'altra esigenza fortemente sentita era
quella della semplicità di gestione in una soluzione integrata.
Molte e varie le software blade disponibili, divise in "lame" per la
gateway/network security, l'endpoint security e per il security management:

Security gateway software Blade – Firewall; IPSEC VPN; Mobile
Access; Identity Awareness; Application Control; IPS; DLP; Web
Security; URL Filtering; Antivirus & Anti-Malware; Anti-Spam &
Email Security; Advanced Networking; Acceleration & Clustering;
Voice over IP (VoIP); Security Gateway Virtual Edition.

Endpoint software blade - Full Disk Encryption; Media Encryption;
Remote Access; Anti-Malware / Program Control; Check Point
WebCheck; Firewall / Compliance Check.

Security Management software blade - Network Policy Management;
Endpoint Policy Management; Logging & Status; SmartWorkflow;
6
Monitoring; Management Portal; User Directory; SmartProvisioning;
SmartReporter; SmartEvent; Multi-Domain Security Management.
Interessante, in particolare, è la logica delle blade applicata al concetto di
gestione. L'approccio è lo stesso: se il proprio sistema di sicurezza prevede
pochi firewall o gateway perimetrali con solo funzioni base, è possibile
partire con un sistema di management semplice. Nel momento in cui
crescono le esigenze e il sistema di sicurezza con loro, analogamente si può
ampliare la componente di amministrazione della sicurezza. Potrebbero
altresì nascere nuove esigenze al variare di condizioni esterne, tipicamente le
normative da rispettare, per cui diventa necessaria la parte di reportistica, la
correlazione degli eventi, il change management e così via.
In tutti i casi, Check Point garantisce l'elevato livello di gestione e controllo
fornito dai propri sistemi di management, in particolare, con Smart Event,
che fornisce una visualizzazione di alto livello sulla rete, permettendo di
avere un immediato quadro della situazione e vedere a colpo d'occhio se c'è
qualche evento da controllare.
L'architettura prevede che le blade software vengano installate su un
gateway, tipicamente un appliance Check Point UTM-1, Power-1 o IP (di
derivazione Nokia), ma è possibile anche utilizzare un open server, pure in
ambiente virtuale. Le diverse blade possono essere aggiunte facilmente e in
maniera dinamica, abilitando le funzionalità, senza bisogno di acquistare
hardware
aggiuntivo
o
di
installare
firmware
o
driver
ulteriori.
L'architettura permette di aggiungere funzionalità integrandole direttamente
in sistemi magari già presenti in azienda, come il firewall. A detta dei
responsabili Check Point, si ottengono risparmi significativi, oltre che in
termini di formazione, anche per quanto riguarda la semplificazione
dell'infrastruttura hardware e, conseguentemente, sul fronte del consumo
energetico e dello spazio rack. Inoltre, si apre la possibilità di attivare
funzionalità avanzate, come l'IPS, anche presso sedi remote, laddove non si
giustificherebbe l'acquisto di una costosa appliance dedicata.
La flessibilità, come spiegano i responsabili di Check Point, consiste anche
nell'intercambiabilità delle soluzioni: in pratica, è possibile spostare le
funzionalità da una macchina a un'altra, a seconda delle necessità. Il tutto è
7
molto semplice perché la gestione è centralizzata. Per esempio: in una
grande azienda i gateway di controllo del traffico Internet potrebbero essere
a Roma e lì viene abilitato l'Application Control software blade.
Successivamente l'architettura di rete viene modificata e l'accesso è gestito
da Milano: basterà "spegnere" la funzionalità a Roma e "accenderla" a
Milano, mantenendo inalterate policy e rimanenti configurazioni.
Come accennato, Check Point Software Technologies ha comunque
mantenuto nel tempo un alto livello di servizio per le proprie soluzioni.
L'intrusion prevention system, per esempio, è risultato recentemente
secondo in un test condotto dalla società indipendente NSS. Analogamente,
per ogni aspetto, Check Point ha curato la ricerca e sviluppo di soluzioni che
potessero essere classificate best of breed, anche ricorrendo a partnership
con terze parti, laddove lo ha ritenuto opportuno. Nel seguito analizzeremo
più in dettaglio le blade più recenti a supporto della 3D Security.
Soluzioni e servizi
Le soluzioni per la 3D Security
Come accennato, le principali soluzioni per la sicurezza di Check Point
Software Technologies sono fornite sotto forma di software blade. Di seguito
esaminiamo un po' più in dettaglio le ultime e più importanti novità, che
hanno permesso di concretizzare la visione della 3D Security.
Mobile Access software blade
La Mobile Access software blade garantisce una connettività sicura per
iPhone e iPad, nonché altri tipi di smartphone e tablet Android (la lista di
compatibilità è in continuo aggiornamento), proteggendo i dati con una
consolidata tecnologia di cifratura. Ideale per i lavoratori mobili che
utilizzano dispositivi gestiti o non gestiti, questa applicazione è facile da
installare e da utilizzare, in particolare, con la Check Point Mobile
application, una App attualmente disponibile presso l’App Store.
8
La blade fornisce un accesso remoto di classe enterprise, come sottolineano i
manager del fornitore, utilizzando una connessione SSL VPN basata su
client o su Web, consentendo una consultazione semplice e sicura di posta
elettronica, agenda rubrica o altre applicazioni aziendali. All'occorrenza, la
sicurezza di accesso si può aumentare con un certificato digitale che
riguarda il dispositivo, per cui le credenziali ID e password dell'utente
saranno validate solo se digitate dal particolare dispositivo associato a
quell'utente.
Completamente integrata nel sistema di gestione Check Point, Mobile
Access software blade fornisce, inoltre, la protezione dei dati sui dispositivi
persi o rubati, grazie a meccanismi di blocco dell'apparato (device-lock) o di
cancellazione da remoto.
DLP software blade
La software blade per la Data Loss Prevention (DLP) protegge in maniera
proattiva le informazioni sensibili, in modo da prevenirne la perdita o la
fuoriuscita dall'azienda.
Con la suite DLP Check Point ha introdotto la funzionalità "User Check", che
permette di educare gli utilizzatori al rispetto delle policy, informandoli se
tengono un comportamento scorretto: per esempio, se un file classificato
come confidenziale viene allegato a una mail in uscita dall'azienda, il
sistema DLP lo bloccherà e, tramite UserCheck, informerà l'utente
dell'accaduto, sottolineandone i motivi.
La potenza della soluzione sta nella granularità con cui possono definirsi le
policy In particolare, i meccanismi possibili sono: permettere, bloccare,
chiedere. A ogni singolo utente sono assegnati privilegi per cui potrebbe
essergli consentito di compiere determinate azioni, oppure potrà essergli
chiesta conferma, qualora effettui un'operazione non consentita, ma che, in
quell'occasione, costituisca un'eccezione. Quando si verifica una violazione,
in altre parole, la tecnologia UserCheck aprirà una finestra pop-up (o
spedirà una mail, se non è necessario operare in real time), con cui sarà
veicolato l'allarme sulla violazione e saranno date le eventualmente previste
concessioni.
9
Per controllare i "comportamenti", Check Point ha sviluppato la tecnologia
MultiSpect. Questa consiste in un motore per la classificazione di dati
multipli (per esempio dati personali, dati su cui pendono diritti di proprietà
intellettuale, dati segnalati all'interno di normative e così via), che ispeziona
i flussi di traffico e correla utenti, tipologia di dati e processi. In tal modo
riesce a rilevare violazioni alle polici predefinite. Ai meccanismi automatici
che consentono alla soluzione DLP di bloccare la fuoriuscita di dati prima
che nascono problemi di sicurezza, Check Point ha, come accennato,
accostato un sistema che abilita il "fattore umano" a rimediare alle potenziali
violazioni in tempo reale. UserCheck può essere configurato in maniera
molto accurata, fornendo ai processi di business la flessibilità necessaria.
Nell'impostazione "ask", per esempio, l'utente, cui è stato concesso questo
privilegio, può autocertificare l'eccezione, ma è consapevole che l'operazione
è tracciata e registrata, per cui è chiamato ad assumersi la propria
responsabilità.
Per aiutare le organizzazioni nella definizione delle policy e nella
configurazione della soluzione, eliminando molte delle complessità tipiche
di questi processi, Check Point ha raccolto e messo a disposizione oltre 250
best practice e regole predefinite, che prevengono l'esposizione al rischio dei
dati aziendali riservati e di quelli sensibili sottoposti ai vincoli di
compliance. Le policy, inoltre, sono gestibili all'interno del sistema
centralizzato di gestione Check Point Security Management, favorendo la
consistenza con le altre policy aziendali e fornendo il conforto di un
ambiente già noto.
ID Awareness software blade
ID Awareness consente alle organizzazioni di gestire le policy di sicurezza
in base agli utenti e ai gruppi, ma anche le macchine vengono identificate
con precisione. In questo modo, le imprese possono ottenere un controllo
avanzato di applicazioni e accessi attraverso la creazione di policy accurate
basate sull’identità. Il livello di granularità raggiungibile è uno dei principali
elementi distintivi della soluzione.
10
La stretta integrazione di Identity Awareness con Active Directory consente
un’implementazione semplice e rapida, mentre il management centralizzato
e le funzioni di monitoraggio permettono la gestione di tutte le policy da
un'unica console.
La soluzione mette in grado di distinguere facilmente tra utenti interni ed
esterni, come ospiti o partner, applicando metodi multipli per riconoscere le
identità, tra cui sistemi clientless (integrazione con le Active Directory),
captive portal (tramite compilazione di un form via Web) e identity agent
(installati sull'endpoint dell'utente). I dati d'identità sono poi forniti alle
software blade in modo che siano applicate con efficacia ed eventualmente
"imposte" le policy.
Application Control software blade
Le imprese si trovano a fronteggiare il proliferare delle applicazioni Web 2.0
in azienda. Attività di collaboration o strumenti innovativi del marketing
rendono necessario e vantaggioso l'impiego di tali applicazioni, ma il rischio
di abuso da parte dei dipendenti, che ne approfittano, per esempio, per
aggiornare la propria pagina Facebook, invece di quella aziendale, è alto.
Sempre rimanendo nei termini di legge, la soluzione di Check Point
garantisce la sicurezza e permette di gestire l’utilizzo di migliaia di
applicazioni Web 2.0. In particolare, l'utilizzo della già citata tecnologia
UserCheck consente di applicare politiche "morbide", coinvolgendo l'utente
nel processo decisionale e permettendo agli amministratori IT di
personalizzare le policy per l'utilizzo delle applicazioni in maniera molto
dettagliata. La compatibilità con le directory e l'eventuale supporto di ID
Awareness
consentono
all'Application
Control
software
blade
di
differenziare in profondità tale utilizzo.
Per una migliore gestione, inoltre, Check Point garantisce una "visibilità"
applicativa molto accurata: il sistema è infatti in grado di individuare e
controllare il traffico di un numero molto alto di applicazioni, attraverso
Check Point AppWiki, una grande libreria di applicazioni e widget, in
continua crescita, distinguendo tra migliaia di siti di collaboration, social
networking, messaggistica istantanea, media streaming e così via. In questo
11
modo, la soluzione consente un approccio innovativo al controllo delle
applicazioni, fornendo una combinazione di tecnologia e consapevolezza
degli utenti.
Le appliance Check Point e il progetto Gaia
Check Point fornisce diverse tipologie di appliance, da quelle di fascia bassa
della serie Safe@Office destinate al mondo Soho e della piccola impresa, a
quelle delle linee UTM-1, Power-1 e IP, con caratteristiche relative a densità
di porte e prestazioni via via più elevate, fino ai 30 Gbps di throughput per
le esigenze di classe enterprise.
Un'appliance della linea Power-1
Le piattaforme sono dunque in grado di soddisfare qualsiasi bisogno e,
attualmente, sono disponibili su sistemi operativi SecurePlatform e Ipso.
Check Point, però, ha avviato da qualche tempo il progetto Gaia, che si
premura di prendere il meglio dei due ambienti, per realizzare un sistema
unificato per tutte le macchine, installate e future. Secondo i piani, il primo
frutto del progetto dovrebbe vedere la luce per fine anno, in seguito sarà
proposta una roadmap di migrazione graduale.
Come accennato, le software blade possono essere installate su dispositivi
open server o altri, magari già presenti presso le aziende, anche se, per
ovviare a problemi di certificazione, e per ragioni di semplicità e vendor
consolidation, molti clienti preferiscono scegliere appliance Check Point.
12
L'endpoint security e Check Point Abra
La "consumerization" è quel fenomeno in base al quale l'avanzata tecnologia
a disposizione del consumatore viene da questi portata e utilizzata in
azienda. Il conseguente proliferare di endpoint personali che sfuggono al
controllo dell'IT aziendale rappresenta un crescente problema di sicurezza.
Per soddisfare le crescenti esigenze di endpoint security, Check Point, come
accennato, ha sviluppato diverse software blade dedicate a quest'ambito. La
copertura è piuttosto vasta, con soluzioni che vanno dalla protezione dei
laptop, con il personal firewall o l'antivirus, alla mappatura del disco con
piena cifratura dell'intero volume, alla protezione e alla gestione dei
dispositivi USB, passando da soluzioni coperte da Mobile Access software
blade e sistemi di accesso remoto innovativi come Check Point Abra.
A seconda delle necessità si possono impostare e imporre policy per
prevenire la fuoriuscita dei dati: per esempio, è possibile imporre che tutte le
memory key USB debbano essere cifrate. Grazie alla tecnologia Check Point,
la decifratura è possibile solo da un pc aziendale: in realtà i file cifrati non
sono visibili su un pc "straniero". Può inoltre essere bloccata la copia di
contenuti non cifrati. Ovviamente, sono previste diverse possibilità di
assegnare permessi di lettura e scrittura sulle chiavette di memoria.
Una menzione a parte merita la soluzione Check Point Abra: si tratta di una
soluzione installata su una chiave USB, che contiene tutto il necessario per
creare, su qualsiasi pc, un ambiente virtuale sicuro. Di fatto, viene aperto un
virtual workspace in cui un utente può operare come se fosse sul suo
desktop, avendo eventualmente accesso a tutte le risorse della propria
azienda via Web (per esempio, a un'infrastruttura VDI e quindi direttamente
al suo pc), grazie al client VPN integrato in Abra. Non solo il tutto è criptato,
ma una volta staccata la chiave dalla porta USB, sul pc "ospite" non rimane
la pur minina traccia in nessun registro o porzione di memoria.
In altre parole, viene creata una "bolla" di sicurezza sulla macchina ospite,
all'interno della quale sono garantite le policy previste dall'azienda e dove è
possibile svolgere determinate attività, come accedere alla posta elettronica o
lavorare su file contenuti sulla chiavetta di Abra stessa. Tutte le operazioni e
13
file relativi vengono registrate su spazio disco temporaneo in maniera
cifrata: se manca la corrente o Abra non viene chiuso correttamente, questi
file, anche se si è bravi a trovarli, risultano comunque illeggibili, se, invece,
viene chiusa correttamente la sessione con Abra, vengono immediatamente e
completamente cancellati, senza lasciare alcuna traccia, né in memoria né sul
disco (per esempio, il file non comparirà tra i recenti utilizzati
dall'applicazione). È inoltre possibile inibire alcune funzioni sul pc locale,
come copia/incolla o stampa.
Check Point Abra è una soluzione prevaricata su una memory key USB, che permette di realizzare un
ambiente virtuale sicuro su un qualsiasi pc ospite
La soluzione nasce per fornire un accesso remoto sicuro agli utenti cui
sarebbe poco giustificabile fornire un più costoso dispositivo mobile (come
uno smartphone o un notebook, con relative complessità di sicurezza), ma
viene impiegata anche in altre forme di applicazione. Per esempio, in alcune
organizzazioni, Abra viene impiegata per dare accesso a file riservati a
consulenti esterni. La soluzione, infatti, consente al consulente di svolgere
sul file il lavoro che gli viene chiesto, ma non può trasferirlo al di fuori della
chiavetta Abra, né stamparlo. È quindi impossibilitato a consegnarlo a terze
parti. Risulta quindi estremamente più semplice e più economico che
realizzare un sistema di accesso da remoto sofisticato e sicuro. Si tratta di
una soluzione che può essere molto utile laddove occorrano sistemi di DRM
(Digital Right Management) o di tutela di segreti industriali e proprietà
intellettuali e non si vogliono gestire troppe complessità.
14
La società
Check Point Software Technologies si definisce leader mondiale della
sicurezza su Internet e unico vendor in grado di offrire "Sicurezza Totale" a
reti, dati ed endpoint, unificata in una singola infrastruttura di gestione.
Check Point fornisce ai clienti protezione senza compromessi da ogni tipo di
minacce, diminuisce la complessità e riduce i costi totali di possesso. Grazie
a FireWall-1 e alla tecnologia Stateful Inspection, Check Point può essere
definito il pioniere nel settore della sicurezza. Check Point continua a
innovare con lo sviluppo dell’architettura Software Blade grazie alla quale è
in grado di offrire soluzioni sicure, semplici e flessibili che possono essere
completamente personalizzate per rispondere alle specifiche esigenze di
sicurezza di ogni organizzazione o ambiente. Tra i clienti Check Point vi
sono tutte le aziende della lista Fortune 100 e decine di migliaia di
organizzazioni di ogni dimensione. In aggiunta, la nota linea di soluzioni
ZoneAlarm protegge milioni di utenti individuali da hacker, spyware e furti
di identità.
Per ulteriori informazioni: www.checkpoint.com
15
CISCO
Cisco è da sempre una delle principali promotrici della convergenza, che,
dal trasporto, ha esteso dapprima ai servizi e successivamente alle
applicazioni. Oggi, Cisco guida la transizione della rete da mezzo di
connessione e trasporto verso il “network as the platform”, attraverso
tecnologie che fanno riferimento a tre architetture principali: Borderless
Network, Collaboration, Data Center Virtualization.
Da semplice “tubo” per Internet e la connettività, la rete sta evolvendo,
secondo la visione di Cisco, in una piattaforma che “abilita esperienze” e
facilita “la transizione verso un modo di lavorare che consente la diffusione
di nuovi modelli di business basati sulla collaborazione, sostenuti
dall’offerta di servizi e applicazioni che trasformano la Rete in una human
network su cui comunicare, lavorare in team e produrre innovazione senza
vincoli di luogo, spazio e tempo”. Con rete e servizi application aware i
sistemi diventano più veloci e affidabili, grazie all’aumento degli
automatismi e della comunicazione diretta tra le applicazioni stesse.
In questo scenario, se la rete è il fattore abilitante del nuovo modo di vivere
le relazioni sociali e di lavorare, la sicurezza è, secondo la visione di Cisco, il
fattore abilitante della rete stessa, da un lato, e di tutte le innovazioni
nell’ambito dell’IT e non solo, dall’altro. Mobility, Unified Communication,
Business Collaboration, Cloud Computing, solo per citare le più recenti
tendenze tecnologiche, non potrebbero esistere senza una rete sicura. Non a
caso, la sicurezza è da sempre parte integrante delle strategie di Cisco per lo
sviluppo del networking passato e dell’ICT futura.
1
CISCO
Più che mai la sicurezza è da intendersi come elemento abilitante del
business e le imprese, secondo la società statunitense, cominciano a
comprenderlo spinte come sono all’adozione di nuove tecnologie per la
comunicazione e la collaborazione, ma anche di nuovi modelli di business
quali il Cloud o dalle esigenze di virtualizzazione e di mobilità degli utenti.
Queste portano flessibilità operativa, produttività e competitività, ma
richiedono appunto sicurezza. Anzi sono frutto di progetti che nascono
direttamente con la sicurezza. Senza contare la necessità di rispondere alle
leggi.
Anche nello sviluppo delle architetture per il data center e per l'Unified
Communication e Business Collaboration, Cisco ha predisposto soluzioni
che facilitano la diffusione integrata della sicurezza. In particolare,
l'architettura del network Data Center Cisco permette di creare un ambiente
ideale per la protezione delle applicazioni, dei servizi, delle informazioni e
delle infrastrutture. Aiuta a garantire il rispetto delle normative e delle
policy aziendali, e consente di usufruire di un'infrastruttura di rete affidabile
dotata di caratteristiche di sicurezza, disponibilità, prestazioni e business
continuity. Grazie alla segmentazione degli ambienti rete, server e storage e
ai servizi che ottimizzano la gestione delle applicazioni, è possibile ottenere
benefici immediati anche a livello di Service-Level Agreement (SLA). Inoltre,
l'estensione o la replica a livello geografico degli ambienti server, storage e
applicativo per il Data Center garantisce la continuità dei servizi anche nel
caso di incidenti. Lo sviluppo di ASA (form factor appliance of firewall
balde) particolarmente performanti e molto adatti al contesto del Datacenter
(capacità di gestire molte sessioni concorrrenti e throughput importanti)
rendono sempre più sicuro l’infrastruttura di Datacenter di Cisco sia esso
basato sulla piattaforma Nexus o su Catalyst Serie 6XXX.
Analogamente integrato è anche l'approccio alla sicurezza nell'ambito della
Unified Communication e Collaboration. L’utilizzo di tecnologie VOIP e
comunicazione unificata pone importanti considerazioni legate alla
sicurezza, che vanno viste alla luce del livello di sicurezza che appartiene
alla infrastruttura di rete sulla quale il sistema di telefonia si appoggia. Cisco
suggerisce di mantenere logicamente separate le reti voce e dati sfruttando
uno schema architetturale ridondato (tramite clustering e caratteristiche di
2
backup quali SRST - Survivable Remote Site Telephony). Quest'approccio
consente anche di ridurre il rischio di intercettazione delle telefonate, che in
determinate implementazioni è opportuno cifrare -senza perdere di vista le
esigenze di Qualità del servizio (QoS) end to end. Cisco risponde a questa
esigenza con la soluzione Voice and Video over VPN (V3PN), potenziando
nel contempo i sistemi Cisco ASA e IOS Firewall, affinché trattino il traffico
voce fornendo il giusto supporto per le esigenze particolari di bassissima
latenza. Fra gli altri accorgimenti, per proteggere il server di Unified
Communications, Cisco fornisce software con funzionalità di host intrusion
protection, personal firewall e anomaly detection da installare sul server
stesso.
La sicurezza context-aware e Cisco Secure X
La sicurezza deve essere dunque sempre più integrata ed esserlo sotto tutti i
punti di vista: da un lato, adottando un approccio olistico ed end to end,
dall’altro, diventando un elemento pervasivo intrinseco nei servizi ICT di
nuova generazione.
La risposta all’evoluzione delle minacce e all’inasprirsi degli attacchi sempre
più mirati deve essere talmente sofisticata da diventare praticamente
trasparente all’utilizzatore. D’altro canto, il “vecchio” perimetro aziendale,
delimitato dalla LAN, si è evoluto e, pertanto, Cisco ha elaborato la Secure
Borderless Network alla quale oggi si aggiunge la funzionalità di sicurezza
context-aware, disponibile su tutti i prodotti, che fa compiere compie un
ulteriore passo avanti al concetto di sicurezza aziendale.
L’architettura si focalizza su quattro aspetti critici: gli endpoint aziendali
(mobili o fissi), l’edge Internet, il data center e le policy in funzione dei
contenuti e del luogo in cui si opera.
La nuova architettura di sicurezza, altamente distribuita e context-aware, è
in grado di gestire gli elementi che applicano la scansione della sicurezza,
quali firewall, Web proxy e sensori di intrusion prevention, attraverso un
linguaggio delle policy molto avanzato. È il concetto di context-aware che
risponde a precise esigenze tramite elementi innovativi per la scansione
completamente indipendenti dall'infrastruttura fisica e che possono essere
3
CISCO
installati come appliance, moduli e servizi cloud. Questi, in particolare, sono
in grado di comprendere chi sia l’utente, qual è il suo ruolo
nell'organizzazione e se l'utente abbia o meno e quali diritti di accesso. Tali
elementi, quindi, risultano essere gli strumenti più idonei per affrontare le
sfide poste alla sicurezza oggi.
L'architettura di sicurezza Cisco
Cisco SecureX è l'insieme degli elementi per una sicurezza context-aware di
nuova generazione e, più precisamente, comprende:

Elementi di applicazione della sicurezza context-aware indipendenti
dall’infrastruttura fisica che possono essere implementati in un modo
altamente distribuito.

Un nuovo linguaggio di policy context-aware, che consente di gestire
gli elementi di enforcement context-aware.

Cisco AnyConnect che si collega a qualsiasi dispositivo, in qualsiasi
momento e da qualsiasi luogo, per l’applicazione delle specifiche
policy di sicurezza.

Piattaforme cloud e virtuali che si connettono alle funzionalità di
switching dei data center virtuali di Cisco.

Cisco Security Intelligence Operations, che fornisce un contesto
globale e l’intelligence sulle minacce.
4

Apertura e disponibilità delle API che permettono ai sistemi di
gestione di Cisco e dei partner di creare un ecosistema condiviso della
sicurezza.
L'architettura Cisco Secure X, inoltre, prevede:

Funzionalità
di
Context-Aware
per
Cisco
Adaptive
Security
Appliance (ASA): Cisco ASA è il primo a elemento ad applicare le
policy
e
il
firewalling
completamente
context-aware.
Grazie
all’utilizzo congiunto del contesto locale di Cisco TrustSec, del
contesto globale di Cisco SIO e l’analisi mobile di AnyConnect, Cisco
ASA fornisce alle aziende piena visibilità delle proprie infrastrutture
di rete, fornendo una maggiore sicurezza e creando policy
semplificate in linea con le regole aziendali. Utenti, applicazioni, dati,
reputazione, dispositivi, comportamenti, minacce, destinazioni, fonti e
luoghi sono alcune delle componenti del contesto pluri-sfaccettato che
Cisco ASA sarà in grado di indirizzare. Tutto ciò permetterà di
estendere le infrastrutture firewall esistenti per renderle coerenti con
le esigenze di flessibilità delle organizzazioni e del personale.

Il Client AnyConnect, caposaldo della sicurezza in mobilità e di
telemetria
per
Cisco
Security
Intelligence
Operations
(SIO):
AnyConnect 3.0 integra in Cisco SIO una funzionalità di telemetria
delle minacce in tempo reale basata su client per sostenere un totale di
oltre 700mila dispositivi di rete e di appliance di content security. La
telemetria dagli attuali servizi di sicurezza Cisco, per e-mail, Web,
prevenzione delle intrusioni, firewall e servizi di sicurezza cloud,
consente di disporre di un contesto globale e intelligence delle
minacce sempre più efficace, garantendo una protezione rapida e
precisa contro una vasta gamma di attività sospette. A fronte di un
installato di oltre 150 milioni di client AnyConnect e VPN tradizionali,
questo rappresenta un passo avanti nella visibilità e nell’intelligence
delle minacce che Cisco SIO può fornire.

Enforcement ibrido: AnyConnect 3.0 supporta i servizi di sicurezza
Web forniti da Cisco IronPort Web Security Appliance e Cisco
ScanSafe, i servizi di sicurezza cloud leader del settore. I clienti Cisco
ora possono abilitare l'enforcement ibrido della sicurezza in mobilità,
in modo che, per implementare le policy di sicurezza aziendale,
possano essere utilizzate le soluzioni on-premises o quelle basate su
cloud, a seconda delle necessità.
5
CISCO
Dettagli sulla funzionalità SecureX
La strategia di Cisco prevede che le aziende intraprendano un percorso
evolutivo verso soluzioni più sofisticate di security, senza dover buttare al
vento gli investimenti tecnologici eventualmente già effettuati. Anzi, la
protezione e la valorizzazione degli investimenti passati e futuri è uno dei
capisaldi nella strategia di Cisco: infatti, molte delle soluzioni attuali di
sicurezza avanzata, come per esempio l’Identity Services Engine (ISE)
contengono in sé la possibilità di realizzare architetture di sicurezza più
sofisticate, basandosi tuttavia su elementi tecnologici e componenti che
un’azienda potrebbe aver già acquisito nel passato, quali gli antivirus o i
sistemi d’autenticazione. La componente innovativa dell’approccio consiste
proprio nel fare collaborare in maniera coordinata e autenticamente
sistemica molte componenti pre-esistenti eventualmente insieme a nuove
tecnologie all’avanguardia.
Tale visione interpreta come necessaria la completa integrazione della
sicurezza nelle reti intelligenti di nuova generazione, secondo una strategia
che comprende: protezione end to end; elementi di rete con funzionalità
intrinseche di sicurezza; automatizzazione delle tecniche di difesa; gestione
potente, semplice e flessibile del sistema di sicurezza; supporto dei servizi
più avanzati d’infrastruttura.
6
Il servizio di rete Cisco Trusted Security (TrustSec)
Guardando sempre avanti, Cisco ha tracciato il percorso evolutivo della
sicurezza, partendo da uno scenario attuale in cui le reti sono progettate da
un punto di vista “topologico” e si trovano a fronteggiare le richieste di
accesso da diversi tipi di utenti, interni o esterni all’organizzazione,
essenzialmente sapendo poco o nulla di chi siano e di quanto la varietà di
strumenti con cui accedono alle risorse sia conforme alle policy aziendali.
L’obiettivo di Cisco è portare la rete a un’impostazione basata sul ruolo
dell’utilizzatore.
Per questo la società statunitense ha sviluppato Cisco Trusted Security
(TrustSec), frutto di un’evoluzione tecnologica che parte dal controllo degli
accessi network based, come quello basato sulle ACL (Access Control List), e
include i servizi di rete per l’autenticazione identity based (vedi il protocollo
802.1X) e per la compliance dell’endpoint per andare oltre e integrare misure
di sicurezza basate sul riconoscimento dell’identità e dei ruoli ricoperti dagli
utenti e per essere implementata in modo pervasivo su tutta la rete
aziendale. Cisco TrustSec, attualmente alla versione 2.0, risponde alle
crescenti esigenze di conformità alle policy (compliance) necessarie alla
gestione di una forza lavoro che opera a livello globale e in mobilità,
conferendo maggiore agilità e sicurezza all’infrastruttura.
Centralizzazione delle policy con ISE
Per migliorare la sicurezza, aumentare la soddisfazione degli impiegati e
ridurre il tempo per rilasciare i servizi IT, Cisco ha sviluppato un motore di
policy centralizzato "sensibile al contesto" che abilita un accesso sicuro di
ogni dispositivo utente alla rete: l’Identity Services Engine (ISE).
Insieme a TrustSec 2.0 permette alle organizzazioni di approntare e rilasciare
applicazioni e servizi di rete "cross-domini" in maniera dinamica, flessibile
ed efficiente, garantendo contemporaneamente la conformità alle normative.
ISE agisce come singola "fonte" delle identità: unico punto fidato nelle
organizzazioni, semplificando la definizioni di policy rilevanti per il
business, assicurando l'applicazione di policy context-aware ed estendendo
la visibilità e il controllo a livello di rete, dati e applicazioni.
7
CISCO
Cisco TrustSec 2.0 con l’ISE
La prima versione di ISE si focalizza sull'abilitazione di TrustSec per le reti
borderless. Per questo costruisce e "impone" le politiche di accesso basate
sull'identità per utenti e dispositivi, mentre vengono protetti i dati attraverso
la rete. Cisco ISE fornisce, in una sola piattaforma sotto forma di appliance,
tutti i servizi necessari, a detta di Cisco: profilazione, postura e gestione
degli ospiti. In futuro, questa stessa piattaforma potrà essere usata per
propagare servizi consistenti con le policy attraverso le reti borderless, da
qualsiasi endpoint fino al data center, in ambiti quali video, applicazioni,
prestazioni, risparmio energetico, cloud computing, come spiegano in Cisco.
TrustSec 2.0 permette di scalare le capacità di policy enforcement sul
portfolio di switch Cisco Catalyst switching portfolio. I Catalyst, inoltre,
supportano anche la crittografia MACSec switch-to-switch.
Per fare questo, Cisco TrustSec utilizza gli switch, i router e i controller Cisco
Unified Wireless Network per autenticare gli utenti, assegnare ruoli,
applicare le policy di accesso e garantire integrità e confidenzialità al traffico
di rete. Il controllo della sicurezza in funzione del ruolo permette di
applicare le policy di sicurezza basate sull’identificazione in modo
pervasivo, a prescindere dal tipo di connessione (fissa o mobile) e dal
dispositivo. Questo è anche facilitato dalla creazione di un framework
convergente e unificato per le policy, poiché i differenti metodi di
8
autenticazione convergono in un unico “policy engine” centrale, che
comunica in modo dinamico con tutta l’infrastruttura switch.
Cisco TrustSec aiuta a proteggere l’integrità e la confidenzialità dei dati in
transito sui vari punti della rete. Questo difende l’azienda dalla perdita di
dati, permette di adeguarsi alle norme in materia e accresce i livelli di
protezione del network stesso.
L'integrazione nativa della sicurezza nei servizi IP
Le funzionalità di sicurezza di Cisco nascono già integrate nel sistema
operativo dei router e dei dispositivi di rete. Più precisamente, in Cisco IOS
sono disponibili funzionalità di trasporto sicuro del traffico, firewalling,
intrusion protection, caching, content filtering, validazione dei profili di
sicurezza dei client, assieme all'IP routing avanzato. Cisco, inoltre, impiega
diverse tecnologie fra loro complementari, per aumentare il livello di
protezione, per consentire l'integrazione di soluzioni di terze parti e, infine,
per implementare un modello di sicurezza di rete globale. In particolare, per
quanto riguarda la network security, Cisco fornisce sistemi di prevenzione
delle intrusioni basate su pluralità di tecnologie quali confronto con
signature, analisi comportamentale e analisi delle vulnerabilità.
La sicurezza delle reti wireless
L'architettura WLAN Cisco è contraddistinta da un elevato livello di
sicurezza, implementato dal pacchetto software Cisco Wireless Security
Suite, che aggiunge alla codifica WEP a 40 e 128 bit, l'autenticazione basata
sul protocollo standard 802.1x e quella del protocollo TKIP, il supporto dello
standard 802.11i e quello del Wi-Fi Protected Access 2. Inoltre Cisco Prime
for Enterprise, che assicura una gestione unificata delle reti wired e wireless
riducendo la complessità operativa e che è composto da vari moduli,
s'interfaccia anche con l’ISE citato in precedenza.
L’architettura per una sicurezza di rete adattativa
L’evoluzione delle minacce è continua e rapida. I controlli basati sui
protocolli di rete o su strumenti come i firewall, pur necessari, non sono
9
CISCO
sufficienti a rispondere agli attacchi ibridi di nuova generazione. È evidente
il bisogno di strumenti in grado di adattarsi praticamente in tempo reale alle
mutate condizioni.
Uno degli ambiti in cui le minacce sono maggiormente cresciute negli ultimi
anni è quello dei contenuti: posta elettronica e Web, infatti, sono i veicoli
privilegiati per la diffusione di malware e per gli attacchi mirati di phishing.
Per questo, Cisco ha acquisito IronPort, le cui soluzioni bloccano le minacce
via email e Web in ingresso sulla rete e controllano, inoltre, i contenuti in
uscita.
Analogamente importante è la protezione a livello applicativo, anche questo
costantemente sotto attacco. Crescono anche gli attacchi che mirano ad
applicazioni custom, ancora una volta soprattutto in ambito Web e su codice
XML. L’attacco a software proprietari apre nuovi scenari altamente
dinamici: diventa impossibile codificare sistemi di protezione “universali”
che non siano adattativi. Altra complicazione: le minacce in questi casi sono
spesso interne. Per questo, Cisco ha sviluppato funzionalità di application
firewall e capacità d’ispezione dei Layer 4-7 per Cisco ACE Application
Control Engine Module, Cisco AXG (ACE XML Gateway) e WAF (Web
Application Firewall), che consentono di proteggere traffico Web,
comunicazioni tra applicazioni e transazioni business to business.
La convergenza tra sicurezza logica e fisica
Un’ulteriore frontiera già esplorata da Cisco riguarda la convergenza tra
sicurezza logica e fisica. In particolare, Cisco ha sviluppato una piattaforma
per la videosorveglianza su IP, il cui server è integrato su una rete che
garantisce l’adeguata quality of service.
Nel futuro, Cisco vede lo sviluppo di molte sinergie che permettono di
aumentare la sicurezza su entrambi i fronti: soprattutto con l’integrazione
tra sistemi di controllo di accesso fisico, come il badge per la registrazione
delle presenze, e quelli per l’accesso alle risorse, che possono incrociare le
informazioni per verificare, per esempio, se chi chiede l’accesso a un server
riservato sia entrato in azienda o non sia invece un impostore o un
dipendente infedele. Ma anche, più banalmente, si può pensare ai sistemi di
10
allarme che possono sfruttare la rete dati per reagire a un’intrusione, per
esempio bloccando i computer quando è in atto una rapina.
Da subito, in ogni caso, le soluzioni proposte da Cisco e i suoi partner sono
state progettate per salvaguardare gli investimenti del passato, potendo, per
esempio,
integrare
telecamere
analogiche
e
altre
apparecchiature,
cominciando a portare vantaggi con elevate capacità d’integrazione,
digitalizzazione delle immagini e servizi di consulenza per l’analisi di costi e
benefici.
La piattaforma Cisco Video Surveillance
Cisco ha anche sviluppato una propria offerta di prodotti per la
videosorveglianza, incluse telecamere su IP.
La Content Security di Cisco IronPort
L’ampia gamma di appliance Cisco IronPort consistono in gateway
specificatamente progettati per la sicurezza delle applicazioni di posta
elettronica, Web, instant messaging e VOIP, che condividono un database di
dati sulla sicurezza e una piattaforma di gestione.
Elemento centrale dell’architettura di protezione IronPort è il Common
Security Database, denominato SenderBase, che viene alimentato dalla
ricerca e dalle capacità di analisi del Threat Operations Center di IronPort
11
CISCO
cui fa capo. SenderBase contiene oltre 150 parametri per la reputation,
tenendo conto della dinamicità con cui evolvono gli scenari e con cui
agiscono i criminali informatici. Di fatto, secondo la visione di Cisco
IronPort, non è praticamente possibile parlare di black o white list, perché
tutto sulla rete è “grigio”. Per questo, il lavoro degli esperti di IronPort
consiste nell’analizzare con strumenti automatici una gran mole di dati sui
“sender” (gli indirizzi da cui provengono attacchi o gli invii di spam) e sui
siti, per assegnare a ciascuno un punteggio di reputazione. I dati raccolti
provengono da oltre 120mila reti nel mondo che veicolano circa il 25% del
traffico email e Internet mondiale.
L’architettura della content security Cisco IronPort
A questo si aggiungono altre tecnologie best of breed, sviluppate
internamente o frutto di partnership.
Content Security as a Service
Cisco, che già in altri settori ha avviato una politica di differenziazione della
propria offerta in un’ottica Software as a Service (SaaS) e "in the cloud",
fornisce servizi per la protezione dei contenuti e della posta in tale modalità.
Tra le ultime novità, grazie all’acquisizione Scansafe, Cisco fornisce in
12
modalità as a Service l’ispezione del traffico e della posta elettronica,
dialogando con l’appliance Ironport e l’ASA inserito nella rete stessa
attraverso il Router periferico.
Data Loss Prevention e Data Leakage Prevention
Cisco sta investendo nello sviluppo di soluzioni che possano prevenire la
perdita e la fuoriuscita di dati e proteggerne la confidenzialità. In
particolare, grazie a un accordo con Rsa, la Security Division di Emc, Cisco
ha aggiunto il motore di classificazione di quest’ultima al proprio Cisco
Security Agent. In questo modo vengono ampliati i controlli dell’ISE che può
quindi facilmente definire se un dato, un file, un documento è confidenziale,
pubblico o comunque presenta limitazioni all’accesso. Attraverso la
tecnologia Cisco, è possibile evitare che possa essere spostato, copiato su una
memoria USB, inviato via mail o in qualche modo ne venga fatto un abuso
rispetto alla sua classificazione.
Un controllo che si va a integrare con la sicurezza dell’endpoint, ma che,
nella visione Cisco, si abbina anche ai controlli sui contenuti effettuati dai
gateway Cisco IronPort.
PCI Compliance
Un ulteriore recente sforzo da parte di Cisco riguarda la creazione di linee
guida e l’ultimazione di un programma destinato ad alcuni propri partner di
canale per la direttiva PCI DSS (Payment Card Industry Data Security
Standard) che deve entrare in vigore nel 2009. Il programma ha permesso di
pubblicare una “Architectural design guidance and audit review” fornita da
PCI Qualified Security Assessor e da partner di Cisco specializzati nella
remediation.
Inoltre, i responsabili della società statunitense rimarcano che l’offerta end to
end di Cisco è in grado di coprire esaustivamente i requisiti previsti dalla
normativa.
13
CISCO
Le soluzioni e i servizi
Tra le molte soluzioni Cisco per la sicurezza, nel seguito ne saranno
brevemente analizzate solo alcune tra le più significative o recenti.
Consulenza e servizi avanzati
Cisco Security Intelligence Operations
Cisco Security Intelligence Operations (SIO) fornisce informazioni in tempo
reale su minacce e rischi per la sicurezza. Analisi, tendenze, sistemi di
valutazione della criticità e impatto contestualizzano le informazioni,
suggerendo agli utilizzatori del Cisco Security Center quali strategie
adottare per minimizzare l’impatto delle minacce sul proprio sistema
informativo, grazie anche a bollettini sintetici rilasciati in tempo reale. Tra i
contenuti del portale figura Cisco Security IntelliShield Alert Manager che
gestisce con intelligenza gli eventi IPS, consentendo di velocizzare la
risoluzione di potenziali attacchi.
Cisco Secure Consulting Services (CSCS)
Cisco fornisce servizi avanzati per la Network Security, sia per singolo
progetto sia con formula di sottoscrizione annuale, che comprendono
pianificazione, progettazione, implementazione di sistemi di sicurezza,
analisi delle architetture di sicurezza già realizzate, analisi completa e
approfondita del livello di sicurezza e di vulnerabilità di una rete (SPA Security Posture Assessment) e verifiche di progetti in base ai dettami delle
più aggiornate best practice.
Il Critical Infrastructure Assurance Group (CIAG)
Il CIAG mette a disposizione linee guida per migliorare la sicurezza di
infrastrutture globali critiche. Il CIAG è impegnato ad aiutare le
organizzazioni di tutto il mondo a implementare strategie di sicurezza,
fornendo direttamente ricerca e sviluppo di policy, training, formazione,
best practice e standard.
14
Cisco Certified Security Professional (CCSP)
Cisco fornisce accreditate certificazioni professionali nell’ambito della
Network Security, il cui curriculum spazia dalle competenze sulle tecnologie
a quelle su un approccio architetturale alle soluzioni allineato alle esigenze
di business.
La società
Fondata nel 1984, Cisco è presente in Italia dal 1994 ed è guidata da David
Bevilacqua, Amministratore Delegato di Cisco Italia e Vice President, Cisco.
La filiale italiana conta circa 700 dipendenti nella sede principale di
Vimercate (MI), a Roma, Torino, Padova e Monza, dove ha sede il
laboratorio di Ricerca e Sviluppo sulla fotonica.
Cisco Italia partecipa attivamente allo sviluppo tecnologico del nostro Paese,
per esempio con l’attenzione rivolta allo sviluppo di talenti e competenze,
attraverso l’investimento per la formazione di figure professionali.
A tale proposito, l’azienda ha lanciato fin dal 1997 anche in Italia Cisco
Networking Academy, un programma di studi teorico/pratici destinato a
studenti, organizzazioni ed enti non profit
Per ulteriori informazioni: http://www.cisco.com/go/security,
http://cisco.com/security
www.cisco.com.
15
EMERSON NETWORK POWER
La divisione del gruppo Emerson fornisce soluzioni per la Business Critical
Continuity e per il Data Center Infrastructure Management. Grazie a una
gamma completa, per esempio attraverso i marchi Liebert, Knurr e Chloride,
la società fornisce tutto quello che occorre per l'infrastruttura dei centri dati:
"dal chip al grid di alimentazione elettrica".
In particolare, le soluzioni, i prodotti e i servizi a marchio Liebert per la
protezione dell’alimentazione elettrica, il condizionamento di precisione e il
monitoraggio sono volti a supportare le organizzazioni nell’ottimizzazione
dei propri data center e infrastrutture IT, nella riduzione dei costi e
nell’assicurare elevata disponibilità e flessibilità.
Per fronteggiare la crescita delle potenze di calcolo negli ambienti di
elaborazione e il conseguente aumento di calore generato, Emerson Network
Power ha sviluppato una strategia per l'efficienza energetica, arrivando a
definire indicatori atti a misurarla in maniera puntuale.
Massimizzando il risparmio, Emerson Network Power consente di
mantenere elevato il grado di disponibilità delle risorse, riducendo il rischio
di malfunzionamenti dovuti al surriscaldamento e garantendo la continuità
elettrica con le proprie soluzioni UPS.
Soluzioni avanzate
Emerson Network Power da diversi anni ha sviluppato una strategia
d’offerta basata su soluzioni, cioè insiemi integrati di tecnologie, in grado di
risolvere le problematiche all’interno dei data center, creando infrastrutture
“intelligenti”, i cui elementi, comunicando tra loro, prevengono disservizi e
massimizzano l’efficienza e i consumi energetici.
1
Basate su prodotti e tecnologie d’avanguardia, tali soluzioni si rivolgono alle
esigenze di grandi, piccole e medie imprese: dal mondo SOHO a quello degli
operatori di telecomunicazioni e service provider. Senza entrare nel
dettaglio, analizziamo alcune delle soluzioni più recenti e innovative per il
mondo dei data center e della business continuity.
Data Center Infrastructure in un container
Per ridurre i tempi di progettazione e installazione di un data center, così
come per semplificare l'espansione degli impianti esistenti, Emerson
Network Power ha realizzato degli scenari applicativi pre-configurati e
testati che offre ai propri clienti anche nella configurazione "containerized".
Si tratta di una soluzione unica adatta a più esigenze: per chi ha problemi di
spazio e ha bisogno di espandere il proprio data center in tempi molto
rapidi; per consentire una manutenzione straordinaria in un sito esistente;
per installazioni temporanee come nel caso di riprese cinematografiche
(laddove si vuole immediatamente avere a disposizione l’infrastruttura per
un primo intervento di post-produzione), eventi sportivi, soccorso,
esercitazioni militari, protezione civile eccetera.
All’interno della Data Center Infrastructure mobile di Emerson Network
Power trovano posto soluzioni innovative: dai rack Knurr MiracellPlus ai
gruppi di continuità Liebert GXT, Liebert PSI e il nuovo Liebert APM, dalle
rack PDU Liebert MPX alle unità di condizionamento di precisione come
Liebert CRV.
Una soluzione all in one come il Containerized Data Center Infrastructure
risolve diversi problemi di configurazione, trovandosi a essere pronta
all’uso.
Resta
comunque
la
possibilità
di
espandere
e
rivedere
l’impostazione iniziale. La tecnologia messa a disposizione dai dispositivi di
Emerson Network Power permette di realizzare una struttura altamente
efficiente (per esempio, gli UPS hanno un’efficienza pari al 96% e il
condizionameto di precisione è modulante con efficienze energetiche
estremamente elevate rispetto a soluzioni analoghe), grazie al controllo dei
consumi e alla regolazione dinamica degli stessi, in funzione del carico di
lavoro. In altre parole, viene mantenuto l’allineamento all’effettivo utilizzo
della capacità di calcolo impiegata o, più in generale, degli sforzi richiesti
alle risorse IT, siano esse server, storage o dispositivi di rete.
2
Liebert APM per piccoli e medi data center
Liebert APM è invece un recente e innovativo UPS compatto da 30kVA a
150kVA, che a detta dei responsabili di Emerson Network Power presenta,
in una strutture modulare, massima efficienza e "il footprint più ridotto della
categoria" (in effetti, ha a bordo già il set di batterie per un autonomia di
trenta minuti, senza bisogno di soluzioni esterne che richiedono ulteriore
spazio). Il sistema è testato e collaudato per gestire la flessibilità delle
infrastrutture IT. L’UPS è infatti basato su una struttura in cui è possibile
aggiungere o rimuovere moduli, in base ai consumi reali necessari. Si
otterrebbe così, un ROI elevato, poiché vengono meno tutti i costi legati alla
riconfigurazione del sito, con un investimento che cresce progressivamente,
in relazione alla richiesta di maggiore potenza.
Liebert APM
La sostituzione a caldo dei moduli, inoltre, contribuisce a facilitare la
manutenzione preventiva, aumentando il grado di disponibilità.
3
Il sistema è stato progettato selezionando componenti di potenza dell’ultima
generazione e migliorando la topologia dei circuiti di conversione, per
permetterne uno sfruttamento ottimizzato. In questo modo, Liebert APM
arriva a un’efficienza energetica più del 95% del totale per carichi di potenza
tra il 30 e il 100%, secondo dati del costruttore. Efficienza che, insieme a un
livello controllato d'inquinamento sonoro, riduce l'impatto ambientale della
soluzione, in linea con la filosofia Green IT di Emerson Network Power.
Più potenza in meno spazio con gli UPS Liebert GXT3
La crescente richiesta di capacità di elaborazione in applicazioni all’interno
dei rack e di sistemi e soluzioni IT in grado di sostenere le prestazioni è un
fattore critico in relazione alla disponibilità di spazi nei data center. Per
questa ragione, Emerson Network Power ha introdotto nuovi sistemi nella
gamma Liebert GXT3. Con tagli da 5 a 10 KVA, la serie di UPS online a
doppia conversione permette di aumentare la capacità di calcolo racchiusa in
spazi più ridotti. Più precisamente, i modelli della gamma Liebert GXT3 da 5
kVA e da 6kVA occupano 5U di spazio, mentre il 10 kVA 6U. I battery
cabinet esterni opzionali occupano da 3U a 4U di spazio nei rack e
forniscono del runtime aggiuntivo grazie a connessioni plug-and-play nella
parte posteriore dell’UPS.
Installabili in configurazione rack o tower, i Liebert GXT3 hanno un display
LED orientabile e sono, inoltre, dotati di batterie interne hot swap che
garantiscono oltre 3 minuti di runtime a pieno carico e tempi di backup
maggiori in condizioni di carico normali.
Gli UPS Liebert GXT3 sono dotati di Liebert IntelliSlot Web Card e
supportano il protocollo SNMP per garantire un continuo monitoraggio e
controllo del sistema via Web. Inoltre, il programma di configurazione
basato sulla piattaforma Windows consente la regolazione dei parametri
operativi e la programmazione temporale dei test. Infine, la connessione
USB integrata utilizzata in combinazione con Liebert MultiLink consente di
monitorare l’UPS e le comunicazioni del server per uno shutdown corretto
di quest'ultimo in caso di necessità. I contatti puliti incorporati forniscono
una notifica immediata in caso di batteria in esaurimento o di shutdown in
modalità batteria.
4
HP NETWORKING
L'offerta HP Networking (HPN) è sorretta da un modello tecnologico
e da un portafoglio completo di soluzioni di rete, sviluppate per
creare un "network fabric" all'insegna di riduzione della complessità,
flessibilità e sicurezza, per consentire alle aziende di sfruttare le
opportunità di convergenza e ridurre i costi di gestione.
Il tema della sicurezza è centrale nella strategia di HP e, in
particolare, in quella per il networking perché la garanzia di un
network protetto è il primo passo per garantire gli asset aziendali e
assicurare un business affidabile e conforme ai requisiti normativi.
La sicurezza intrinseca del networking HP costituisce uno degli
aspetti differenzianti delle proprie soluzioni che concorre a ridurre i
costi: un obiettivo al cui conseguimento contribuiscono anche
caratteristiche quali aggiornamenti gratuiti del software, ridotto
consumo di energia elettrica e copertura in garanzia a vita di molti
prodotti (inclusi anche apparati per la parte "core" della rete
solitamente esclusi da questo tipo di condizione).
Un altro punto fondamentale nella strategia di HP Networking
rivolta alla riduzione del TCO è quello di fornire un'architettura di
rete basata su standard aperti. Questo approccio tecnologico,
sostiene HP, evita che molte aziende restino bloccate in architetture
di rete proprietarie che possono limitare la scelta e la flessibilità,
rendere i cambiamenti difficili e costosi e frenare la progettazione di
infrastruttura di rete più innovative a supporto delle nuove esigenze
di business e del vantaggio competitivo.
Sulla base del suo approccio strategico orientato agli standard HP ha
costruito il programma di partnership Alliance Open Network
1
HP NETWORKING
Ecosystem (ONE) che prevede la collaborazione con fornitori di
applicazioni
leader
di
mercato
(incluse
molte
orientate
alla
sicurezza), per offrire ai propri clienti la possibilità di scegliere
soluzioni applicative di terze parti best-in-class, certificate e integrate
nell'infrastruttura di rete HP.
Semplificazione del network e ritorno sull'investimento
Il tema della semplificazione rappresenta il tipico esempio dei costi
nascosti associati all'infrastruttura di rete, in grado di avere un forte
peso sull'economia globale associata al network. Nel network la
semplificazione si traduce a diversi livelli: gestione, installazione,
configurazione, riparazione, aggiornamento, utilizzo. Riducendo le
complessità associate alla rete, HP punta a favorire la riduzione delle
spese operative e a migliorare il ritorno sull'investimento (ROI).
Gestire reti indipendenti, con soluzioni software in sovrapposizione,
non solo è costoso, ma anche molto inefficiente. HP riduce
significativamente i costi amministrativi e operativi su tutti gli
switch fornendo un soluzione di rete end-to-end basata su
un'interfaccia di gestione coerente su tutte le reti.
La disponibilità anche di una soluzione unificata per le reti locali
fisso-wireless evita di moltiplicare i costi legati al personale,
semplifica le operazioni e la manutenzione, riduce lo spazio
occupato e il consumo energetico, aumenta l'affidabilità, diminuisce i
rischi per la sicurezza e semplifica il rilascio di servizi basati su IP.
Un'offerta di sicurezza ampliata con l'acquisizione di 3Com
L'acquisizione di 3Com ha segnato una tappa importante per le
soluzioni di networking di HP, determinando l'abbandono del brand
ProCurve e una riorganizzazione dell'offerta sulla base di soluzioni
orizzontali, adatte alle differenti esigenze degli utenti: networking
per il data center, sicurezza end-to-end, switch per le LAN, routing
di livello enterprise, soluzioni per gli uffici distaccati, mobilità e
unified communication.
All'interno dell'offerta HPN confluiscono sia le soluzioni a marchio
3Com sia quelle delle società precedentemente acquisite da 3Com.
Tra queste vanno ricordate H3C, che porta in eredità a HP una
gamma di prodotti di classe enterprise per il networking e la
comunicazione, oltre che una serie di importanti centri di Ricerca e
2
Sviluppo e TippingPoint, con la gamma completa di soluzioni per
l’Intrusion Prevention che affiancano e rafforzano le tecnologie
integrate all'interno degli apparti di rete HP.
Nel nuovo scenario competitivo che si delinea, HPN punta, pertanto,
a far valere i vantaggi dell'estensione della propria offerta e
dell'integrazione, proponendosi come fornitore in grado di offrire
una gestione integrata e una piattaforma comune che si estendono
dalla parte "core" della rete fino alla periferia.
HP Converged Infrastructure
Questo ampliamento del portafoglio prodotti ha ulteriormente
rafforzato la strategia HP Converged Infrastructure indirizzata a
favorire una maggiore interoperabilità all'interno del data center,
eliminando la separazione tra i silos server, storage e networking in
favore della creazione di pool virtuali di risorse in grado di far
funzionare in modo ottimale i servizi di business.
Infatti, una delle principali sfide che il data center si trova a dover
fronteggiare è legata alla proliferazione di macchine virtuali, che
rende più frequenti le modifiche alle configurazioni di rete,
incrementa la richiesta della larghezza di banda e aumenta il numero
di connessioni da gestire (complice anche la proliferazione di server
in formato blade). I disegni tradizionali di rete gerarchica stentano a
fornire il livello di scalabilità, prestazioni e qualità di servizio
richiesto da un data center virtualizzato e, per questo, il mercato
richiede infrastrutture di rete più flessibili e agili, senza però
penalizzare stabilità, disponibilità e sicurezza.
L'architettura modulare HP Converged Infrastructure risponde a
queste esigenze poiché punta a ottimizzare le risorse virtuali, ridurre
il TCO, soddisfare i requisiti di business e incrementare il tempo di
servizio. A livello di infrastruttura di rete il modello architetturale di
HP punta a semplificare il data center, attraverso una connettività
senza interruzioni e un modello di network in grado di sostenere la
crescita e l'innovazione necessarie per la competitività aziendale e di
garantire la flessibilità necessaria per adattarsi ai cambiamenti.
HPN supporta questa strategia attraverso un portfolio di soluzioni di
rete sicure core-to-edge che unifica l'infrastruttura, la gestione e il
supporto e aumenta la semplicità.
3
HP NETWORKING
Soluzioni e tecnologie per la sicurezza di rete
Le soluzioni e la gamma di prodotti HP Networking sono stati
sviluppati per affrontare le continue trasformazioni che hanno
interessato i network aziendali negli ultimi anni rendendo sempre
più stringenti i requisiti infrastrutturali. Il tema della sicurezza
ricopre un ruolo centrale della nella strategia HP per il networking
rivolta a favorire le condizioni per una "converged enterprise".
Un obiettivo perseguito attraverso una gamma di funzionalità di
sicurezza intrinseche, presenti negli apparati di rete, e con una
strategia pensata per intervenire contemporaneamente sia sul
versante preventivo, mediante sistemi per il controllo del traffico e la
gestione dell'accesso, sia su quello reattivo con funzionalità in grado
di gestire eventuali minacce.
Una sicurezza che si estende anche a livello di data center in accordo
alla visione HP Secure Network Fabric, per predisporre una
protezione di rete unificata core-to-edge a protezione dei dati
business critical, delle applicazioni e dell'infrastruttura.
La possibilità di spostare l'intelligenza dal centro del network al suo
bordo, prevista dal modello di rete HP, realizza anche le condizioni
per un approccio che il vendor definisce di Identity Driven
Management. L'adozione di un modello di questo tipo sposta il focus
sull'individuo, anziché sul dispositivo tramite il quale si effettua la
connessione, permettendo agli amministratori di rete di impostare in
modo dinamico i dispositivi presenti sull'infrastruttura di rete in
base all'utente, alla località, al tempo o ad altre variabili.
Nella strategia per la sicurezza di HP, infatti, l'accesso è controllato
nel primo punto di contatto tra un utente e la rete, mediante policy
che possono tenere conto di un diverso numero di attributi quali la
tipologia del dispositivo, l'identità dell'utente, l'ora del giorno, la
località
da
cui
si
connette.
Inoltre,
è
possibile
tenere
in
considerazione anche lo stato del network, la revisione del software
o la configurazione della terminazione di rete (endpoint) da cui
avviene l'accesso.
4
Tecnologie per la protezione dalle minacce:
Virus Throttling e sFlow
Virus Throttling è una tecnologia software messa a punto negli HP
Labs e indirizzata a proteggere la rete dalla diffusione di virus e
worm e ridurre i danni che potrebbero essere causati durante un
attacco. Virus Throttling adotta un approccio differente rispetto alle
usuali soluzioni dedicate a controbattere gli effetti dei codici maligni.
Infatti, non si preoccupa di effettuare scansioni in base alle
"signature" note, ma si indirizza verso il rilevamento delle anomalie
del traffico legate al comportamento, a rallentamenti o a variazioni
improvvise del numero di connessioni.
sFlow è una tecnologia standard per il monitoraggio del traffico di
rete introdotta nei prodotti HP Networking a partire dal 2001 e
utilizzata per campionare il traffico per effettuare analisi rivolte a
individuare
minacce.
Fornisce
una
completa
visibilità
sulle
informazioni Layer 2, 3, 4 e superiori, l'utilizzo dell'ampiezza di
banda, i protocolli, le applicazioni e i "top talker". Consente di
effettuare misurare da ogni switch e interfaccia ed è scalabile verso
ogni porta fino alla velocità di 10Gbps.
L'introduzione della tecnologia sFlow sulla piattaforma wireless di
HP semplifica il monitoraggio delle risorse di rete, aumenta il livello
complessivo di sicurezza e consente di individuare più velocemente i
problemi legati alla trasmissione del segnale o alle prestazioni, con
un maggior controllo del traffico sia sulla rete cablata, sia wireless.
I componenti di sFlow
5
HP NETWORKING
Il portafoglio d'offerta di HPN è organizzato in quattro famiglie in
funzione del target di riferimento e delle sue esigenze.
FAMIGLIA A
Ambienti di
grande
dimensione e
complessi dove
servono
tecnologie di rete
avanzate con
funzionalità
complete
FAMIGLIA E
Per realtà che
cercano
tecnologia
essenziale,
affidabile,
economicamente
accessibile e di
semplice utilizzo
FAMIGLIA V Per
utenti che
cercano soluzioni
di connettività
affidabili e di
facile uso
FAMIGLIA S
Per aziende che
richiedono
soluzioni di
sicurezza di
rete su scala
globale
L’organizzazione della gamma d’offerta di HP Networking
La famiglia Security (S)
A seguito dell'acquisizione di 3Com, HP ha potuto inserire
all'interno del suo portafoglio di prodotti la gamma di Intrusion
Prevention System (IPS) di TippingPoint, che sono stati riuniti
all'interno della famiglia S di prodotti HP per la Security.
Queste soluzioni sono indirizzate ad aziende che devono garantire
un elevato livello di sicurezza per reti su scala globale e sono state
progettate per ambienti enterprise e data center, inclusa la
6
protezione per ambienti virtuali. Prevedono l'interoperabilità con i
prodotti HPN delle Serie A ed E.
Le soluzioni di sicurezza HP Serie S sono state sviluppate presso gli
importanti laboratori di ricerca DVLabs, all'interno dei quali operano
oltre 30 ricercatori specializzati in tematiche di sicurezza, che
individuano le nuove minacce avvalendosi del contributo fornito da
più di mille ricercatori indipendenti aderenti alla HP TippingPoint
Zero-Day Initiative e da oltre duemila clienti HP TippingPoint che
partecipano al programma di monitoraggio ThreatLinQ. Una
sinergia che nel 2010 ha portato all’individuazione di ben 319 nuove
vulnerabilità.
I vantaggi delle soluzioni IPS di HPN
La piattaforma IPS HP TippingPoint è un semplice dispositivo di
sicurezza che viene collocato sulla rete, riceve il traffico in ingresso e
blocca i contenuti maligni, in modo che solo il traffico pulito possa
transitare sul network.
Questa soluzione è composta da tre componenti principali:
•
la piattaforma IPS HP TippingPoint
•
il dispositivo Security Management System, che gestisce le
policy di sicurezza di una singola piattaforma IPS così come di
centinaia di IPS distribuiti a livello globale.
•
l'organizzazione di ricerca per la sicurezza DVLabs che fornisce
le informazioni intelligenti di sicurezza che alimentano le
piattaforme IPS.
Rispetto ai sistemi di Intrusion Detection che, per definizione,
provvedono solo a rilevare il traffico indesiderato senza bloccarlo,
l'IPS TippingPoint di HP opera in-line all'interno della rete,
bloccando il traffico dannoso e indesiderato, pur consentendo al
traffico legittimo di circolare senza problemi. Le soluzioni HP
TippingPoint individuano le vulnerabilità presenti sulla rete e intervengono
applicando delle “patch” virtuali che ne impediscono lo sfruttamento.
Di fatto, il sistema IPS di HP ottimizza le prestazioni del traffico
legittimo effettuando una continua pulizia della rete e assegnando la
massima priorità alle applicazioni mission critical.
Il cuore delle soluzioni IPS di HP TippingPoint è rappresentato da
una gamma di pacchetti di filtri per la protezione, denominati Digital
7
HP NETWORKING
Vaccine,
che
vengono
sviluppati
nei
DVLabs
e
fomiti
automaticamente all'utente finale su base settimanale.
Questi filtri permettono di proteggere le reti dai diversi tipi di
minacce quali vulnerabilità, virus, worm, Trojan, P2P, spyware,
minacce miste, phishing, minacce VoIP, attacchi DoS e DDoS,
backdoor, walk-in worm e altri.
Il team di sicurezza dei DVLabs HP TippingPoint sviluppa
costantemente nuovi filtri in grado di far fronte alle vulnerabilità e li
incorporano all'interno dei Vaccini Digitali. Questi vaccini sono
creati non solo per rispondere a specifici exploit, ma anche a
potenziali permutazioni di attacco, estendendo così la protezione alle
minacce Zero-Day.
Per ottenere il massimo livello di protezione HP TippingPoint
distribuisce una vasta gamma di filtri di sicurezza, inclusi filtri basati
sul rilevamenti di anomalie del traffico e filtri basati sulle
vulnerabilità. Nel caso di un virus, dove non è presente una
vulnerabilità sottostante, HP TippingPoint rilascia firme di attacco.
I Digital Vaccine sono fomiti agli utenti con frequenza almeno
settimanale o immediatamente quando emergono vulnerabilità e
minacce critiche e possono essere distribuiti automaticamente senza
richiedere alcun intervento da parte dell'utente.
HP TippingPoint mette a disposizione di propri utenti anche
AppDV Web, una soluzione pensata per proteggere le applicazioni
Web critiche che permette di identificare, monitorare, proteggere e
controllare le applicazioni e il loro utilizzo. Attraverso una scansione
personalizzata delle applicazioni Web, AppDV Web consente lo
sviluppo di Vaccini Digitali specifici per l'utente.
Reputation DV è un altro servizio offerto tramite i DVLabs, pensato
per migliorare la protezione da botnet e minacce avanzate e
persistenti. Permette di effettuare operazioni di blocco dell'accesso o
di monitoraggio in base al valore di un indicatore di reputazione o di
rischio fornito dai DVLabs e alla localizzazione geografica, attraverso
un feed ricevuto quasi in tempo reale sui server e sui dispositivi
infettati o ad alto rischio che sono presenti in Internet.
Le elevate prestazioni dei sistemi IPS di HP e l'accuratezza della
tecnologia di prevenzione delle intrusioni favoriscono la riduzione
del costo legato alla sicurezza, eliminando patching "ad hoc" e la
necessità di rispondere agli allarmi, favorendo simultaneamente
8
l'ottimizzazione della banda e la protezione delle applicazioni
critiche.
Tra i punti di forza di queste soluzioni vi sono le elevate prestazioni
e una latenza estremamente bassa grazie a hardware sviluppato
appositamente. Il processore ASIC dedicato - denominato Threat
Suppression Engine (TSE) - è, infatti, la tecnologia sottostante
abilitante per poter effettuare migliaia di controlli simultanei su ogni
flusso di pacchetti che transita sulla rete.
Questa gamma di soluzioni usufruisce del TippingPoint Secure
Virtualization Framework (SVF) che estende la protezione agli
ambienti data center virtualizzati.
In sintesi, gli aspetti distintivi di queste soluzioni sono riconducibili
ai seguenti:
•
un'architettura di sicurezza che si avvale delle più avanzate
tecnologie di connessione, di elaborazione parallela e di risorse
virtualizzate;
•
un'impostazione modulare che abilita un'elevata scalabilità;
•
gestione flessibile e granulare delle policy basta su molteplici
criteri;
•
la completezza dei protocolli ispezionati.
La gamma di offerta di sistemi IPS di HP TippingPoint è articolata in
tre serie di prodotti che si differenziano per capacità e per il numero
di segmenti simultanei che sono in grado di proteggere.
Schema di funzionamento della piattaforma IPS HP TippingPoint
9
HP NETWORKING
IPS HP TippingPoint S330, S110, S10
I prodotti HP S10, S110 e S330 sono apparati IPS per la protezione
delle reti di uffici remoti, caratterizzati da un fattore di forma molto
piccolo.
Il modello S10 è ottimizzato per collegamenti a velocità inferiori a 20
Mbps, che sono predominanti nel business DSL e nei servizi Metro
Ethernet. La soluzione può essere installata prima o successivamente
al router remoto/firewall, proteggendo cosi’ la rete e le applicazioni
dalle minacce in arrivo. Integra la funzionalità Zero Powerl High
Availability che evita interruzioni sula rete in caso di sospensione
dell 'alimentazione elettrica.
I sistemi HP S110 e S330 sono indirizzati a preservare disponibilità,
prestazioni e sicurezza per aziende enterprise e service provider.
Questi
IPS
sono
ottimizzati
per
prestazioni
e
affidabilità
rispettivamente a 100 Mbps e 300 Mbps e prevedono un'installazione
molto flessibile. Possono essere implementati davanti o dietro a un
router/firewall per proteggere la rete e le applicazioni dalle minacce
in entrata. La possibilità di realizzare zone di rete isolate protegge le
aree sensibili da attacchi interni.
La gamma di prodotti HP TippingPoint Serie S
10
HP TippingPoint IPS serie N
All’interno della famiglia S, la serie N di appliance HP TippingPoint
per la prevenzione delle intrusioni mette a disposizione delle
aziende un elevato livello di protezione in-line e in tempo reale.
Supporta
molteplici
"filter
pack"
di
sicurezza
e
consente
l’integrazione scalabile con le soluzioni di sicurezza sviluppate dai
partner HP.
La serie N comprende quattro modelli che si differenziano per
prestazioni e capacità di filtro.
I modelli HP S660N e HP S1400N sono dotati di 10 segmenti con
interfaccia a 1 Gbps e supportano una IPS capacity Inspection
rispettivamente di 750 Mbps e 1,5 Gbps.
Alle esigenze di fascia superiore si indirizzano i modelli HP S2500N,
S5100N e S6100N dotati di interfacce a 1 e 10 Gbps e adatti a un
throughput consigliato rispettivamente di 3, 5 e 8 Gbps.
Tutti i modelli prevedono il sistema di alimentazione ridondante e
altre funzionalità per l'alta disponibilità quali Layer 2 Fallback e
Stateful Redundancy.
HP Core Controller
Sotto la continua spinta del consolidamento a livello di data center,
dell'high performance computing (HPC) e delle applicazioni a
elevata richiesta di ampiezza di banda come il video on-demand e il
file sharing, le reti "core" utilizzano sempre più spesso tecnologia di
rete a 10 Gbps. Pertanto, l'esigenza di ispezionare il traffico e
bloccare le minacce dannose presso i punti caratterizzati da elevato
traffico di throughput senza compromettere il livello prestazionale
diventa sempre più pressante. Per questo motivo i responsabili della
rete e della sicurezza si preoccupano di predisporre sistemi IPS non
solo presso il tradizionale perimetro WAN, ma anche tra i principali
segmenti di rete all'interno delle reti "core" e dei data center.
HP Core Controller è la soluzione che estende la protezione IPS
basata su tecnologia TippingPoint ai collegamenti a 10 Gbps . Questa
soluzione viene implementata inserendola come elemento di rete,
adatto a supportare fino a 3 connessioni di rete a 10 Gbps. Il traffico
che entra nel Core Controller viene bilanciato in modo intelligente
verso una serie di IPS, mentre quello affidabile viene inviato
nuovamente al Core Controller per la distribuzione verso gli
11
HP NETWORKING
appropriati collegamenti a 10 Gbps. Le caratteristiche includono
algoritmi automatici di bilanciamento e reindirizzamento flussi in
caso di fault, policy parametriche configurabili, failover completo.
HP Core Controller supporta array di sonde diverse tra loro,
consentendo il riutilizzo dell'hardware esistente.
HP Core Controller consente di proteggere link a 10 Gbps mediante soluzioni IPS TippingPoint
introducendo una latenza minima
HP Security Management System
HP Security Management System (SMS) è un'appliance che fornisce
una vista globale e la possibilità di amministrazione, configurazione,
monitoraggio e reporting nelle situazioni di implementazioni su
larga scala di molteplici IPS. Si tratta di un apparato installabile in
rack, dotato di un'interfaccia sofisticata sul lato client. Una tipica
distribuzione di IPS HP su tutta la rete è costituita da un client SMS
(basato su Java), da un sistema centralizzato SMS e da molteplici IPS.
L'SMS prevede livelli di controllo di accesso basati su privilegi di
operatore (sola lettura), amministratore e supervisore. Fornisce una
vista generale, con analisi sui trend, correlazione e grafici in tempo
12
reale, compresi report con statistiche sul traffico, attacchi filtrati, host
di rete e servizi di inventario e stato di salute degli IPS.
Le caratteristiche principali includono:
•
reporting e analisi dei trend a livello enterprise
•
cruscotto che fornisce una vista globale
•
configurazione e monitoraggio del dispositivo
•
reporting automatico
•
meccanismi di Automated Security Response
•
gestione basata su policy
•
gestione del Digital Vaccine
•
gestione e revisione degli eventi
•
risposta automatica a eventi e operazioni di rimedio
•
gestione degli user account e degli accessi.
HP TippingPoint Secure Virtualization Framework
HP ha introdotto il TippingPoint Secure Virtualization Framework nella
primavera del 2010. Si tratta di una combinazione di prodotti progettati
per garantire la sicurezza delle infrastrutture data center virtualizzate,
che controlla e proteggere il traffico di macchine virtuali all'interno di
server host fisici, offrendo piena capacità IPS.
Si compone di tre diversi prodotti: la piattaforma fisica IPS e le soluzioni
software virtual Controller (vController) e virtual Management Center
(vMC). vController è il software che viene installato nella Service Virtual
Machine d i
ogni host virtualizzato e che si colloca all'interno
dell'hypervisor VMware tramite l'API VMsafe. Una volta installato,
vController può analizzare tutto il traffico proveniente da qualsiasi delle
macchine virtuali applicative presenti sull'host virtualizzato e p e r m e t t e
di applicare all’hypervisor una policy che opera in modo simile a un
firewall eseguendo tre compiti:
•
verifica se il traffico è consentito o meno e decide se lasciarlo passare;
•
se il traffico non è consentito, lo blocca completamente a livello di
•
se il traffico è consentito offre la possibilità di ispezionarlo.
hypervisor;
Il vController indirizza il traffico attraverso una VLAN dedicata verso il
dispositivo fisico IPS per l'analisi. L'IPS ispeziona il traffico, blocca qualsiasi
contenuto dannoso e quindi passa il traffico ispezionato di nuovo al
vController (sempre attraverso una VLAN) che inoltra il traffico verso la sua
destinazione originaria. Questo meccanismo permette di controllare il
13
HP NETWORKING
traffico in entrata e in uscita dal data center al perimetro, quello tra host fisici
presenti nel data center, tra host fisici e VM e anche il traffico tra due
macchine virtuali sullo stesso host virtualizzato, facendo rispettare le policy
di sicurezza. Dato che ogni vController presente nel data center dispone di
tutte le policy di reindirizzamento, viene garantita la medesima condizione
di sicurezza per ogni macchina virtuale o applicazione, indipendentemente
da dove venga collocata all'interno del data center, su un sistema fisico o
virtuale.
La soluzione vController è completamente gestita da virtual Management
Center che è pienamente integrato con il Security System Management di
HP TippingPoint abilitando, in tal modo, una gestione integrata e che mette
sotto il controllo esclusivo del personale addetto alla sicurezza IT tutte le
funzioni di gestione della protezione.
HP Tipping Point Secure Virtualization Framework
14
vMC fornisce la piena visibilità del data center virtualizzato favorendo il
controllo e la sicurezza delle VM. Per esempio, il vMC è utilizzato per
individuare automaticamente tutte le VM presenti nel data center e per
rilasciare il vController su ogni host fisico virtualizzato; inoltre rende
semplice creare una lista di servizi che devono essere monitorati all’interno
delle policy del vController o di zone all’interno del data center che
possono essere considerate sicure. HP TippingPoint e VMware hanno
avviato a una collaborazione strategica che prevede attività di sviluppo
congiunto, la costruzione di API di sicurezza per gli ambienti cloud e la
messa a punto di soluzioni di sicurezza con vController e vShield.
La società
Un costante e dinamico allineamento tra business e tecnologia rappresenta il
punto centrale della strategia HP per rispondere alle necessità delle imprese
e fornire ai clienti la soluzione più adatta e competitiva rispetto alle
specifiche esigenze del settore.
Elemento saliente della strategia aziendale è la standardizzazione, perché le
consente di proporre ai clienti soluzioni basate su standard di mercato,
flessibili e con un conveniente rapporto prezzo/prestazioni. HP ha, per
questo motivo, adottato da molti anni un approccio open standard, come
confermato dalle numerose collaborazioni con partner nella definizione e
nello sviluppo di soluzioni.
HP è poi costantemente impegnata nella realizzazione di tecnologie
innovative e semplici da utilizzare. Grazie a un'ampia offerta che comprende
infrastrutture IT, personal computer, software, prodotti e soluzioni per la
stampa e 150mila professionisti che operano in oltre 170 Paesi, HP è fra le
principali società di Information Technology del mondo.
L'azienda vanta il polo di ricerca HP LABS, riconosciuto globalmente e
costantemente impegnato nello sviluppo di nuove tecnologie, in grado di
influenzare il mercato e favorire nuove possibilità di business.
Ulteriori
informazioni
su
HP
sono
http://www.hp.com www.hp.com/it/networking.
15
disponibili
all'indirizzo:
IBM
Il progresso sta portando a un "pianeta più intelligente", secondo la visione
di IBM: cioè a un mondo in cui tutti e tutto sono sempre più interconnessi.
Proliferano sensori per il monitoraggio e il controllo, crescono reti per
l'intrattenimento e per il business, aumentano i dati e la loro importanza. Per
abilitare tale sviluppo innovativo è necessario garantire la sicurezza.
Quest'ultima, dunque è, secondo IBM, un elemento abilitante per
l'individuo, per i cittadini, per le aziende. In particolare, per il business è
l’elemento che consente di cogliere le nuove opportunità gestendo i rischi
associati. Risk Management e Compliance, del resto, sono tra le priorità delle
imprese e l’offerta di servizi e soluzioni per la sicurezza e per la business
continuity e il disaster recovery di IBM si pone essenzialmente in questo
contesto. La flessibilità e la completezza della gamma di soluzioni IBM
permettono a ogni cliente di selezionare il prodotto o il servizio
maggiormente adatto alle proprie esigenze, scegliendo tra soluzioni gestite
in house, in outsourcing, o entrambe le possibilità.
Strategie e architetture per la
sicurezza
L'approccio di IBM alla sicurezza è a 360 gradi, ma ci sono almeno quattro
ambiti in cui si stanno concentrando gli investimenti nel breve periodo: Il
primo continua a riguardare la sicurezza "tradizionale", intesa come threat
management o, in altre parole, il "keep bad guys out", con continui sforzi in
ricerca e sviluppo, a partire dal team X-Force per arrivare alla realizzazione
di sistemi sempre più sofisticati e performanti, come l'ultimo IPS GX7800,
che aumenta la copertura degli attacchi bloccati e raddoppia la velocità
rispetto ai modelli precedenti.
1
IBM
Un altro ambito di attenzione per IBM riguarda le modalità di delivery della
sicurezza ai circa 4000 clienti nel mondo, attraverso i nove security operation
center. In particolare, è in chiave cloud che si registrano le principali novità,
con soluzioni Software as a Service che si affiancano ai servizi gestiti già
erogati da tempo.
La terza area di investimento riguarda la gestione della sicurezza, che
finalmente vede un'integrazione concreta con le soluzioni di system
management, così come era stato annunciato da IBM già qualche tempo fa.
Più precisamente, il rilascio di Tivoli Endpoint Management, basato sulla
tecnologia acquisita con BigFix, rappresenta un esempio di tale integrazione,
consentendo di identificare e gestire, con automatismi per patching e fixing,
tutti gli endpoint sulla rete.
Infine, IBM sta spingendo su un'estensione sempre maggiore del concetto di
sicurezza aziendale, parlando di "sicurezza operativa". In sintesi significa
assicurarsi che la security non solo sia affrontata con un approccio olistico,
ma sia un elemento implicito in ogni pilastro operativo dell'organizzazione.
Dalla gestione delle identità, alla rete, allo sviluppo delle applicazioni fino ai
database e oltre, la sicurezza deve permeare l'azienda fino al consiglio
esecutivo. Solo quando la sicurezza farà parte di ogni pilastro aziendale, si
potrà, secondo la visione di IBM, cercare una sicurezza più sofisticata che
attraversi ogni dominio, sia caratterizzata da una gestione più attiva, basata
su sempre più automatismi e, soprattutto, fondata su analytics e modelli
previsionali.
Secondo la visione di IBM, dunque, per governare in modo efficace la
sicurezza è necessario coniugare consolidate esperienze di IT con
competenze specifiche sugli aspetti di architettura e di processo. Entrambi
aree in cui IBM dispone di elevate e riconosciute competenze ed esperienze
progettuali.
L’ampiezza della strategia e la value proposition di IBM sono ben
sintetizzate nell’Information Security Framework che integra i diversi temi
della sicurezza, attraverso un portafoglio completo di servizi, soluzioni,
architetture e prodotti specifici e integrati.
Il framework per la sicurezza recepisce quanto previsto da standard
internazionali, esperienze progettuali di IBM e best practice di settore,
fornendo una visione di business e identificando le aree coinvolte nei
processi di Security Governance, Risk Management e Compliance: Persone e
Identità, Dati e informazioni, applicazioni e processi; applicazioni e processi;
rete, server ed endpoint; infrastruttura fisica. Attraverso i professional
service, i managed service e le proprie soluzioni hardware e software,
2
trasversali alle suddette aree, IBM, a detta dei suoi responsabili, copre tutte
le esigenze di sicurezza
Ibm Information Security Framework
IBM ha inoltre creato modelli complementari per favorire la convergenza
della prospettiva di business della sicurezza con quella tecnologica.
Modelli complementari per la visione della sicurezza secondo IBM
All’interno
dell’IBM
Security
Blueprint,
il
Foundational
Security
Management Services descrive i principali servizi di gestione che sono
necessari per raggiungere le funzionalità descritte nell’IBM Security
Framework: viene così creato un collegamento tra il requisito di business,
identificato nel framework e il servizio IT proposto a soddisfarlo. La
3
IBM
Common Security Infrastructure, a sua volta, contiene gli elementi
infrastrutturali e i servizi che sono utilizzati dai servizi di alto livello
descritti tra i Foundational Security Management Services.
Entrambi gli elementi della IBM Security Blueprint sono basati su standard e
tecnologie aperte, che, insieme all’IBM Security Framework, possono essere
utilizzate per progettare un’architettura che comprende piattaforme,
componenti e configurazioni, basate su principi e pratiche aziendali per la
sicurezza.
L'offerta di prodotti e servizi a concretizzare l'IBM Security Framework
Accanto all’offerta di servizi, IBM presenta un portafoglio di prodotti
relativo alla sicurezza molto vasto e che comprende soluzioni specifiche per
i propri sistemi server e storage, tra cui vanno ricordate le caratteristiche di
security abbinati ai System z di IBM, soluzioni software e piattaforme IBM
Tivoli e altre soluzioni specifiche che arricchiscono il portafoglio, come
quelle per la videosorveglianza, e che danno ulteriore consistenza ai servizi e
alla consulenza fornita dagli IBM Global Technology Services.
La strategia IBM per la Security Governance
Nel corso degli ultimi anni IBM ha effettuato significativi investimenti
nell’area della sicurezza per la creazione di asset e metodologie a supporto
della governance e del risk management, nonché per l’acquisizione di
aziende leader nel mercato delle soluzioni e dei servizi di sicurezza.
4
Il risultato è un’offerta di prodotti e servizi che aiuta le aziende nel disegno e
nella realizzazione di un sistema di governance per: monitorare in tempo
reale gli impatti sul business dei rischi correlati alla Sicurezza delle
Informazioni; controllare quest’ultima e fornire al management le metriche
di governo; automatizzare le operazioni di controllo, migliorando
l’efficienza e l’efficacia dell’organizzazione, riducendo i costi e liberando
risorse per innovare i processi aziendali.
Il sistema di governance, come rappresentato nell’Information Security
Framework, è trasversale a tutte le aree della sicurezza e a tutti i “layer”
dell’infrastruttura IT: rete, server, applicazioni, dati. Inoltre, deve sostituire il
tradizionale approccio di tipo reattivo con tecnologie proattive, che evitano
l’insorgere di problemi di sicurezza, individuando e rimuovendo le
potenziali esposizioni ai rischi. L’offerta di IBM, ispirandosi alle best
practice, garantisce: la confidenzialità e l’integrità delle informazioni
attraverso le soluzioni Tivoli Storage Management, Filenet, Data Encryption;
il controllo degli accessi e la gestione delle identità digitali, anche in
ambienti federati, attraverso le soluzioni Tivoli Identity Manager, Tivoli
Access
Manager,
Tivoli
Federated
Identity
Manager;
il
controllo
dell’infrastruttura, grazie ai prodotti e servizi gestiti di Internet Security
Systems, al Tivoli Security Operation Manager, Tivoli Compliance Insight
Manager;
il
controllo
delle
applicazioni,
attraverso
l’analisi
delle
vulnerabilità effettuata da Rational APPScan.
Il supporto di IBM per la compliance
Come già evidenziato, IBM ha messo a punto un’offerta articolata di servizi
e soluzioni per la sicurezza integrata che coprono tutte le esigenze delle
aziende e le supportano nello sviluppo e nell’attuazione del processo di
Information Security Compliance Management, per il quale, negli anni, IBM
ha
sviluppato
approcci
metodologici
e
competenze
professionali:
individuazione e analisi degli obblighi e dei requisiti di Information Security
derivanti dalle normative; analisi dei rischi, selezione delle misure di
sicurezza di natura organizzativa, procedurale e tecnologica, atte a
indirizzare i requisiti individuati; sviluppo del Piano di Information Security
in linea con le best practice e gli standard di riferimento; sviluppo di
politiche e procedure di Information Security specificamente orientate alla
conformità normativa; disegno e implementazione degli aspetti di processo
legati all’Information Security Compliance e alla gestione dei relativi
indicatori
5
di
conformità;
disegno
e
implementazione
di
soluzioni
IBM
tecnologiche e architetture di Enterprise Security Management orientate alla
conformità normativa e alle esigenze di monitoraggio; sviluppo ed
erogazione di piani di formazione e sensibilizzazione in materia di
Information Security.
Le soluzioni elencate per l’IBM Security Framework coprono anche le
esigenze tecnologiche d’Information Security Compliance. Inoltre, per
queste problematiche IBM, ha sviluppato un approccio metodologico
orientato allo sviluppo del Modello di Monitoraggio dell’Information
Security nel suo complesso, che si avvale di soluzioni tecnologiche per la
gestione degli eventi di sicurezza e dei molti dati da registrare, documentare
e archiviare per la compliance.
Il supporto per la PCI compliance
IBM possiede sia le tecnologie sia le capacità di analisi e supporto che
possono affiancare un’azienda nel percorso verso la completa aderenza allo
standard PCI DSS (Payment Card Industry Data Security Standard). Il punto
di partenza è una fase di consulenza che prevede tre diversi interventi:

Assessment: è realizzato da esperti di IBM ISS (Internet Security
Systems) o di IBM GBS (Global Business Services).

Remediation: è realizzato da esperti di IBM ISS, GBS, GTS (Global
Technology Services) o SWG (Software Group).

Certification: è realizzato da esperti IBM ISS, che gode delle
certificazioni sia QSA sia ASV.
Le soluzioni IBM indirizzano l’intero insieme dei requirement stabiliti dallo
standard PCI.
IBM Security Solutions per il cloud
IBM, oltre a essere essa stessa fornitrice di servizi cloud, è impegnata sulla
sicurezza del cloud da almeno tre punti di vista:

La consulenza sulla cloud security, per aiutare i i clienti a capire come
proteggere un ambiente cloud, attraverso anche la fornitura di alcuni
servizi. Tra cui, per esempio, il penetration testing, l’Information
security assessment e lo sviluppo di policy e standard per la
protezione.

I prodotti per la sicurezza nel cloud, tra cui certamente l’ampio
portafoglio di soluzioni che già oggi proteggono le infrastrutture di
migliaia di aziende, cui si aggiungono funzionalità specifiche per
ambienti cloud e ambienti virtualizzati in particolare, come Virtual
6
appliance
e
soluzioni per
l’integrated
virtualization security,
compresa la recente Proventia Virtual Security Server, realizzata in
collaborazione con VMware, che protegge a più livelli gli ambieti
virtuali.

Gli Smart Business Security Services, che, oltre a comprendere una
vasta offerta di managed service, si possono, in taluni casi, connotare
come Security as a Service. Tra questi, per esempio quelli relativi alla
posta elettronica. Si tratta di servizi cloud che prevedono la pulizia o
la sicurezza della posta, scalabili con SLA (Service Level Agreement)
garantiti molto elevati, in termini sia di disponibilità sia di prestazioni
nel blocco dello spam, per esempio.
L’architettura di Identity e Access Management
La gestione dell’identità è un processo che va affrontato e revisionato con
continuità a livello operativo e strategico. Un obiettivo conseguibile solo
attraverso una strategia unificata che adotti soluzioni di identity
management e access control, come quelle che fornisce IBM e che
consentono di: ridurre i rischi di frode o furto; favorire la collaborazione;
ridurre i costi operativi per la gestione di identità e sicurezza; massimizzare
l’utilizzo e la profittabilità per il business e i partner; semplificare i processi
di audit e di compliance all’interno di ambienti eterogenei. IBM è in grado di
supportare, attraverso le proprie soluzioni e servizi, più modelli
architetturali per l’identity e access management, compreso un modello
federato.
L’architettura di un sistema integrato
IBM Tivoli Identity manager, Tivoli Access Manager e WebSphere Portal si
possono abbinare per realizzare un sistema integrato destinato alla gestione
dell’identità e dell’accesso. Un sistema, cioè, che consente di combinare
processi aziendali e tecnologie software per amministrare le identità del
personale aziendale e l’accesso sicuro alle informazioni proprietarie
all’interno dell’impresa. Dal punto di vista dell’architettura logica, il punto
di partenza del processo è rappresentato dall’utente, che interagisce con il
sistema di gestione dell’identità e dell’accesso attraverso il proprio pc,
utilizzando un browser o un client di posta elettronica per accedere alle
varie applicazioni Web che sono protette da IBM Tivoli Access Manager for
e-business.
7
IBM
L’architettura di un sistema federato
Parlare di federazione significa considerare un gruppo di due o più business
partner che lavorano insieme e che decidono di attivare un’aggregazione
finalizzata a migliorare l’esperienza dei rispettivi clienti e/o contribuire a
ridurre i costi.
IBM Tivoli Federated Identity Manager sfrutta i principali standard di tipo
federativo per garantire l’accesso degli utenti gestiti all’interno di
un’organizzazione “trusted” in base alla loro identità e ruolo. Tivoli
Federated Identity Manager permette di implementare funzioni di gestione
dell’accesso sicuro ad applicazioni e servizi distribuiti come a mainframe, in
ambienti SOA basati sull’utilizzo dei Web Service.
I vantaggi offerti da Tivoli Federated Identity Manager interessano la
riduzione dei costi associati alla business integration, all’help-desk e
all’amministrazione della sicurezza grazie alla possibilità di predisporre
rapidamente una soluzione semplice di SSO; inoltre, il suo uso contribuisce a
minimizzare i costi necessari per creare e mantenere identità condivise
attraverso molteplici business partner. Infine contribuisce a migliorare la
compliance grazie alle funzionalità di tracciabilità e di auditing e permette di
realizzare e condividere in modo molto rapido servizi Web-based con i
propri business partner. Alle organizzazioni medie e piccole si indirizza,
invece, IBM Tivoli Federated Identity Manager Business Gateway, che
rappresenta una soluzione di tipo entry-point per cominciare a stabilire
funzionalità federate di SSO su Web.
L’application security
Per rispondere alle esigenze applicative, di management e di sicurezza
connesse a un ambiente SOA, IBM ha sviluppato un modello di riferimento.
La sua definizione aiuta a indirizzare i requisiti e porta alla realizzazione di
un’architettura logica e una fisica, in cui prodotti e tecnologie sono
opportunamente mappati, per risolvere i problemi che si presentano nello
sviluppo e nella gestione di applicazioni e processi applicativi. La security è
applicabile a tutti i livelli di un modello SOA: infrastruttura, applicazioni,
servizi di business, servizi di sviluppo. Dunque, il modello può essere visto
come suddiviso in diversi livelli di astrazione e precisamente in quelli di:
Business Security Service, IT Security Service e Security Policy Management,
cui va aggiunto un ulteriore livello, il “Security Enablers”, che ha il compito
di fornire le funzioni di sicurezza agli IT Security Service.
8
Il modello di riferimento IBM per la sicurezza in ambienti SOA
Le aree principali che compongono il modello sono le seguenti:

Business Security Service - è inerente alla gestione delle esigenze e
delle richieste del business, come il riconoscimento sicuro, la gestione
di identità e accessi, la protezione dei dati scambiati tra applicazioni e
servizi, la non repudiabilità e la sicurezza dei sistemi e della rete.

IT Security Service - descrive i blocchi di base per un’infrastruttura
SOA e fornisce quanto è necessario al fine di rendere sicuri i servizi e
soddisfare le esigenze di applicazioni e infrastrutture erogando le
stesse funzioni di sicurezza come se si trattasse a loro volta di servizi.
Questi servizi includono la certificazione dell’identità, l’autenticazione
mediante
metodi
sofisticati,
l’autorizzazione,
così
come
la
confidenzialità, l’integrità dei dati e servizi di audit.

Security Enablers - comprendono tecnologie quali la crittografia,
directory e le aree dove sono mantenute le chiavi di cifratura che sono
utilizzate dagli IT Security Service per realizzare i propri compiti.

Security Policy Management - articolazione, gestione, messa in atto e
monitoraggio delle politiche di sicurezza. Questo include la capacità
di definire policy per autenticare e autorizzare le entità che richiedono
l’acceso a un particolare servizio, di propagare specifici contesti di
sicurezza in base alle richieste dei richiedenti e alle caratteristiche del
modello di credenziali adottato, effettuare l’audit degli eventi
significativi e proteggere le informazioni.

Governance e Risk Management - fornisce i meccanismi che
implementano e permettono di attuare le policy di sicurezza a livello
dell’intero ambiente esteso interessato da SOA. La Governance
supporta nel gestire la SOA a livello dell’intera organizzazione
aziendale. Il Risk management si occupa dei processi di valutazione e
9
IBM
di assessing del rischio nell’ambiente SOA e dello sviluppo delle
strategie più adatte alla gestione di questi rischi.
Il modello di sicurezza per la SOA non è però astratto dal contesto di
business aziendale, ma, all’interno dell’IBM SOA Reference Model,
costituisce un sotto elemento della visione per l’IT Service Management.
La sicurezza fisica
L’ambito nel quale è più avanzata l’integrazione tra sicurezza logica e fisica
è quello bancario, ma anche in altri ambienti enterprise, soprattutto dove è
forte l’esigenza di protezione delle infrastrutture critiche come nel settore
pubblico o dei trasporti, tale esigenza sta maturando con insistenza.
L’evoluzione delle soluzioni di sicurezza fisica e delle tecnologie IT ha posto
le basi per realizzare modelli innovativi di governance e controllo di agenzie
bancarie e, più in generale, di ambienti aziendali con simili esigenze.
Il framework sviluppato da IBM per una sicurezza fisica integrata
IBM ha sviluppato un modello per abilitare un approccio integrato e
omogeneo per la convergenza della sicurezza, che scala in orizzontale (per
esempio, in numero di agenzie gestite e di sottosistemi fisici gestiti per
ciascuna agenzia) e in verticale (per esempio, in numero di servizi e di
funzionalità forniti).
La soluzione IBM Smart Vision System
La soluzione IBM Smart Vision System è un sistema avanzato di
videoanalisi,
10
che
fornisce
non
solo
la
possibilità
di
monitorare
automaticamente una scena, ma anche di gestire i dati delle immagini
registrate, effettuare il recupero dei dati sulla base degli eventi, ricevere
allarmi in tempo reale attraverso Web, effettuare indagini investigative post
evento ed estrarre modelli statistici di attività a lungo termine. Grazie alle
sue funzioni di analisi comportamentale basate su video, di real time alert e
controllo a eventi “pre-programmati”, aiuta a sviluppare strategie di
sicurezza più intelligenti. Il sistema adotta un approccio object-oriented al
video: capisce il video stream, scomponendolo in persone, oggetti e aree di
interesse. Ha inoltre incorporato nella sua progettazione diversi modi per
tutelare la privacy delle persone nello spazio controllato. La soluzione si
basa su una tecnologia per la sicurezza innovativa, creata dai laboratori di
ricerca IBM e basata su open standard, che permette di monitorare e
analizzare eventi mediante sensori multipli, tra cui video camere, radar,
sensori chimici o ingressi audio, integrandosi con le principali tecnologie sul
mercato. IBM Smart Vision System permette di accedere in tempo reale alle
informazioni critiche e di fare ricerche mirate per particolari attributi sulle
immagini video registrate, fornendo diversi vantaggi rispetto ai sistemi di
video sorveglianza tradizionali, tra cui il potenziamento delle funzioni di
indagine scientifica, il recupero di video basato sui contenuti e la
“consapevolezza della situazione”, questo, in particolare, attraverso
l’identificazione congiunta di posizione, identità e attività degli oggetti nello
spazio monitorato.
Strategie e architetture per la business
continuity
IBM ha costituito la Business Continuity and Resiliency Services: una linea
di prodotti e servizi che indirizzano un’esigenza ben specifica: quella
appunto di “resilienza”. Per IBM la business resiliency consiste nella
capacità di adattarsi rapidamente alle situazioni sia di rischio sia di
opportunità. Più precisamente, IBM fornisce servizi di continuità operativa,
che garantiscono alle aziende la capacità di continuare a erogare i servizi
informativi in situazioni di emergenza anche grave, e servizi di sicurezza,
che proteggono l’informazione in termini d’integrità, confidenzialità e
disponibilità dei dati. Questo, in un’ottica di gestione e controllo del rischio
operativo, significa fornire la capacità di reagire a situazioni avverse, ma
11
IBM
anche la capacità di cogliere le opportunità, come saper gestire i picchi di
domanda.
Da questo punto di vista, IBM sposa la definizione di rischio operativo
proposta da Basilea II, che parla di rischi derivanti dall’inadeguatezza di
un’organizzazione a fronte di diverse minacce, non solo esterne.
Per questo, i servizi di business continuity e resiliency di IBM non si
limitano a garantire la tradizionale continuità operativa di business, ma
includono anche servizi per la conformità alle normative di governo e di
settore, servizi di alta affidabilità, servizi di protezione di dati e informazioni
e i servizi per la gestione integrata del rischio operativo. I professionisti di
IBM supportano le aziende in tutte le fasi di un progetto per la business
continuity: dalla valutazione degli impatti sul business, alla pianificazione
della
strategia
di
business
continuity,
alla
progettazione,
fino
all’implementazione e gestione.
Un esempio di architettura IBM per un servizio di business continuity e resiliency
Più precisamente, i servizi IBM di business continuity e resiliency sono
raggruppati in quattro aree:

IBM Resiliency Consulting Services – servizi di consulenza per il
disegno di un’infrastruttura di resilienza adeguata alle esigenze
d’ogni azienda.

IBM Information Protection Services – servizi di protezione e recupero
di dati e informazioni (backup e recovery dei dati).

IBM Managed Resiliency Services – fornitura di un’infrastruttura
resiliente con tempi di ripristino minimi.

IBM Disaster Recovery Services – con ripristino del business,
dell’infrastruttura e finanche degli impiegati in caso di disastro.
12
IBM è in grado di gestire il processo in completo outsourcing, installando le
macchine necessarie a replicare l’infrastruttura che il cliente decide di
proteggere (compresi quindi sistemi hardware di altri produttori) presso i
propri centri di disaster recovery, fornendo facility e risorse umane e
consentendo il ripristino di processi di business, informazioni e dati,
applicazioni, tecnologie e strutture.
IBM fornisce anche servizi di ripristino dei workplace, mettendo a
disposizione postazioni dove il cliente può mandare le proprie persone.
Altra possibilità sono ambienti particolari, per esempio, per le aziende che
operano in borsa oppure le postazioni specializzate per i call center. Ancora,
ci sono diversi servizi di housing e hosting: di fatto, ci sono tutte le
possibilità dall’affitto di un’area fino all’outsourcing operativo o il più
completo possibile.
IBM Resiliency Consulting Services
I servizi di consulenza sulla resilienza sono strutturati su tre livelli:
governance, IT process e IT system/infrastructure.
A livello di governo, l’obiettivo dei servizi è: definire i misuratori e le
metriche per il controllo continuo delle prestazioni predeterminate,
garantendo la compatibilità con requisiti normativi interni ed esterni;
condurre un’analisi dei rischi; misurare il livello di resilienza dell’azienda.
Rientrano in questa categoria di servizi gli studi di Business Impact
Analysis, Risk Assessment, Resiliency Assessment e Security Compliance.
A livello di IT process, l’obiettivo dei servizi consiste nello sviluppare i
processi di disaster recovery e nel definire le interdipendenze con il sistema
di gestione IT. Più precisamente, in quest’ambito, i servizi consulenziali sono
finalizzati a progettare e sviluppare un sistema per la gestione della
continuità operativa, specificandone le interrelazioni con altri processi.
Rientrano in questa categoria i Business Continuity Plan, i piani di Disaster
Recovery e quelli di Crisis Management, come definiti da standard e best
practice internazionali, quali ITIL o COBIT.
In questo contesto, risulta importante il valore aggiunto che discende
dall’esperienza dei consulenti IBM, che conoscono le normative e sanno
disegnare le architetture coerentemente ai requisiti. I piani di disaster
recovery e quelli di business continuity, infatti, sono in continuo divenire:
cambiano al cambiare dell’infrastruttura. Devono quindi sottostare a
processi ciclici e comprendere, come previsto appunto dalle best practice o
13
IBM
dagli standard citati, fasi precise, come l’escalation, il recovery, l’esercizio in
emergenza e il rientro, oppure come i test e le simulazioni. Ci si augura di
non dover mai fronteggiare un disastro, ma all’occorrenza bisogna essere
pronti.
Infine, a livello infrastrutturale, i servizi forniti dai consulenti e gli architetti
IT di IBM hanno come obiettivo il disegno di soluzioni per il disaster
recovery secondo una metodologia coerente con le best practice, quindi
rispondente ai requisiti e ai livelli di servizio predefiniti, come i Recovery
Time Objective e i Recovery Point Objective, che definiscono entro quanto
tempo deve essere disponibile il recovery e quali sono gli “oggetti” che
devono essere ripristinati.
Con particolare attenzione alla fase di ripristino, che è quella più delicata e
che deve essere gestita in maniera dinamica, perché ogni asset ha priorità
diverse.
IBM Information Protection Services
IBM gestisce a livello centralizzato i backup a casa del cliente,
immagazzinando nei propri data center ben 24 Petabyte di dati. Il cliente
installa un agent che, secondo una pianificazione parametrizzata, salva
quanto è stato identificato come dato critico dal cliente. In maniera
automatico il dato viene memorizzato sulle librerie presso i Data Center di
IBM. Il tutto può essere controllato ed eventualmente ripristinato dal cliente
attraverso un portale Web sicuro, attraverso il quale si possono configurare
tutti i parametri per il backup, secondo una logica cloud.
In altre parole, i servizi di protezione dei dati possono essere realizzati sia on
site sia da remoto, in modalità molto flessibili per venire incontro a diverse
casistiche.
Tra i servizi forniti:

Fastprotect online, che fornisce backup e recovery continuo dei dati
contenuti su desktop e notebook.

Information Protection Services Remote Data Protection, per la
protezione di dati distribuiti con un sistema altamente sicuro.

Information Protection Services Managed Data Vault, che riduce il
rischio di perdita dei dati attraverso un rapido sistema di backup e
recovery in modalità cloud.
Esistono poi alcuni servizi “confezionati” in modalità “Express”, che in IBM
identifica servizi chiavi in mano tagliati sulle situazioni ed esigenze più
14
comuni. Tra questi, per esempio, l’Email management express, che fornisce
supporto nella protezione della posta elettronica critica attraverso opzioni
avanzate.
Un partner d’esperienza
La complessità delle discipline che devono essere implementate per
realizzare i piani di business continuity o quelli di disaster recovery, nonché
la loro quantità numerica rendono necessario affidarsi a un partner che
possegga competenze di alto livello e, soprattutto, esperienza. Qualità che i
responsabili rivendicano citando numeri importanti, come i 40 anni di
esperienza nel settore, gli oltre 10mila clienti a livello mondiale, i 154 centri
di resiliency sparsi per il Pianeta, 1600 persone (40 circa a livello italiano) o,
soprattutto, gli oltre 750 sistemi ripristinati dopo un disastro.
La società
IBM è una società di innovazione al servizio di aziende e istituzioni che
detiene primati in ogni area tecnologica, per lo sviluppo e la gestione di
complesse infrastrutture informatiche; opera in 170 paesi con un organico di
oltre 355.000 dipendenti e in Italia è presente dal 1927 contribuendo alla
crescita economica e all’innovazione.
Per ulteriori informazioni:
http://www-935.ibm.com/services/it/gts/html/security_privacy.html
http://www-935.ibm.com/services/it/gts/html/business.html
www.ibm.com/it/it/
15
JUNIPER NETWORKS
Strategia e piattaforme
Juniper Networks (in seguito Juniper) è una società di caratura
internazionale che opera nel campo del networking e della sicurezza di rete.
Il suo impegno è focalizzato nello sviluppo di una nuova vision della rete
trasmissiva aziendale, sia per il mondo enterprise che dei carrier, nonché per
reti fisse e mobili.
Tra i suoi principali obiettivi negli sviluppi per il networking e la sicurezza
vi è quello di assicurare il funzionamento dei data center di nuova
generazione e abilitare in modo ottimale l’interazione degli elementi server,
storage e client che lo costituiscono e che operano in modo sempre più
virtuale e in ambienti cloud.
A questo vanno anche aggiunte le forti esigenze di sicurezza, sia nella
protezione dei dati durante il loro trasporto in rete e tra gli end-point che nel
garantire la connettività e la continua disponibilità delle informazioni e dei
sistemi interconnessi, tutti aspetti questi a cui Juniper ha inteso rispondere
efficacemente con una nuova vision architetturale e una ampia dotazione di
servizi di rete e per una gestione fortemente integrata.
La considerazione di base di Juniper nello sviluppo di una nuova
architettura di rete e dei prodotti (switch, router) che la concretizzano,
nonché delle funzioni di sicurezza che li devono caratterizzare, è che i flussi
dati di un dispositivo client non sono più strettamente correlati a un server
fisico ma in un ambiente sempre più dinamico e virtuale possono fluire
all’interno di una rete in modo complesso e non prevedibile.
Questa deve essere quindi in grado di supportare il relativo traffico e
adeguarsi in modo dinamico al variare dei flussi, del loro volume e delle
esigenze di qualità del servizio di trasporto (che è diverso a secondo che si
tratti di semplici transazioni, voce o video). In questo scenario dinamico la
1
JUNIPER NETWORKS
sicurezza deve essere applicata a tutti i livelli di una rete, sia essa fissa o
mobile, e garantire il corretto funzionamento dalla singola transazione o
sessione di lavoro.
Nella vision di Juniper l’infrastruttura di rete deve, in sintesi, essere in grado
di abilitare e favorire la trasformazione dell’ambiente applicativo di una
azienda e del suo Data Center, trasformazione che deve necessariamente
prevedere le esigenze di consolidamento, di trasporto del video (sia come
videoconferenze che videocontrollo ambientale), di mobilità dei client, di
sicurezza, di compliance e di utilizzo di applicazioni in ambienti sia
enterprise cloud che public cloud.
Semplificare, Automatizzare, Proteggere
Juniper ha identificato nella molteplicità dei tier di una infrastruttura di rete
di un data center uno degli elementi più critici nel perseguire obiettivi di
sicurezza
nel
funzionamento,
flessibilità,
gestibilità,
dinamicità,
ottimizzazione di Capex e Opex e riduzione di consumi energetici.
In una rete legacy multi tier (tipicamente tre) quasi il 50% delle connessioni
di rete servono esclusivamente per collegare tra loro gli switch dei diversi
livelli che la costituiscono invece di essere utilizzate per la connessione dei
server, dei mainframe o dei dispositivi di storage SAN e NAS.
Ciò rende inoltre complesso e ‘time consuming’ procedere al riallineamento
della rete mediante il protocollo spanning tree quando si verificano dei
guasti e sia necessario isolare un nodo malfunzionante e provvedere alla
ridefinizione dei percorsi di rete.
Inoltre, l’alto numero delle connessioni rende meno sicuro il sistema globale
che ne deriva perché aumenta la possibilità di guasti o di errori da parte del
personale tecnico e di manutenzione.
L’effetto combinato di questi molteplici, onerosi e critici elementi nel
funzionamento della rete porta ad una riduzione della capacità di banda
trasmissiva effettivamente disponibile ai server e allo storage che può
risultare superiore anche al 50% di quella teorica.
A questo spreco di risorse e di costi si aggiunge poi la maggiore complessità
gestionale e la riduzione di affidabilità che deriva da connessioni in eccesso.
La soluzione ideata da Juniper per eliminare questi problemi consiste in una
‘New Network’ le cui caratteristiche salienti sono la semplicità, la sicurezza e
l’automazione.
I tre obiettivi che Juniper ha inteso raggiungere con la sua vision
architetturale sono: Semplificare, Automatizzare, Proteggere.
2
Semplificare è l’obiettivo primario quando si vogliono migliorare gli
economics e le prestazioni di una infrastruttura.
La nuova architettura di rete per data center “3-2-1” di Juniper ha come
obiettivo primario quello di razionalizzare e semplificare le reti data center
legacy grazie alla adozione massiva in tutti gli apparati di switch di nuova
generazione della nuova tecnologia Virtual Chassis fabric, sviluppata per
ridurre da tre a due i layer di rete, e successivamente a un solo layer, tramite
la piattaforma fisica (fabric) del “Progetto Stratus” di Juniper.
Peraltro, per favorire ulteriormente questa semplificazione Juniper ha
adottato per tutti i suoi apparati di rete un unico sistema operativo (Junos),
una modalità predefinita di rilascio delle nuove release del software, e
piattaforme software caratterizzate da un elevato grado di flessibilità (Junos,
Junos Space e Junos Pulse).
Il
secondo
punto
nella
vision
strategica
di
Juniper
consiste
nell’automatizzare. Garantire una elevata automazione, nella strategia della
società è un compito assegnato alla sua soluzione Junos Space, che consiste
in una piattaforma applicativa di rete in grado di automatizzare le funzioni
di provisioning, gestione e supporto delle reti dei data center, in modo da
ridurre i costi operativi e migliorare la user experience dell'utente finale. La
piattaforma comprende applicazioni software basate su Junos Space e, in
particolare, la soluzione Virtual Control per la gestione di sistemi fisici e
virtuali da una piattaforma di orchestrazione condivisa.
La protezione e la sicurezza dell’ambiente di rete costituisce il terzo
elemento della strategia di Juniper.
Le funzioni per la sicurezza di rete di livello world-class che Juniper ha
implementato nelle sue soluzione hanno l’obiettivo di aiutare l’IT ad
adattarsi ai comportamenti dei nuovi utenti e ai cambiamenti nei flussi di
dati all'interno del data center determinati dalla crescita esplosiva della
virtualizzazione di server, storage e client, dal Web 2.0 e dalle
implementazioni di servizi cloud.
Il "modello di sicurezza dinamica" di Juniper si concretizza tramite i Service
Gateway Juniper SRX Series e funzionalità quali la AppTrack, che abilitano
una elevata visibilità sul comportamento di applicazioni e utenti in modo da
gestire in modo ottimale i flussi di dati e individuare in modo puntuale gli
eventuali colli di bottiglia nei flussi di rete. Le funzionalità di protezione
delle piattaforme Juniper permettono inoltre agli amministratori IT di gestire
dinamicamente le identità, le applicazioni e le policy di rete a partire dai
dispositivi di utente fino ai data center.
3
JUNIPER NETWORKS
Affrontando queste tre tematiche, alla base dello sviluppo della sua ‘New
Network’, Juniper si è posta l’obiettivo di abilitare una riduzione delle spese
in conto capitale di sino al 30% (conseguenza da una parte di minori
apparati da acquisire e dall’altra di un minor numero di connessioni da
installare ed esercire) e contestualmente ridurre l’Opex (come conseguenza
naturale di una gestione dell’infrastruttura che risulta più semplice, dei
minori costi energetici che si devono sopportare, del forte aumento della
affidabilità complessiva dell’infrastruttura).
La strategia per una rete 3-2-1
L’obiettivo perseguito da Juniper per il mondo enterprise e carrier è, come
accennato, la semplificazione e la sicurezza del data center e delle
infrastrutture
di
rete,
che
passa
necessariamente
attraverso
la
semplificazione della sua infrastruttura per giungere poi, come punto di
arrivo, ad una rete con un solo livello. Juniper riconosce però che questo
obiettivo non può essere raggiunto in un unico passo e per permetterlo ha
ideato una strategia evolutiva che porterà dalla attuale e diffusa architettura
basata su tre tier (o livelli) ad una architettura di rete molto più sicura ed
affidabile, costituita da un solo tier, che collegherà in modalità punto a
punto tutti gli elementi di un Data Center passando attraverso una fase
intermedia, già resa praticabile dalle sue soluzioni, basata su solo due tier.
Il progetto Stratus incorpora nel fabric di rete tutte le funzioni, basate sul sistema operativo
Junos, che permettono di realizzare un unico livello di switch e gestirlo come se fosse un unico
apparato, riducendo i costi, semplificando l’intera infrastruttura e abilitando una forte
sicurezza dell’intero sistema.
4
Quando sarà completata l’evoluzione, la possibilità di comunicazione puntopunto abiliterà enormi benefici prestazionale, del TCO, nella gestione e nella
sicurezza. In sintesi, la nuova architettura “3-2-1” per le reti data center
realizzata da Juniper abilita già il passaggio da tre a due livelli e, in futuro, a
un solo livello tramite il citato "Progetto Stratus", che integrerà del tutto a
livello di fabric le funzioni di rete di un data center.
I benefici che ne risulteranno, rileva Juniper, sono molto forti perché le
innovazioni derivanti da una tecnologia ‘fabric’, di virtualizzazione e di
automatizzazione, possono ridurre fino al 50% i tempi richiesti per eseguire
le operazioni e parimenti ridurre di fino al 35% le spese in conto capitale per
le reti dei data center.
Va osservato che il ‘Progetto Stratus’ è stato ideato al fine di abilitare la
realizzazione di data center estremamente potenti che, di conseguenza,
necessitano di una rete ad elevatissime prestazioni e affidabilità. Capacità
elaborativa elevata e rete parimenti ad alte prestazioni sono anche due degli
elementi che nella strategia di Juniper abiliteranno la diffusione e l’adozione
di soluzioni di Cloud Computing sia di tipo enterprise che public.
Nel progetto Stratus, in corso da tempo, sono confluite le esperienze e le
innovazioni ingegneristiche e tecnologiche a livello hardware, software,
ASIC e architetturali realizzate da Juniper, con l’obiettivo di fornire una
soluzione ai maggiori problemi che si incontrano nell’esercizio di un data
center.
Tra questi, la necessità di una architettura a un solo livello, non bloccante e
senza perdita di pacchetti, una scalabilità da decine di porte a decine di
migliaia di porte operanti alla velocità 10 Gb Ethernet, la riduzione sino a un
ordine di grandezza nella latenza rispetto ai data center esistenti in modo da
supportare applicazioni massive in ambienti Cloud, l’esigenza di un livello
di affidabilità di tipo carrier class e di una rete che non presenti singoli punti
di guasto, la disponibilità di servizi evoluti di sicurezza integrati e
virtualizzati nel fabric della rete.
Non ultimo, la possibilità di gestire l’insieme di apparati di rete dell’unico
livello come se fossero un unico grande switch basato sul sistema operativo
Junos di Juniper.
Ma se la riduzione a un livello promette enormi benefici, buon parte di
questi benefici possono, come accennato, essere già ottenuti oggi con
l’architettura di Juniper a due soli livelli, che ingloba molti dei principi della
sua visione strategica globale quali la virtualizzazione e le funzionalità di
rete a livello di fabric, e che riduce fortemente l’esigenza di aggiungere
5
JUNIPER NETWORKS
continuamente nuovi apparati di rete e espandere esponenzialmente la
complessità gestionale.
La tecnologia Virtual Chassis di Juniper
Uno degli elementi chiave della strategia Juniper nell’evoluzione verso una
rete ‘flat’ costituita da un solo livello di apparati (elemento già disponibile
nelle sue soluzioni attuali che abilitano la realizzazione di una rete a soli due
livelli), è costituito dalla tecnologia brevettata ‘Virtual Chassis’.
L’aspetto chiave è che in una configurazione di apparati dotati della
tecnologia ‘Virtual Chassis’, tutti gli switch possono essere gestiti come un
unico dispositivo, cosa che permette di separare la topologia fisica dal
raggruppamento logico degli end-point ed avere un miglior utilizzo delle
risorse. Inoltre, è possibile creare delle topologie di rete ad elevata resilienza
utilizzando le porte di up-link a 1 Gb Ethernet o a 10 Gb Ethernet per
estendere la configurazione Virtual Chassis in ambito geografico anche su
lunghe distanze, su più wiring closet, piani o interi palazzi di campus.
La tecnologia Virtual Chassis permette di distribuire gli switch in più uffici, piani, o sedi
geografiche e di gestirli come un unico apparato fisico, suddiviso in più sottosistemi logici.
Numerosi i benefici e la semplificazione che ne derivano.
Ad esempio, l’implementazione della tecnologia Juniper Virtual Chassis nel
layer di accesso, ha permesso a Juniper di eliminare i requisiti di
aggregazione (che costituiscono una delle cause primarie di complessità per
le reti degli attuali data center), con una riduzione di oltre il 90%, evidenzia
Juniper, del numero di interazioni fra switch rispetto alle reti legacy a tre
layer. Il risultato immediato è un forte incremento delle prestazioni e delle
performance applicative che è conseguenza di un abbattimento della latenza
rispetto alle reti legacy basate su tre layer. In base a test realizzati nei
laboratori di ricerca di Juniper e a esperienze in field la riduzione può
giungere fino al 77%.
6
Juniper ha una estesa offerta di switch e router adatti per la realizzazione di
reti aziendali private o per l’erogazione di servizi da parte di carrier e
operatori nazionali o sovranazionali.
A questo insieme di prodotti aggiunge numerose famiglie di applicazioni
software, servizi e applicazioni di management e un’ampia suite per la
sicurezza aziendale e di rete.
Continui sono anche gli aggiornamenti di prodotto ed i nuovi rilasci,
soprattutto in chiave di Virtual Chassis, gestibilità e sicurezza.
Oltre ai servizi e ai prodotti, nell’ambito di una strategia volta a
massimizzare la sicurezza delle operazioni aziendali sia di rete fissa che
mobile, ha aperto anche un apposito centro dedicato alla sicurezza delle
applicazioni e dei dispositivi mobili che è a disposizione dei propri clienti.
Applicazioni per la sicurezza delle reti dei data center
Oltre ad un’ampia gamma di apparati per ambienti enterprise e carrier,
Juniper ha reso disponibile un esteso insieme di strumenti software per
l’amministrazione, la gestione, la sicurezza e la virtualizzazione di una rete
aziendale.
E’
una
offerta
finalizzata
in
particolare
a
migliorare
significativamente le operazioni automatizzate di provisioning, gestione e di
supporto delle reti dei data center in un contesto sempre più dinamico e
virtualizzato.
La suite di automazione delle reti di nuova generazione a due livelli
7
JUNIPER NETWORKS
Le applicazioni si prefiggono anche di aiutare le imprese di qualsiasi
dimensione nel ridurre sensibilmente i costi operativi del data center
ottimizzando il delivery, l’affidabilità e la sicurezza dei servizi.
Le applicazioni si basano sulla piattaforma Junos Space, ideata per facilitare
lo sviluppo e il deployment delle applicazioni di rete.
Junos Space è una soluzione aperta che permette di creare applicazioni
specializzate capaci di semplificare le operazioni di rete, automatizzare gli
interventi di assistenza e velocizzare il delivery dei servizi. Congiuntamente
al sistema operativo Junos e al software client Junos Pulse, Junos Space
costituisce una piattaforma software “cross-network” aperta che permette di
ottenere un time-to-market più rapido per i nuovi servizi di rete.
Applicazioni per orchestrare sicurezza e automazione
Quattro le applicazioni software chiave della suite e che permettono agli IT
manager di “orchestrare” l'automazione e la sicurezza delle reti con un'unica
interfaccia di gestione user-oriented:
•
Juniper Virtual Control – E’ una applicazione aperta Web-based che
velocizza i deployment di server virtuali e consente agli amministratori
di rete di gestire da un'unica interfaccia di orchestrazione non solo le
porte switch fisiche, ma anche quelle virtuali. In sostanza, permette di
minimizzare gli errori, ridurre le complessità operative e ridurre i costi.
Le fasi di come opera Junos Space Virtual Control, una applicazione sviluppata
congiuntamente a VMware per l’orchestrazione sicura di reti virtuali
Per l'implementazione di Virtual Control, Juniper si è basata su una forte
collaborazione con VMware per sfruttare le sue API aperte e creare un
unico framework per la definizione e la gestione degli elementi di rete
8
sia fisici che virtuali. In pratica, una volta che un vNetwork Distributed
Switch (vDS) è stato creato da VMware e gestito dal sistema di gestione
centralizzata vCenter, il software Junos Space Virtual Control comunica
con vDS tramite le API di VMware in modo da orchestrare l’interazione
tra rete fisica e rete virtuale nel modo più efficiente possibile.
•
Juniper Ethernet Design – E’ un'applicazione per la gestione Ethernet
unificata che consente alle reti di campus e dei data center di adeguarsi
alle esigenze di applicazioni e utenti. Abilita l'automazione delle
operazioni
di
configurazione,
visualizzazione,
monitoraggio,
amministrazione e protezione di reti di switch e router su vasta scala.
Ethernet Design consente all'amministratore di implementare e gestire
migliaia di dispositivi di rete come si trattasse di uno solo.
•
Juniper Security Design – E’ un’applicazione software che permette
l'attivazione point-and-click di dispositivi e servizi di sicurezza (quali
firewall, NAT e VPN) con un intervento operatore molto ridotto e
rispettando i requisiti normativi. Le particolari tecniche di astrazione di
policy comprese in Security Design fanno sì che gli amministratori di
rete, non necessariamente esperti di sicurezza, possano gestire i set delle
regole utente e implementare i servizi di sicurezza.
•
Juniper Service Insight – E’ una applicazione che fornisce funzioni
proattive di rilevamento, diagnosi e risoluzione delle problematiche
legate alle prestazioni della rete. L’obiettivo è quello di favorire la
pianificazione e risoluzione rapida dei problemi, oltre a un abbattimento
dei costi e dei tempi di intervento abilitato dalla eliminazione delle
operazioni manuali.
Oltre a queste quattro applicazioni, Junos Space viene fornito insieme ad
altri tre prodotti Juniper:
•
Network Activate, per creare e attivare rapidamente i servizi, inclusa
un'attivazione dei servizi VPN.
•
Route
Insight,
che
fornisce
la capacità di
registrazione
e
riproduzione in stile DVR per pianificare, simulare e risolvere le
problematiche delle reti MPLS.
•
Service Now, che velocizza la risoluzione di eventuali disservizi
grazie all'intervento automatico di strumenti Juniper.
9
JUNIPER NETWORKS
Applicazioni e servizi per la sicurezza della rete
La strategia di rete 3-2-1 di Juniper orientata allo sviluppo di reti di un solo
livello e ad elevate prestazioni si abbina ad un suo nuovo “modello di
sicurezza dinamica” che ha sviluppato al fine di garantire una sicurezza di
rete world-class ai data center di nuova generazione. Il modello di sicurezza
dinamica ideato da Juniper ha l’obiettivo di permettere all'IT di adattarsi
facilmente ai nuovi comportamenti degli utenti e ai cambiamenti dei flussi
di dati derivanti dal deployment su larga scala di ambienti virtualizzati,
Web 2.0 e servizi cloud sia di tipo public che enterprise. In particolare, i
prodotti Juniper per la sicurezza del data center supportano le aziende e i
service provider nel superare i limiti architetturali insiti nelle attuali
soluzioni di sicurezza e a far proprio il paradigma del data center ad alte
prestazioni identity-aware. Oltre che per questo, il modello è stato ideato per
ridurre sensibilmente costi e complessità e migliorare la visibilità della
applicazioni. I numerosi prodotti per la sicurezza del data center
comprendono:
•
Il software Juniper Networks AppTrack che permette una elevata
visibilità e possibilità di controllo a livello delle applicazioni nei
Service Gateway Juniper SRX Series.
•
La disponibilità del software Juniper AppSecure che consente la
protezione da attacchi del tipo distributed denial-of-service per le
applicazioni sui prodotti SRX Series.
•
Il software Juniper Networks Junos Space Security Design, che aiuta
a superare i limiti architetturali delle attuali soluzioni di sicurezza, e
a evolvere verso il paradigma del data center ad alte prestazioni
identity aware.
•
La disponibilità della versione OEM dei sistemi SRX Series per IBM.
•
Una maggiore protezione da malware derivante dalla partnership
con FireEye.
In particolare, il modello di sicurezza dinamica nei sistemi SRX Series,
permette alle aziende di assegnare dinamicamente le risorse di sicurezza
come firewall e IPS.
Queste risorse mantengono piena funzionalità di protezione anche in
presenza di forti variazioni e picchi nei flussi di traffico e consentono di
scalare, secondo dati di targa, fino a oltre 120 Gbps in un unico sistema con
gestione centralizzata unica.
10
Da sinistra i modelli SRX100, SRX340 e SRX580 (non in scala)
Va osservato che nell’approccio Juniper il modello di implementazione delle
policy applicative è attuato su vasta scala, ed estende ulteriormente le
proprie capacità con la SRX Series grazie al software AppTrack, che amplia il
controllo dei flussi dati e aggiunge informazioni di identificazione delle
applicazioni nei log delle sessioni IPS. Juniper Networks Junos Pulse e
Junos Space sono anch'essi parte integrante del modello Juniper per la
sicurezza dinamica che fornisce all'IT la possibilità di gestire dinamicamente
identità, applicazioni e policy. Tramite l’integrazione con SSL VPN, UAC e
Application Acceleration gateway di Juniper, Junos Pulse favorisce una
sicurezza identity-aware dinamica su vasta scala anche negli ambienti data
center complessi di aziende o service provider.
Una ‘new network” sicura anche per il mobile
L’impegno per una rete di nuova generazione di Juniper non si è limitato
alle reti fisse ma si estende anche a quelle mobili. Juniper ha osservato che la
rete mobile attuale è stata sviluppata per i dispositivi voce e non per quelli a
intenso utilizzo della banda oggi d'uso comune. Ritiene quindi che sia
necessario disporre di una nuova rete mobile in grado di migliorare
l'esperienza dell'utente finale, senza implicare per questo un aumento
consistente dei costi. Per favorire questa evoluzione ha sviluppato una
soluzione in grado di risolvere i due principali problemi della rete.
Il primo è costituito dal come trasformare il core di una rete mobile. La
risposta di Juniper a questa esigenza consiste in una soluzione tecnologica
che ottimizza la rete mediante le funzioni di “Juniper Networks Traffic
Direct” e “Juniper Networks Media Flow”, e consentendo con la soluzione
“Juniper Networks Mobile Core Evolution” di rendere aperto il core mobile
di una rete consentendone l'evoluzione. Il Secondo aspetto è costituito
11
JUNIPER NETWORKS
dall’esigenza di una sicurezza mobile di tipo pervasivo e atta a garantire il
traffico. Per questo Juniper ha sviluppato una soluzione, la “Juniper
Networks Mobile Secure Solution”, che "immette" sicurezza in ogni touchpoint e integra la sicurezza nei dispositivi mobili, nelle applicazioni e nelle
reti. Ciò permette ai provider di abilitare in modo efficace ed efficiente
nuove applicazioni sui dispositivi mobili bloccando al tempo stesso il
traffico indesiderato che degrada la user experience dell’utente finale.
Junos Pulse Mobile Security Suite
Ma il problema della sicurezza non interessa solo la componente rete bensì
anche i dispositivi che ne fruiscono.
Secondo Juniper infatti, i dispositivi mobili personali costituiscono il mezzo
più usato per accedere alle reti aziendali, ma sono anche dei vulnerabili
portali per l’accesso a informazioni individuali e professionali riservate.
Secondo una ricerca commissionata da Juniper, poco meno del 4% degli
utenti usa i dispositivi mobili per motivi esclusivamente professionali,
mentre il 44% li utilizza sia per scopi lavorativi che personali. Quasi l'81% di
questi utenti accede alla rete della propria azienda senza che questa ne sia
consapevole e senza autorizzazione, e il 58% lo fa quotidianamente.
Per questi apparati, che possono costituire un elevato rischio per l’intera
azienda e porta di ingresso di pericolosi virus, Juniper ha rilasciato la suite
Junos Pulse Mobile Security, un software di sicurezza che consente di
proteggere i dispositivi mobili usati per scopi professionali e/o personali.
Junos Pulse garantisce l’identità di un’ampia gamma di dispositivi mobili
La suite fa parte della piattaforma Junos Pulse, ed è una soluzione integrata
che comprende sia servizi di sicurezza dei dati che la protezione della
connettività su praticamente tutti i dispositivi mobili.
La suite software, che comprende antivirus, firewall personale, anti-spam,
protezione contro smarrimento e furto, servizi di controllo e monitoraggio,
12
permette alle aziende di fornire agli utenti un accesso sicuro alle
applicazioni e alla posta elettronica da qualsiasi dispositivo mobile
tutelando la sicurezza di dati e reti enterprise.
La soluzione permette inoltre ai service provider di garantire un'operatività
senza preoccupazioni ai consumatori o alle aziende che salvano i propri dati
sensibili sugli smartphone. Junos Pulse Mobile Security inoltre, permette ai
genitori di proteggere i figli da contenuti violenti e diseducativi.
Per il mondo aziendale, la suite per la sicurezza mobile consente alle
divisioni IT di supportare con flessibilità qualsiasi dispositivo mobile
personale indipendentemente dalla piattaforma utilizzata. La sicurezza della
suite si basa sulla soluzione SSL VPN di Juniper, già implementata da decine
di migliaia di aziende in tutto il mondo.
La piattaforma Junos Pulse consente infine ai provider non solo di offrire un
servizio cloud-based ai propri clienti, ma anche di sfruttare lo stesso
investimento per proporre alle aziende la miglior soluzione SSL-VPN e per
la sicurezza mobile.
Molto ricca la dotazione funzionale del software della suite. Protegge
smartphone e altri dispositivi mobili intelligenti da virus, malware, perdite,
furti, danneggiamenti fisici e altre minacce. E’ inoltre dotata di tool per la
gestione dei dispositivi da remoto e include antivirus, firewall personale,
anti-spam, prevenzione da perdita e furto, e servizi di controllo e
monitoraggio appositamente sviluppati per smart phone e altri dispositivi
mobili “intelligenti”.
La sicurezza è incrementata anche dalla possibilità di eseguire il backup e il
ripristino di dati da remoto, di localizzare dispositivi in caso di perdita o
furto, e di inviare messaggi di alert nel caso in cui una SIM venga rimossa,
sostituita o modificata.
Un Centro Juniper dedicato alla mobilità sicurezza
Oltre a soluzioni direttamente utilizzabili dai clienti, Juniper ha rafforzato la
sua strategia per la sicurezza tramite l'apertura del Juniper Global Threat
Center, un centro che eroga servizi di monitoraggio 24 ore su 24 sulle
minacce alla sicurezza mobile per utenti privati e aziende in tutto il mondo.
Situata a Columbus, in Ohio, la struttura è dedicata all'identificazione, alla
gestione e alla ricerca delle minacce che mettono a rischio i dispositivi
mobili, quali virus, spyware e altre vulnerabilità che possono colpire
informazioni confidenziali, personali e professionali di un utente.
Nel corso del 2011 il Juniper Global Threat Center renderà disponibile lo
studio “State of Mobile Security 2010”, che fornirà alle aziende un quadro
13
JUNIPER NETWORKS
sullo stato della sicurezza mobile. I dati preliminari sull’attenzione che va
posto al problema della sicurezza in ambito mobile sono significativi.
Analisi su applicazioni in ambiente Android capaci di avviare attività
pericolose hanno mostrato che un'applicazione su 20 ha richiesto permessi
tali da consentire al programma stesso di effettuare una chiamata
all'insaputa dell'utente.
Una tra le società Fortune 15 ha scoperto che il 5% (ovvero 25.000) dei suoi
dispositivi mobili era infetto da malware
Il malware ha subito un incremento del 250% dal 2009 al 2010 mentre ben il
61% di tutte le segnalazioni di smart phone infettati è stato causato da
spyware capaci di monitorare le comunicazioni del dispositivo.
Infine, il 17% di tutte le segnalazioni di dispositivi infettati è stato causato da
Trojan SMS che addebitano costi a carico dell'abbonato.
Obiettivo del Juniper Global Threat Center è, in sostanza, quello di
monitorare e contrastare le minacce ai dispositivi mobili in continua
evoluzione, e di garantire ai clienti Juniper il massimo livello possibile di
protezione su dispositivi di questo tipo. In particolare, il centro monitorerà e
contrasterà le cinque principali tipologie di minacce e vulnerabilità:

Malware : virus, worm, Trojan, spyware

Attacchi diretti: attacchi alle interfacce dei dispositivi, exploit di
browser, attacchi SMS.

Danneggiamenti fisici: accesso fisico a un dispositivo (rubato o
smarrito) e ai suoi dati.

Intercettazione delle comunicazioni: l'intercettazione dei dati mentre
vengono inviati e ricevuti.

Exploit e uso illecito: comunicazioni inappropriate, sottrazione di dati,
predatori online, bullismo, sexting.
Ulteriori informazioni sul Juniper Global Mobility Threat Center sono
disponibili sul sito della società (www.juniper.net/pulse) .
Care Plus: il servizio enterprise per la protezione degli
investimenti
Care Plus è un portafoglio di servizi per ambienti enterprise ideato da
Juniper per proteggere gli investimenti effettuati nelle reti ad alte prestazioni
e allo stesso tempo aumentarne l'affidabilità, l'efficacia e ridurre i costi
operativi.
14
Si basa sull'offerta di servizi Juniper Care per il supporto a livello di
dispositivo, ed estende l'assistenza mission-critical per i clienti enterprise.
Juniper Care Plus permette di mantenere la disponibilità della rete a livello
ottimale, ottenuto mediante un supporto dedicato (Designated Service
Manager), strumenti di automazione proattiva e servizi personalizzati che
comprendono la formazione, la consulenza di rete e l’account.
In particolare, il Designated Service Manager fornisce un supporto
personalizzato attraverso un unico punto di contatto per tutte le attività, le
problematiche e gli incidenti relativi al servizio.
La società
Juniper Networks è una società con una forte presenza internazionale che
progetta e realizza prodotti e soluzioni di networking ideate per efficientare
le reti, renderle più sicure, permettere di rendere dinamici e flessibili
ambienti Data Center e sviluppare soluzioni di cloud computing, che
rappresentano
il
nuovo
paradigma
dell’IT
in
grado
di
abilitare
l’ottimizzazione di Capex e Opex e di rendere dinamici i processi di business
e produttivi.
Ha concentrato la sua vision anche su uno degli aspetti salienti nell’attuale
scenario evolutivo aziendale e del business, quello del data center e delle
esigenze di networking che lo caratterizzano.
Ampio il suo settore di attività. E’ specializzata nella realizzazione di
soluzioni di rete adatte per ambienti enterprise, PA, del Finance e dei servizi
e con una forte presenza tra i carrier.
La sue sedi in Italia sono a Milano e Roma.
Per ulteriori informazioni www.juniper.net
15
SonicWall
Fondata nel 1991, nonché una delle prime aziende a introdurre il concetto di
security appliance e quello di Unified Threat Management, SonicWall ha
continuato a evolvere, seguendo, a detta dei propri responsabili, i
cambiamenti del mercato e delle esigenze aziendali. Tuttora l'azienda opera
una costante attività di ricerca e sviluppo per realizzare nuove tecnologie
volte a ridurre i costi e la complessità della sicurezza, a liberare risorse
aziendali e ad aumentare la produttività.
L'evoluzione delle minacce e degli attacchi, hanno portato SonicWall a
modificare l'approccio alla sicurezza, variegando il portafoglio d'offerta sia
dal punto di vista quantitativo sia da quello qualitativo, superando la logica,
per certi versi limitativa del threat management, per estendersi al concetto
più allargato di network e data protection. Non a caso, la strategia di
SonicWall è oggi indirizzata a fornire soluzioni chiavi in mano in tre ambiti
fondamentali: il Secure Networking (compreso l’accesso remoto sicuro), la
Business Continuity/Data protection e il Secure Content Management; con il
comun denominatore della gestione delle policy, elemento di partenza di
ogni approccio serio alla sicurezza.
Ma la ricerca di SonicWall è anche attenta all’evoluzione del mercato e delle
sue esigenze, pertanto combina la network security con la garanzia delle
prestazioni di rete di classe enterprise, che vengono mantenute, secondo i
dati dichiarati dal costruttore, anche in situazioni di carico elevato. In
particolare, in questa direzione vanno le ultime novità, per quanto riguarda
la network security, annunciate dal fornitore, che ha sviluppato la linea
SuperMassive, proprio per indirizzare le crescenti necessità in termini di
throughput, che si spinge fino ai 40 Gbps, promettendo ulteriori imminenti
passi in avanti, e scalabilità. Sul fronte della content security, invece, c'è da
1
SONICWALL
registrare il rilascio, con la versione 5.8 del sistema operativo di firewalling,
dell'innovativa funzionalità Application Intellingence, in grado di rendere
sicuro l'utilizzo delle applicazioni per la collaboration e non solo, relative al
mondo del Web 2.0. La disponibilità della versione 6.0 della propria
piattaforma per la data protection completa il quadro delle novità più
recenti.
Peraltro, l'offerta di SonicWall già copriva esigenti molto sentite, come la
mobilità sicura, per la quale la società statunitense fornisce soluzioni di
connettività in larga banda, wireless e dial-up, abbinandovi supporto di
VPN (Virtual Private Network) sia IPSec sia SSL.
Punti di forza su cui si è impegnato il management della società sono
qualità, semplicità, innovazione, scalabilità, costi contenuti. Costi intesi come
acquisizione, installazione e gestione.
Le aree d’intervento nella strategia di SonicWall
Le appliance UTM rispondono all’esigenza di una sicurezza integrata, che
combina più soluzioni di protezione e analisi accurate del traffico dal livello
di rete a quello applicativo, con tecnologie all’avanguardia.
SonicOS 5.8
L’approccio SonicWall si basa su più livelli: la Deep Inspection, che esplora
ogni pacchetto alla ricerca delle tracce di attacchi, il Dynamic Threat Control,
per una reazione immediata alle minacce più recenti, l'application control,
2
per verificare l'utilizzo delle applicazioni e prevenire le minacce che vi si
possono annidare, il Distributed Enforcement, per garantire una protezione
diffusa e distribuita. L’ispezione in profondità viene accompagnata da
un’architettura appositamente progettata per rispondere alle esigenze di
installazioni
dimensionalmente
significative,
quindi
interessate
a
caratteristiche di affidabilità e scalabilità.
SonicWall ha dotato le proprie appliance di un sistema operativo
specializzato e sviluppato appositamente per rispondere alle esigenze di
continuità di servizio, flessibilità di configurazione e gestione delle reti
complesse. Si tratta di SonicOS, che conferisce caratteristiche di sicurezza e
networking superiori per sfruttare al meglio le potenzialità delle
applicazioni SonicWall esistenti.
Recentemente è stata rilasciata la nuova versione di SonicOS, che potenzia le
funzionalità esistenti di controllo e acquisizione di informazioni sulle
applicazioni attraverso una dashboard di visualizzazione delle applicazioni
in tempo reale e strumenti di analisi. Ciò consente ai responsabili IT di
visualizzare tutto il traffico applicativo e determinare il consumo di
larghezza di banda delle applicazioni sulla base di informazioni real time. In
questo modo si possono gestire le risorse in maniera tempestiva,
controllandone l'utilizzo per favorire la produttività, bloccando o gestendo
secondo policy opportune le attività inappropriate. Tutti i controlli agiscono
su applicazioni specificatamente riconosciute e non si basano, come per i
firewall tradizionali stateful inspection, su una porta o su protocolli generici.
Application Intelligence, Control e Visualization
Con la funzionalità Application Intellingence, Control and Visualization di
SonicWall possono impostare policy relative al contesto, invece che
semplicemente bloccare o consentire un accesso. Più precisamente, secondo
quanto dichiarato a titolo d'esempio dai responsabili di SonicWall, è
possibile impostare policy quali "Facebook ma non Farmville" e "Facebook
utilizza solo meno del 10% delle connessioni e della larghezza di banda
durante le ore di lavoro”. Si permette, così, di utilizzare questo tipo di
applicazioni che, oltre a un uso tipicamente personale, possono svolgere una
funzione anche di tipo aziendale.
Per fare questo, la soluzione SonicWall Application Intelligence sfrutta un
database in costante espansione e che si basa sulla tecnologia RFDPI
(Reassembly-Free Deep Packet Inspection) di SonicWall. Quest'ultima
permette di evitare il riassemblaggio dei pacchetti, consentendo di accelerare
3
SONICWALL
notevolmente i processi di controllo, fornendo bassa latenza ed elevate
prestazioni.
Identificare, categorizzare e controllare le applicazioni sono le tre fasi dela funzionalità SonicWall
Application Intelligence, Control e Visualization
SonicOS 5.8 fornisce inoltre miglioramenti significativi delle funzionalità di
sicurezza e protezione da malware esistenti del firewall di nuova
generazione. A fronte della costante crescita del volume e della frequenza
delle minacce sempre più sofisticate, i firewall di nuova generazione di
SonicWall utilizzano informazioni provenienti da fonti esterne fra cui la rete
GRID (Global Response Intelligent Defense), che fornisce capacità di
adattamento in tempo reale alle minacce, riducendo l'esposizione al rischio.
Grazie alle nuove funzionalità, SonicOS 5.8 permette di visualizzare tutto il
traffico applicativo della rete, nonché come ogni singolo utente utilizza la
larghezza di banda. In questo modo, consente di ottimizzare la gestione
delle risorse e di mantenere elevato il livello di sicurezza.
Tra le altre novità introdotte con la versione 5.8 di SonicOS sono da
segnalare:

Potenziamenti del sistema per il filtraggio dei contenuti. Gli
amministratori hanno a disposizione policy sui contenuti più
granulari, flessibili e potenti compresa la capacità di definire policy
eterogenee di gestione della larghezza di banda delle applicazioni che
4
utilizzano sia la categorizzazione dei siti Web sia l’identificazione
delle applicazioni

NetFlow/IPFIX
(Internet
Protocol
Flow
Information
Export).
Protocollo di esportazione flessibile, estensibile e a flusso aperto che
consente a qualsiasi soluzione di monitoraggio della rete di sfruttare
le funzionalità di visualizzazione e identificazione delle applicazioni
di SonicWall

Aggregazione porte/Link redundancy. Combina più interfacce da un
gigabit
consentendo
la
visualizzazione
e
il
controllo
in
implementazioni di molti gigabit
Le appliance e le UTM per la sicurezza SonicWall
SonicWall propone una gamma molto ampia di appliance per la sicurezza,
molte delle quali svolgono funzioni dedicate, per esempio per la protezione
dei contenuti, per la sicurezza della posta o per la gestione. A queste fanno
da contraltare i sistemi avanzati per l'Unified Threat Management, che
SonicWall identifica come firewall di ultima generazione e che sono dedicati
in massima parte alla netowrk security nell'accezione allargata prima
descritta. Nel seguito saranno analizzate le architetture delle principali linee.
L'architettura SuperMassive
SonicOs è ovviamente alla base della protezione di alto livello raggiungibile
con le macchine della serie SuperMassive: firewall di ultima generazione,
Application Intelligence, protezione dalle intrusioni sono solo alcune delle
funzionalità garantite a velocità di throughput fino a 40 Gbps, senza che
l'attivazione di tutti i controlli penalizzi le prestazioni della rete, stando ai
dati dichiarati dallo stesso costruttore.
Più precisamente, alla base delle performance dichiarate si trova tutto il
meccanismo di controllo ad alta scalabilità targato SonicWall, a cominciare
dalla già citata tecnologia d'ispezione profonda reassembly free (RF-DPI). A
questo di aggiunge l'architettura dell'hardware, espressamente progettato
per rispondere alle crescenti esigenze di sicurezza e controllo in tempo reale,
in un'epoca sempre più dipendente dalla rete e dalle sue latenze.
Comunicazioni
Voip
e
video,
consolidamento
dei
data
center,
virtualizzazione, applicazioni Web 2.0, rappresentano tecnologie per
5
SONICWALL
migliorare la produttività della forza lavoro, la collaborazione aziendale e
l’efficacia, ma è importante non compromettere prestazioni e sicurezza.
SonicWall SuperMassive E10800
Il design delle macchine SuperMassive è caratterizzato da un’architettura
multi-core su larga scala, basata su processori Octeon di Cavium Networks e
implementata su uno chassis multi-blade di SonicWall. Grazie ai processori
di nuova concezione, la piattaforma è dichiarata capace di raggiungere 1024
core, mentre test indipendenti dimostrerebbero che le prestazioni in contesti
reali vanno oltre i 40 Gbps nominali
L’architettura delle UTM serie E-class NSA
La serie E-Class NSA (Network Security Appliance) di SonicWall è costituita
da soluzioni di taglio enterprise, che a potenti tecnologie per la protezione
aggiungono il supporto di elevate prestazioni, anche grazie al fatto che non
viene usato il riassemblaggio dei pacchetti, garantendo affidabilità e
business continuity.
Punto di forza delle soluzioni NSA è l’architettura di elaborazione che,
basata su un processore multicore, fornisce la potenza per filtrare
accuratamente i pacchetti, ridurre al minimo la latenza sul flusso dei dati e
supportare elevati volumi di traffico. Altresì interessante è l’insieme
configurabile di policy del cosiddetto SonicWall Application Firewall, cui si
sommano i controlli effettuati dai gateway antivirus e antispyware e dal
sistema d’intrusion prevention.
La serie NSA di classe E è stata concepita per una protezione a elevata
velocità contro minacce interne ed esterne alla rete. La vastità dei controlli si
6
accompagna a servizi di prevenzione dinamica delle minacce. I filtri per i
contenuti
e
gli
applicativi
vengono
costantemente
aggiornati
automaticamente, aumentando il livello di sicurezza e riducendo i costi di
gestione. Oltre all’update si evita anche di gestire server o workstation
tramite patch dedicate.
Il bilanciamento del carico per il controllo UTM s’integra con un motore di
classificazione del traffico in tempo reale, che permette di ottimizzare le
prestazioni ed evitare impatti significativi sui tempi di risposta e la
scalabilità del sistema. Il motore di gestione unificata delle minacce, inoltre,
non prevede che siano riassemblati i pacchetti per l’ispezione. Per quanto
grandi siano file e contenuti, le prestazioni sono legate solo al flusso di
pacchetti. Questo significa che non è necessaria una connessione proxy e, di
fatto, si migliorano efficienza e affidabilità. Come accennato, le appliance
NSA si distinguono anche per le caratteristiche di affidabilità, che
comprendono il supporto di QoS (Quality of Service) e funzioni per
assegnare priorità alle applicazioni di business. A questo si aggiungono
alimentatore e ventole ridondanti, duplicazione delle connessioni WAN,
load balancing del traffico e failover consistente di hardware e ISP. Tutte
caratteristiche per un’elevata disponibilità.
Le NSA classe E, inoltre, integrano funzioni VPN ad alte prestazioni, che le
rendono idonee alla protezione di postazioni remote. Grazie all’innovativa
tecnologia Clean VPN, i dispositivi di SonicWall bloccano eventuali
vulnerabilità e codici maligni filtrando in tempo reale il traffico, prima che
entri nella rete aziendale, senza alcuna necessità d’intervento da parte
dell'utente. A livello desktop e server la serie NSA fornisce protezione
mediante un client anti-virus e anti-spyware basato su analisi euristica
avanzata.
Le appliance virtuali
SonicWall, nel corso dell'ultimo anno circa, ha sviluppato una linea di
appliance virtuali, che, per esempio, indirizzano la protezione posta
elettronica (SonicWall Email Security) o la gestione, come le appliance GMS
(Global Management System) e ViewPoint o quelle per le SSL VPN.
Tale linea di appliance virtuali combina, a detta dei responsabili di
SonicWall, i vantaggi della virtualizzazione e delle appliance di sicurezza
hardware. Più precisamente, i benefici di tali soluzioni consistono in:
7
SONICWALL

ridurre la complessità, facilitare l’amministrazione, consolidare le
risorse, rafforzare la sicurezza, ottimizzare le prestazioni e ridurre il
TCO (Total Cost of Ownership);

consentire risparmi diretti esponenziali alle grandi imprese distribuite
attraverso l’utilizzo di economie di scala;

incrementare la redditività degli MSP potenziando le efficienze;

aumentare le opzioni per i modelli di business multi-tenant;

semplificare la migrazione e ridurre al minimo i costi di
implementazione;

favorire il consolidamento delle risorse per ridurre i costi attraverso
l’utilizzo di più sistemi operativi e più applicazioni.
SonicWall intende proseguire su questa strada, rilasciando altre appliance
virtuali, secondo un progetto volto a fornire sicurezza dinamica per la rete
globale.
La Continuous Data Protection di SonicWall
SonicWall ha progettato una serie di soluzioni “all in one” che forniscono
una protezione continua dei dati, basata su disco e operativa anche sui pc
remoti. Si tratta della gamma SonicWall CDP (Continuous Data Protection),
che fornisce funzioni per il salvataggio dei dati praticamente in tempo reale.
La tecnologia adottata si basa sulla realizzazione di backup “puntuali”, che
consentono di ripristinare il sistema in un qualsiasi momento precedente.
Realizzata con un’architettura completamente nuova, SonicWALL CDP,
giunta alla release 6.0, grazie al supporto di Windows, Linux e Mac OS,
fornisce controlli granulari di policy implementate a livello globale su tutta
l’attività di backup, supportando, inoltre, applicazioni Microsoft quali server
SQL, Exchange e SharePoint, Active Directory e Small Business. L'elevata
flessibilità permette agli amministratori IT di decidere quali siano le
informazioni di cui effettuare il backup, quali da escludere e la modalità di
mantenimento delle informazioni per soddisfare i requisiti di recovery e
conformità.
Nella versione 6.0, in particolare, spicca una nuova e sofisticata metodologia
di backup dei fileset, combinata con la deduplicazione dei dati basata su
agenti, che sposta e archivia solo blocchi unici di dati. Questo accelera il
processo di backup e ottimizza l’utilizzo della larghezza di banda
mantenendo, al contempo, la continuità completa delle informazioni e la
capacità di ripristinare in modo flessibile molteplici revisioni.
8
SonicWall CDP opera in modalità automatica su server e pc, sia desktop che
laptop. Risulta quindi molto comodo per chi è spesso fuori dell’azienda:
appena si collega in modalità sicura alla propria rete, la soluzione effettua il
backup. Il software installato sul pc, però, ha già preparato tutto, operando
quando si accorge di non disturbare e trasmettendo solo le variazioni
rispetto al precedente backup. In questo modo riduce di molto la quantità di
dati da trasferire, che significa anche minimi impatti sulle di pc, server o
rete. Altra funzionalità apprezzabile è quella del ripristino self service: una
semplice interfaccia, in altre parole, consente a ogni utilizzatore in rete di
recuperare qualsiasi versione temporale di un file.
La rapidità è garantita, a detta dei tecnici SonicWall, anche nel caso si debba
ripristinare un intero sistema, sia esso server o pc. Più precisamente, tale
operazione può essere effettuata in pochi minuti tramite il software
opzionale Bare Metal Recovery (BMR). Quest’ultimo, infatti, crea una copia
immagine esatta della macchina, inclusi file di sistema, programmi, database
e impostazioni del sistema operativo. Un vantaggio notevole in termini di
produttività, perché si minimizzano i tempi di fermo. Il software BMR,
inoltre, comprende funzionalità d’archiviazione locale, che consentono alle
aziende di memorizzare “snapshot”, cioè una sorta di fotografia istantanea
dei dati, per periodi prolungati, in conformità ai requisiti normativi e di
settore. Inoltre, consentono di recuperare singoli file dagli archivi.
conicWall CDP 6080
La gestione centralizzata e possibile da remoto permette di risparmiare sui
costi di management, evita la necessità di avere personale specializzato
presso sedi distaccate e consente di mantenere architetture di backup a isole
separate unificando però la gestione. La tecnologia di backup “hands-free”
permette di inviare dati critici selezionati a un data center remoto sicuro
all’esterno dell’azienda, così da tutelarli in caso di disastri attraverso una
protezione “offsite”. Questo è possibile anche grazie al servizio SonicWall
CDP Offsite Data Backup Service. Inoltre, grazie al supporto per database e
applicazioni di business, che non richiede l’installazione di altro software da
9
SONICWALL
parte di terzi è possibile ottimizzare le operazioni di salvataggio per molte
delle principali applicazioni del mercato.
Tra le altre funzionalità più recenti, ricordiamo una fase di ripristino
semplificata con diverse opzioni di disaster recovery. È possibile recuperare
i dati completamente, anche nel caso in cui sia compromesso il sito
principale ove essi risiedono. Le opzioni di recovery comprendono il
servizio di backup dei dati off-site, il backup dei dati site-to-site e
l’archiviazione in locale su un drive USB 2.0 locale in formato NTFS, che può
essere trasportato fisicamente fuori sede.
Inoltre, controllo e policy di backup granulari aiutano il dipartimento IT ad
acquisire, filtrare e mantenere in modo efficiente i dati preziosi eliminando
al contempo dati obsoleti e irrilevanti dal set di backup. Servizi centralizzati
di controllo e policy consentono alla struttura IT di effettuare l’installazione
di un agente silente, basato su Windows, su uno o più utenti remoti in una
rete active directory e di preconfigurare tutti gli agenti per la connessione a
qualsiasi dispositivo CDP disponibile, che trasmette nel medesimo dominio.
Un agente di classe enterprise garantisce un'elevata scalabilità, permettendo
di aggiungere rapidamente connessioni client e ampliare la copertura della
piattaforma e delle applicazioni. CDP 6.0 è in grado di estendere il supporto
delle applicazioni client e business più conosciute e protegge qualsiasi
sistema informatico, da workstation singole a grandi server farm
multipiattaforma, compresi i più recenti sistemi operativi Windows, Mac OS
e Linux. Oltre a queste funzionalità, la nuova soluzione CDP 6.0 è stata
concepita per aiutare la struttura IT a soddisfare i requisiti legali e di
conformità, garantendo che i dati mission-critical di proprietà intellettuale e
di conformità inclusi nei messaggi di posta elettronica, o che viaggiano nella
rete, vengano automaticamente protetti da guasti irreparabili a livello di file,
dispositivi e ubicazione che possono causare gravi perdite di dati.
Le appliance SonicWall E-class NSA
Dotati di un processore multicore e basati in primo luogo su un sofisticato
firewall con deep packet inspection, i tre modelli NSA E7500, E6500 e E5500
sono caratterizzati da elevata scalabilità e idealmente indirizzati all’utilizzo
in reti aziendali e universitarie, ambienti distribuiti e data center.
10
E-class NSA7500
NSA7500, grazie anche all’architettura multiprocessore che conta un totale
di 16 core e alla disponibilità di 4 interfacce Ethernet 10/100/1000 in rame
sulle quali viene bilanciato il traffico, realizza una deep packet inspection da
5,5 Gbps e fa registrare un throughput da 4 Gbps nella crittografia 3DES e
AES. Complessivamente, un’ispezione completa di tipo UTM, quindi con
tutti i controlli attivi, mantiene comunque una banda di 1 Gbps, secondo i
dati del costruttore.
Le appliance UTM della serie SonicWall NSA
La serie SonicWall Network Security Appliance (NSA) integra una
protezione UTM che combina il sistema di intrusion prevention, soluzioni
antivirus e antispyware e il controllo a livello di applicazione garantito dal
SonicWall Application Firewall. Grazie al routing avanzato, alla elevata
disponibilità con verifica dello stato e alla tecnologia VPN ad alta velocità, la
serie NSA fornisce sicurezza e affidabilità alle filiali e alle sedi centrali,
risultando idonea nella realizzazione di reti distribuite per aziende di medie
dimensioni.
Tutti dotati di 6 porte Gigabit Ethernet, i 4 modelli disponibili, NSA 2400,
3500, 4500 e 5000, si differenziano per prestazioni e scalabilità. Per esempio,
per il firewalling stateful si va da 450 Mbps a 1,8 Gbps di throughput,
mentre le performance dichiarate per le VPN 3DES/AES vanno da 300 Mbps
a 1,1 Gbps di throughput e da un minimo di 48mila connessioni gestite a un
massimo di 600mila.
Le appliance UTM della serie SonicWall Pro
La serie SonicWall PRO rappresenta una piattaforma di sicurezza
multiservizio per le aziende che necessitano di elevata protezione di rete e di
supportare l’accesso remoto via VPN. Infatti, analizzando i dati della
documentazione SonicWall, la serie in questione fornisce avanzati servizi di
rete, routing, firewalling, protezione wireless, VPN IPSec, in un dispositivo
facile da gestire.
La serie PRO si basa sull'innovativa architettura di deep inspection
SonicWall, che realizza rilevamento e protezione in tempo reale e a livello
granulare contro numerosi attacchi alla rete e ai dati. Inoltre, questi
11
SONICWALL
dispositivi supportano le VPN IPSec per la forza lavoro mobile e la
protezione della rete wireless, estendenedo la protezione e la rete
dell'azienda alle sedi remote.
Le appliance UTM della serie SonicWall TZ
Disponibile in più modelli e configurazioni, la TZ Series si basa sul sistema
operativo SonicOS e integra deep packet inspection firewall, connettività
802.11b/g sicura (opzionale), antivirus, anti-spyware, intrusion prevention,
content filtering, VPN IPSec, oltre che una disponibilità garantita da
tecnologie di failover.
Rivolte essenzialmente alle Pmi o alle sedi distaccate, le appliance TZ
forniscono a queste strutture una protezione accurata contro tutti i tipi di
minacce e codici maligni. I diversi modelli disponibili (famiglie TZ150,
TZ170, TZ180 e TZ190) si distinguono essenzialmente per prestazioni e
dimensionamento.
SonicWall Content Security Manager
Oltre ai pericoli indotti dalle nuove minacce che ogni giorno solcano
Internet, l'accesso immediato alle informazioni comporta altri rischi per le
imprese. In particolare, l’abuso della connessione per collegarsi possono
esporre le aziende a responsabilità legali. In ogni caso minano la produttività
degli impiegati.
La serie SonicWall Content Security Manager (CSM) permette di filtrare i
contenuti e protegge il server di accesso, integrando funzionalità gateway
antivirus, antispyware e prevenzione delle intrusioni. Allo stesso tempo la
soluzione aumenta la produttività, ottimizza l'utilizzo della rete e riduce i
rischi di responsabilità legali, che vengono indotti dal comportamento dei
dipendenti che si collegano a siti Web di contenuto discutibile, se non
addirittura illegale, o utilizzano applicazioni di messaggistica istantanea
(IM) e peer-to-peer (P2P). La soluzione, come spiegano i responsabili di
SonicWall, viene posizionata senza problemi dietro qualsiasi firewall,
consentendo alle aziende di aggiornare il sistema di protezione senza dover
aggiornare il firewall. La gamma comprende i modelli SonicWall CSM 2200
e CSM 3200, che si distinguono essenzialmente per la scalabilità, essendo il
primo in grado di gestire fino a 250 nodi, mentre il secondo giunge fino a
1000 nodi.
12
SonicWall Email Security
Email Security protegge le aziende da ogni tipo di minaccia legata
all’utilizzo della posta elettronica. La soluzione è disponibile in diverse
versioni, sia software sia come appliance, anche virtuale, tutte caratterizzate
da semplicità di installazione e di gestione. L’individuazione della posta
indesiderata avviene filtrando i messaggi a livello di gateway SMTP sia in
uscita sia in entrata, identificando, prima che entrino nella rete aziendale, i
messaggi contenenti spam (con un’efficacia dichiarata del 98%), virus,
spyware o phishing.
La soluzione presenta funzionalità avanzate ed è stata inserita dalla casa
americana nella gamma E di soluzioni di classe enteprise. Tra le
caratteristiche, importante il monitoraggio in tempo reale del throughput
della posta e dell’utilizzo della Cpu, che consente di mantenere sotto
controllo lo stato del sistema. Alta la flessibilità delle funzionalità di
controllo a disposizione dell’utente finale, anche grazie alla gestione
avanzata degli elenchi personali di mittenti autorizzati e alle notifiche delle
attività utente. Garantita l’affidabilità delle appliance, con Safemode, che
fornisce la ridondanza per il ripristino del firmware, il monitoraggio e la
riparazione RAID, una command line interface per un accesso tramite script,
supporto SMTP e NTP e un’ulteriore serie di comandi opzionali, oltre al
supporto per il monitoraggio del sistema basato su SNMP.
La gamma di appliance di Email Security è piuttosto vasta, a coprire diverse
tipologie di utenze.
SonicWall Aventail SSL-VPN
Cresce il bisogno di accesso remoto, ma le VPN basate su client possono
risultare complesse da usare e gestire. Le soluzioni SSL VPN di classe E di
SonicWall Aventail funzionano su diverse piattaforme, dal pc domestico ai
chioschi Internet fino a PDA e dispositivi non gestiti, su reti sia wireless sia
cablate. A tali sistemi forniscono un accesso trasparente alle risorse di rete
attraverso un singolo gateway che garantisce le stesse caratteristiche di
accesso a tutti gli ambienti operativi.
La funzione SonicWall Aventail Smart Tunneling garantisce un accesso
rapido a tutte le applicazioni (client/server, basate sul Web, su server o su
host), attraverso un’architettura che combina il controllo SSL a livello di
applicazione con la portata di un tunnel di livello 3. Questo anche per
13
SONICWALL
applicazioni VOIP o altre bidirezionali “backconnect” tipo help desk remoto.
La gestione unificata delle policy con SonicWall Aventail Unified Policy
permette di semplificare l’amministrazione di utenti, gruppi, risorse e
apparecchi attraverso funzioni di controllo granulare. Inoltre, gli accessi non
autorizzati possono essere messi in quarantena, in attesa di una remediation.
La soluzione è disponibile come appliance in più modelli.
Soluzioni specifiche sono poi SonicWall Aventail SRA (Secure Remote
Access) e SonicWall Aventail End Point Control (EPC).
SonicWall SSL-VPN
La suite di soluzioni VPN di SonicWall garantisce un accesso sicuro e
affidabile alle risorse aziendali tramite connessioni a banda larga, wireless e
dial-up da postazioni remote. La funzionalità VPN IPSec, integrata in tutte le
appliance di sicurezza delle serie TZ e PRO, utilizza tecnologie di crittografia
e autenticazione per instaurare connessioni site-to-site mediante un tunnel
privato sicuro attraverso una rete IP. In alternativa, le aziende possono
integrare una soluzione SonicWall SSL-VPN con il firewall esistente, per
fornire ai lavoratori mobili un accesso remoto sicuro, utilizzabile con un
normale browser e senza dover manutenere software client sulle macchine
utente.
Soluzioni per endpoint
SonicWall fornisce due soluzioni per la protezione dei dispositivi endpoint.
Più
precisamente,
una
soluzione
anti-virus
e
anti-spyware
dall'aggiornamento continuo per una protezione automatica. Grazie
all'integrazione con le applicazioni SonicWall di sicurezza di rete, SonicWall
Enforced Client garantisce l'installazione e l’attivazione delle versioni più
aggiornate del software anti-virus e anti-spyware in tutti gli endpoint.
SonicWall
Client/Server
Anti-Virus
Suite
aggiunge
una
protezione
supplementare per server di file, di stampa e di scambio basati su Windows.
SonicWall Anti-Spam Desktop fornisce una protezione anti-spam e antiphishing basata su client per client di posta elettronica Outlook, Outlook
Express o Windows Mail su computer desktop o notebook basati su
Windows.
14
Le soluzioni di gestione e reporting di sicurezza
Global Management System (GMS) è uno strumento flessibile, che permette
ad aziende distribuite sul territorio e service provider di gestire l’ambiente
di rete protetto dalle appliance (anche virtuali) SonicWall centralmente da
una postazione anche remota. Il sistema gestisce e raccoglie informazioni
dettagliate da varie applicazioni di sicurezza e permette una semplice
configurazione e applicazione delle policy di sicurezza globale e VPN.
A questo si aggiunge SonicWall ViewPoint, un tool di reporting grafico
basato sul Web, e la Universal Management Appliance EM5000 che
centralizza la sicurezza dei dispositivi SonicWall.
Servizi di supporto dinamico SonicWall
I servizi di supporto dinamico prevedono l’aggiornamento continuo delle
soluzioni SonicWall e quindi dell’infrastruttura per la sicurezza dell’azienda,
la quale viene messa in condizioni di reagire prontamente a qualsiasi
problema. Il supporto va oltre la semplice riparazione o sostituzione dei
dispositivi guasti, come spiegano i responsabili della società, poiché
includono aggiornamenti e upgrade specifici per firmware e software,
completi di nuove funzionalità. Per agevolare la ricerca e l’installazione
degli aggiornamenti, i nostri servizi sono accessibili in qualsiasi momento,
vengono supportati da tool elettronici avanzati e forniscono ampie
informazioni.
La società
Fondata nel 1991, SonicWall progetta, sviluppa e produce soluzioni per la
sicurezza di rete, l’accesso remoto sicuro, la gestione sicura dei contenuti e la
protezione continua dei dati.
Per ulteriori informazioni www.sonicwall.com
15
TREND MICRO
Le architetture e le strategie
La strategia di protezione proposta da Trend Micro punta a fornire alle
aziende la possibilità di poter gestire le minacce “in the cloud” prima che
queste raggiungano la rete e compromettano l’infrastruttura IT o la
sicurezza delle informazioni.
A tal fine il vendor propone una gamma di soluzioni per la protezione
aziendale e personale inserite all’interno di una strategia integrata e pensate
per semplificare le operazioni di sicurezza garantendo, nel contempo, la
massima flessibilità e un costante aggiornamento delle tecnologie.
La sicurezza diventa servizio
La visione strategica di Trend Micro parte dal presupposto che la sicurezza
aziendale vada affrontata secondo un’ottica di servizio personalizzato e
inquadrato in una logica di processo, in accordo con le strategie e gli
specifici obiettivi di business di ogni azienda.
Il vendor dispone di una gamma molto amplia di soluzioni per la protezione
dalle minacce e la data Loss Prevention, adatte per ogni tipologia di azienda
e in grado di supportare i nuovi ambienti virtualizzati e cloud-based.
Il vendor affianca le proprie soluzioni software con una gamma di servizi
SaaS (Software as a Service), noti anche come servizi “in-the-cloud”,
mediante i quali le aziende, invece di acquistare software e installarlo,
possono usufruire della flessibilità di affittarlo su base mensile o annuale.
Il SaaS fornisce, secondo Trend Micro, una risposta di protezione efficace
alla crescente esigenza di sicurezza, che permette di delegare a un fornitore
esterno esperto e competente, la manutenzione e il monitoraggio. Il fatto che
il servizio (in tutto o in parte) venga gestito dal provider, elimina
1
TREND MICRO
completamente i costi infrastrutturali e di hardware per l’utente e gli
consente di disporre di funzionalità di sicurezza costantemente aggiornate.
In questo modo la competenza del personale Trend Micro e i Service Level
Agreement offerti diventano gli elementi a garanzia di elevata protezione e
massime prestazioni.
L’infrastruttura Smart Protection Network
Alla base di un approccio verso la sicurezza come servizio Trend Micro pone
la Smart Protection Network, un’infrastruttura di protezione dei contenuti
progettata per tutelare gli utenti dalle minacce a fronte di un impatto ridotto
su reti e sistemi.
Abbinando tecnologie “in-the-cloud” a client leggeri, diventa possibile
accedere alle più recenti misure di protezione ovunque e in qualsiasi modo
ci si connetta: da casa, dalla rete aziendale o anche in viaggio.
Trend Micro Smart Protection Network sfrutta un approccio di difesa
intelligente, basato sulla reputazione di messaggi e-mail, Web, file e sulle
conoscenze collettive dell’ampio e globale bacino dei clienti.
La rete globale TrendLabs di centri di ricerca, assistenza e supporto
predisposta da Trend Micro è impegnata nel costante monitoraggio delle
minacce e nella prevenzione degli attacchi e fornisce misure di protezione in
tempo reale progettate per individuare, prevenire ed eliminare gli attacchi.
L’infrastruttura di sicurezza Trend Micro Smart Protection Network
2
Trend Micro Smart Protection Network gestisce più di cinque miliardi di
URL, e-mail e query di file ogni giorno. Per poter definire il livello di
reputazione di questo volume di informazioni e rispondere in tempo reale
alle minacce, Trend Micro dispone di un’infrastruttura imponente, che
prevede 5 data center completamente ridondati con oltre mille server da
dove più di mille esperti di sicurezza specializzati elaborano oltre 1,2
Terabyte di dati ogni giorno dedicandosi unicamente all’analisi in tempo
reale delle possibili minacce.
I principali componenti della sicurezza SaaS di Trend Micro Smart
Protection Network, che alimentano le soluzioni di protezione dei contenuti
in sede e in hosting sono i seguenti.
Reputazione Web
Con uno dei più estesi database di reputazione dei domini al mondo, la
tecnologia di reputazione Web di Trend Micro rileva la credibilità dei
domini Web tramite l'assegnazione di un punteggio basato su fattori quali
l'età del sito Web, le modifiche cronologiche all'ubicazione del sito e le
indicazioni di attività sospette scoperte tramite l'analisi del comportamento
delle minacce informatiche.
Reputazione e-mail
Trend Micro convalida gli indirizzi IP verificandoli a fronte di un database
della reputazione di fonti di spam note e utilizzando un servizio dinamico
capace di valutare la reputazione del mittente in tempo reale. Le
classificazioni della reputazione vengono perfezionate tramite un'analisi
continua del "comportamento" degli indirizzi IP, della portata dell'attività e
della cronologia precedente. I messaggi e-mail dannosi vengono bloccati inthe-cloud in base all'indirizzo IP del mittente, impedendo così alle minacce
di raggiungere la rete dell'utente.
Reputazione dei file
La tecnologia Trend Micro verifica la reputazione di ciascun file ospitato su
un sito Web o allegato a un messaggio e-mail a fronte di un ampio database,
prima di consentire l'accesso all'utente. Le reti di trasmissione dei contenuti
a elevate prestazioni e i server di cache locale minimizzano la latenza. Le
informazioni sulle minacce informatiche sono memorizzate in-the-cloud e
quindi possono essere rese immediatamente disponibili a tutti gli utenti
nella rete.
3
TREND MICRO
Correlazione con l'analisi del comportamento
La tecnologia di correlazione con l'analisi del comportamento mette in
relazione tra loro diversi gruppi di attività per determinare se queste siano o
meno dannose. Infatti, un'attività singola prodotta da una minaccia Web
potrebbe apparire innocua, ma quando più attività vengono rilevate insieme,
è più facile identificare la presenza di una minaccia reale. Aggiornando
continuamente il proprio database delle minacce in base a questo tipo di
analisi, Trend Micro abilita una reazione automatica che interviene in tempo
reale per proteggere dalle minacce e-mail e Web.
Cicli di feedback
I cicli integrati di feedback forniscono una comunicazione continua tra i
prodotti Trend Micro, le tecnologie e i centri di ricerca delle minacce attivi 24
ore su 24 e 7 giorni su 7. Ogni nuova minaccia identificata tramite una
verifica di routine della reputazione di un singolo cliente aggiorna
automaticamente tutti i database delle minacce di Trend Micro e blocca ogni
successiva interazione del cliente e di tutti i clienti Trend Micro con una
specifica minaccia. Poiché le informazioni raccolte sulle minacce sono basate
sulla reputazione dell'origine della comunicazione e non sul contenuto della
specifica comunicazione, la riservatezza delle informazioni personali o
aziendali resta tutelata.
Correlare gli eventi di sicurezza
Stabilire il livello di reputazione prevede l’interazione tra due attività.
La prima è la raccolta degli eventi di sicurezza che avviene in tempo reale a
livello globale; la seconda è la correlazione di questi eventi, che costituisce
uno degli elementi in cui Trend Micro rivendica la propria eccellenza
tecnologica e che consente di intervenire in modo accurato e selettivo,
garantendo un elevato livello di protezione senza penalizzare in modo
inutile l’utente. Nel caso, per esempio, di situazioni in cui gli hacker riescono
a compromettere specifiche pagine Web o aree di un sito perfettamente
legittimo (situazione che attualmente si stima coinvolga oltre 14 milioni di
siti Web completamente legittimi), grazie all’analisi correlata delle
informazioni e delle segnalazioni provenienti da tutto il mondo, le soluzioni
di Trend Micro sono in grado di intervenire immediatamente e segnalare
all’utente il pericolo in corso, impedendo l’accesso alle pagine compromesse
senza, tuttavia, inibire l’accesso all’interno dominio. Non appena il
4
proprietario del dominio riporta la situazione alla normalità, l’accessibilità
alle pagine viene abilitata nuovamente in modo automatico.
Un meccanismo analogo permette di bloccare o segnalare l’inaffidabilità di
uno specifico mittente di un messaggio di posta elettronica. Parallelamente
la soluzione Trend Micro è in grado di abilitare l’accesso innocuo al testo di
un’e-mail proveniente da un mittente attendibile che contiene un allegato
compromesso, bloccando unicamente l’accesso al file pericoloso.
Il meccanismo virtuoso predisposto dal vendor realizza un ciclo di feedback
alimentato dagli stessi utenti, in cui le informazioni fornite dagli oltre 20
milioni di utenti dei prodotti Trend Micro interagiscono in tempo reale con
la Smart Protection Network migliorandola e potenziandola. Non appena si
verifica un evento dannoso questo viene immediatamente segnalato a Trend
Micro che estende in tempo reale la protezione a tutti gli altri utenti connessi
alla rete di protezione, realizzando una transizione da un modello di
protezione di tipo reattivo basato sul riconoscimento di “pattern” a uno di
tipo proattivo.
Data protection ad ampio spettro e in ogni ambiente
La protezione dei dati è un argomento di crescente interesse per le imprese
che cercano di districarsi fra complessità, costi ed esigenze di gestione. Per
rispondere alle sfide della Data Protection Trend Micro ha predisposto un
ampio portafoglio di prodotti che punta a garantire la totale sicurezza dei
dati ovunque questi risiedano, dagli endpoint fino al cloud, mettendoli al
riparo da incidenti casuali o volontari tramite soluzioni semplici ed
economicamente convenienti.
La gamma di soluzioni software per la protezione dei dati comprende Trend
Micro Data Loss Prevention, Cloud Encryption, Port and Device Control,
Messaging Security, Endpoint Security, Web Site Security, File Integrity
Monitoring, Worry-Free Business Security e Data Backup. Si tratta di
soluzioni che vengono vendute sia singolarmente sia come add-on ai
tradizionali prodotti anti-malware di Trend Micro.
Le soluzioni software di Trend Micro sono in grado anche di rispondere alle
nuove esigenze di sicurezza che caratterizzano il progressivo percorso verso
la virtualizzazione, che solitamente inizia con il consolidamento server,
prosegue con la virtualizzazione estesa per server e desktop, per approdare
infine al cloud (partendo dal private cloud per evolvere verso modelli ibridi
e, successivamente, pubblici).
5
TREND MICRO
La visione che guida la strategia di Trend Micro è che sia giunta a
completamento la prima fase del percorso che prevede la messa in sicurezza
dei workload dei server virtualizzati grazie a tecniche tradizionali per la
protezione di rete e che l’immediato futuro sarà caratterizzato da un lavoro
di ottimizzazione delle performance della sicurezza virtuale in uno sforzo
teso a virtualizzare le applicazioni a più alto traffico.
Sulla base di questo presupposto Trend Micro ha sviluppato una serie di
tecnologie di sicurezza capaci di integrarsi con gli hypervisor delle macchine
virtuali.
I servizi di sicurezza hosted
Trend Micro offre una gamma di servizi di sicurezza in modalità di servizio
per aziende di piccole, medie e grandi dimensioni, oltre che per i propri
partner, sia di canale sia fornitori di tecnologia e servizi.
Le soluzioni di sicurezza SaaS di Trend Micro sfruttano la Smart Protection
Network
per
proteggere
immediatamente
e
automaticamente
le
informazioni contro le minacce più recenti, prima che queste raggiungano
gli utenti e a prescindere dal luogo di connessione.
La portata dei servizi SaaS offerti da Trend Micro è molto ampia e interessa
dai componenti di supporto per applicazioni gateway, server o desktop alle
offerte di servizi in hosting completo.
Inoltre, i servizi in hosting consentono un’implementazione semplificata con
messa a disposizione rapida di nuove funzioni e caratteristiche.
I servizi SaaS sono gestiti dagli esperti della sicurezza Trend Micro che
controllano tutte le operazioni e gli aggiornamenti di sistema e di
manutenzione.
Trend Micro Enterprise Security
Trend Micro Enterprise Security è un’offerta altamente integrata di prodotti,
servizi e soluzioni per la sicurezza dei contenuti, sviluppata per far fronte
alle esigenze delle grandi aziende.
6
Per riuscire a fornire il miglior livello di difesa e una protezione proattiva,
Trend Micro ritiene che si debbano affrontare due sfide critiche legate alle
tempistiche.
La prima sfida critica è di minimizzare il tempo necessario per proteggere
l’azienda da minacce nuove e sconosciute, accelerando il periodo necessario
per identificare le minacce, sviluppare una protezione e per renderla
operativa. La seconda sfida riguarda la necessità di ridurre il tempo per
gestire la sicurezza adottando una soluzione che sia in grado di minimizzare
la complessità oltre che di fornire una protezione efficace.
Trend Micro si propone di far fronte a entrambi questi requisiti per la
sicurezza dei contenuti coniugando una protezione immediata capace di
“chiudere” le finestra delle vulnerabilità con una sicurezza integrata che
riduce la complessità e minimizza il tempo necessario per acquisire,
rilasciare e gestire la sicurezza dei contenuti.
Il binomio tra l’infrastruttura Smart Protection Network e le soluzioni Trend
Micro Enterprise Security realizza una difesa unificata che si estende
attraverso il Web, il messaging e gli endpoint.
L’offerta Trend Micro Enterprise Security è organizzata in una gamma di
servizi e in una serie di suite software per la protezione dell’azienda in
grado di sfruttare in pieno i vantaggi offerti dalla Smart Protection Network.
Enterprise Security Suite
È una soluzione integrata di protezione centralizzata per gateway Internet,
server di posta e file, desktop, portatili e dispositivi mobili. La sicurezza
multilivello protegge contro virus, spyware, spam e minacce miste, compresi
gli attacchi Web.
Enterprise Security Suite risponde alle esigenze aziendali grazie a opzioni di
configurazione flessibili, scalabilità e un largo supporto per piattaforme.
Enterprise Security Suite sfrutta la tecnologia Smart Protection Network per
esercitare una protezione dalle minacce basata sulla conoscenze distribuita
in-the-cloud.
Enterprise Security for Communication and Collaboration
Questa suite offre protezione istantanea per e-mail, messaggi IM e sistemi di
collaborazione Microsoft. Anche in questo caso le tecnologia Smart
Protection Network definisce la reputazione delle e-mail, bloccando le
minacce miste senza aggiornamenti delle definizioni, mentre la verifica della
reputazione Web blocca i messaggi IM con collegamenti a siti dannosi prima
7
TREND MICRO
che siano recapitati. Questi meccanismi di protezioni istantanea, uniti alla
sicurezza convenzionale dei contenuti, impediscono il furto di dati, il
propagarsi di infezioni e la violazione della conformità.
Enterprise Security for Endpoints and Mail Servers
È la soluzione integrata di protezione centralizzata e multilivello per server
di posta e file, desktop, portatili e dispositivi mobili. Questa suite prevede il
supporto di funzioni di sicurezza per ambienti virtualizzati e sfrutta la
tecnologia di protezione dalle minacce Trend Micro Smart Protection
Network.
Enterprise Security for Endpoints
È una soluzione unificata per la protezione di desktop, laptop, file server e
smartphone dalle minacce provenienti sia dall'interno sia dall'esterno della
rete aziendale, combinando protezione anti-malware e in-the-cloud. Il
meccanismo di file reputation di OfficeScan sposta nel cloud il problema
della gestione dei file di aggiornamento della sicurezza liberando i
dispositivi terminali da questo compito di gestione. La Web reputation
protegge gli endpoint bloccando l'accesso a siti dannosi. Grazie a
un’architettura flessibile che prevede l’apporto di plug-in, al supporto
opzionale dell’infrastruttura virtual desktop e a un sistema di Intrusion
Prevention multilivello questa soluzione migliora il livello di sicurezza e
flessibilità, riducendo i costi di gestione.
Trend Micro Enterprise Security
8
Trend Micro Deep Security
Trend Micro Deep Security è a soluzione software adatta a proteggere i
sistemi virtualizzati. Include un ventaglio di differenti tecnologie di
sicurezza specializzate come IDS/IPS, protezione delle applicazioni Web,
firewall, monitoraggio dell'integrità e moduli di log inspection e si avvale di
funzioni anti-malware di tipo agentless.
Deep Security si integra perfettamente con VMware e le sue API vShield
Endpoint e VMsafe, dando a Trend Micro la capacità di proporre una
soluzione anti-intrusione e anti-malware completa per le Virtual Machine
(VM) secondo un approccio che non richiede di dover installare un agent
esterno su ogni macchina virtuale. Questo accorgimento si traduce in un
minore consumo di risorse di sistema VMware vSphere e maggiori densità
di VM. Con il recente rilascio di Trend Micro Deep Security 7.5 Update 1,
sono stati introdotti diversi miglioramenti prestazionali grazie ai quali
l'appliance virtuale Deep Security può garantire le funzioni agentless di
prevenzione e rilevamento delle intrusioni mediante le API VMware
VMsafe, in modo da ottenere superiori livelli di densità delle macchine
virtuali. A oggi Trend Micro si conferma il primo vendor di soluzioni per la
sicurezza in grado di proporre questo tipo di funzionalità anti-virus agentless
progettate per la piattaforma VMware.
Le soluzioni per la Data Loss Prevention
Il portafoglio prodotti di Trend Micro per la Data Loss Protection fornisce un
framework coerente per impostare policy di sicurezza livello di endpoint,
server e gateway; inoltre mette a disposizione una serie di funzionalità
dedicate
all’automazione
e
al
workflow
che
riducono
il
lavoro
amministrativo.
L’approccio di Trend Micro per la protezione dei dati si avvale, per molti dei
propri prodotti, di specifici moduli di add-on che espandono in modo
semplice e flessibile le funzionalità di protezione. A ciò si aggiungono
template di uso immediato, policy pre-definite, integrazione con Active
Directory e gestione delle chiavi basata su policy. La disponibilità di
appliance virtuali permette anche di sfruttare l'infrastruttura già esistente
senza dover acquistare nuovi dispositivi hardware.
Un componente importante a supporto della DLP di Trend Micro è
rappresentato dalla tecnologia brevettata DataDNA, che fornisce un elevato
9
TREND MICRO
livello di precisione nella rilevazione di dati sensibili. Alla base di questa
tecnologia vi sono sofisticati algoritmi che estraggono il "DNA" di dati
sensibili come file, documenti, e-mail e altri contenuti e li memorizzano
come firme. In modo analogo a quanto avviene per le impronte digitali,
questo meccanismo crea una sequenza unica che definisce il DNA delle
informazioni contenute nel documento;
Di seguito sono descritti brevemente i componenti chiave della famiglia di
prodotti Trend Micro per la DLP.
Trend Micro DLP Management Server
Disponibile come appliance hardware o virtuale, il server DLP fornisce un
punto centrale per la visibilità, la configurazione delle policy e l'estrazione di
caratteristiche distintive (“fingerprint”) dalle sorgenti di contenuto.
Attraverso un’interfaccia Web-based è possibile gestire il flusso di lavoro
amministrativo per l'individuazione, la classificazione e l'impostazione delle
policy, il monitoraggio e il reporting.
Trend Micro DLP Network Monitor
Trend Micro DLP Network Monitor è la soluzione che ispeziona la rete in
modalità 24x7, segnalando eventuali falle in concomitanza dei punti di
ingresso al network e rilevando il malware specializzato nella sottrazione di
informazioni. Grazie alla tecnologia Smart Protection Network, questa
soluzione favorisce il rispetto della conformità normativa, permette di
individuare i rischi per i processi di business e migliora le policy aziendali di
utilizzo dei dati. Le funzioni sono gestite centralmente tramite la console
DLP Management
Trend Micro DLP Endpoint
Trend Micro DLP for Endpoint favorisce il rispetto della conformità e educa
gli utenti aziendali al rispetto delle policy d sicurezza grazie a una capacità
di rilevamento del malware e delle minacce basata sull'infrastruttura Trend
Micro Smart Protection Network.
DLP for Endpoint rileva e impedisce le fuoriuscite non autorizzate di dati
presso gli endpoint. Il client comunica con il DLP Management Server per
ricevere gli aggiornamenti delle policy e le “impronte digitali”dei documenti
e riferisce eventuali violazioni che avvengono presso il server.
10
Un driver installato sul terminale cliente permette di monitorare il traffico di
rete, l’I/O e l’attività applicativa svolti presso gli endpoint mentre il software
DLP for Endpoint blocca i dispositivi fisici e virtuali non conformi,
impedendo la copia non autorizzata o lo spostamento di dati sensibili.
Le operazioni di filtro avvengono tramite una serie di “engine” che sfruttano
la tecnologia DataDNA, verificando la corrispondenza a livello di
“fingerprint” dei documenti, di parole chiave e di metadati.
Le soluzioni per la Data Loss Prevention di Trend Micro
Trend Micro SecureCloud
Trend Micro fornisce sicurezza “dal cloud” con l'infrastruttura Trend Micro
Smart Protection Network e sicurezza “per il cloud” con server e tecnologie
crittografiche.
La società mette a disposizione anche una protezione multilivello per i dati
che risiedono all'interno dei cloud pubblici o privati tramite SecureCloud,
una soluzione che protegge i dati di livello enterprise all'interno degli
ambienti cloud mediante l'uso di crittografia e di tecniche di key
management basate su policy. Questa tecnologia permette di tutelare i dati
del cloud e di favorire la flessibilità necessaria per rivolgersi a cloud
provider differenti, senza essere vincolati al sistema crittografico di un unico
vendor.
SecureCloud consente di esercitare il controllo sulle modalità e sui punti di
accesso alle informazioni per mezzo di funzioni che permettono di
11
TREND MICRO
autenticare l'identità e l'integrità dei server che richiedono di accedere a
volumi storage sicuri.
Questa soluzione abilita il rilascio automatico delle chiavi di cifratura. Gli
utenti possono gestire le loro chiavi crittografiche per ambienti Amazon
EC2, Eucalyptus e VMware vCloud direttamente tramite il servizio hosted
Trend Micro SecureCloud o da un key server SecureCloud installato
all’interno dei loro data center fisici.
Trend Micro SecureCloud è disponibile mediante abbonamento mensile o
annuale, oppure tramite licenze software tradizionali.
Soluzioni per le PMI
Trend Micro Worry-Free Business Security
Trend Micro ha sviluppato le soluzioni Worry-Free Business Security per
consentire alle PMI di proteggere i propri asset, le informazioni dei propri
client e la loro reputazione dal furto di identità, dai criminali informatici e da
altre minacce veicolate dal Web prevenendo la perdita accidentale o
consapevole dei dati tramite e-mail, drive USB e altri dispositivi connessi.
Disponibili in versione Advanced e Standard questa soluzione si caratterizza
per la semplicità gestionale e di utilizzo.
La versione Advanced protegge i server Microsoft Exchange, Essential,
Small Business ed Essential Business, nonché i server, i pc e i laptop
Microsoft Windows. Blocca lo spam prima che raggiunga la rete grazie
all’inclusione del servizio di protezione e-mail in hosting InterScan
Messaging Hosted Security Standard.
La versione Standard protegge i server, i pc e i laptop Microsoft Windows
ma non comprende il servizio di protezione e-mail in hosting.
Sicurezza della messaggistica
InterScan Messaging Security Suite
Questa suite mette a disposizione una serie completa di funzioni per la
protezione da spam, phishing, malware e virus, oltre al filtraggio flessibile
dei contenuti basato su policy e strumenti di semplice utilizzo che
permettono il monitoraggio e il controllo del traffico SMTP e POP3 a livello
di gateway dei messaggi.
12
Integrata con Trend Micro Email Encryption Gateway, la suite protegge
dalla perdita di proprietà intellettuale e di informazioni confidenziali; inoltre
minimizza la congestione del traffico sul server contribuendo alla maggiore
produttività dei dipendenti.
InterScan Messaging Security fa leva su Trend Micro Control Manager, uno
strumento di gestione indipendente dalla piattaforma in grado di fornire
aggiornamenti
centralizzati,
reporting
consolidati
e
funzioni
di
configurazione da remoto. Questa tecnologia di protezione è disponibile
anche in modalità Software as a Service.
InterScan Messaging Security Virtual Appliance
È una soluzione ibrida SaaS per la sicurezza dell’e-mail che integra una
protezione proattiva in the cloud con il livello di privacy e controllo fornito
da un’appliance virtuale collocata on premise.
La sicurezza in-the-cloud riduce il volume di e-mail in ingresso fino al 90%
(secondo quanto sostenuto da Trend Micro) bloccando lo spam e il malware
all’esterno della rete aziendale. La sicurezza SaaS è integrata con l’appliance
virtuale “VMware Ready” collocata presso il gateway, che consente un
controllo flessibile sulle informazioni sensibili.
Le funzioni di quarantena avvengono in locale garantendo che le e-mail
restino private e nessun messaggio di posta elettronica venga memorizzato
all’interno del cloud.
La soluzione di sicurezza delle e-mail ibrida Interscan Messaging Virtual Appliance
13
TREND MICRO
Sicurezza Web
InterScan Web Security Suite
Questa soluzione protegge dinamicamente dagli attacchi Web al gateway
Internet con una protezione a più livelli contro minacce diverse.
InterScan Web Security Suite utilizza informazioni di sicurezza sia locali sia
in-the-cloud per proteggere il traffico HTTP e FTP.
Una serie di funzioni di sicurezza multilivello che include antivirus, antispyware e Web reputation impediscono l'accesso a pagine o collegamenti
pericolosi, bloccano i download di spyware e ne rilevano l'attività sui client,
attivando una disinfezione senza dover ricorrere ad agent. Oltre al filtro
URL, la versione Advanced garantisce un controllo flessibile e basato su
criteri degli applet Java e dei controlli ActiveX.
InterScan Web Security Virtual Appliance
È una soluzione per la sicurezza Web a livello del gateway, a gestione
centralizzata, che unisce scansione delle minacce informatiche, tecnologia di
reputazione Web in tempo reale e funzioni di filtro URL.
Rafforzando
la
protezione
del
gateway
Web
è
possibile
ridurre
drasticamente il rischio, ridurre il carico sulla sicurezza degli endpoint e
diminuire TCO. Trattandosi di un dispositivo software virtuale, InterScan
Web Security Virtual Appliance è altamente scalabile e si adatta bene a
seguire l’evoluzione IT verso esigenze future. L’implementazione con Trend
Micro Advanced Reporting and Management assicura la visualizzazione
istantanea dell’attività Internet e consente il ripristino on-the-spot.
La società
Fondata nel 1988, con sede centrale a Tokio e sedi operative in oltre 50 Paesi,
Trend Micro fornisce a privati e aziende di ogni dimensione soluzioni di
sicurezza intelligenti in grado di fornire protezione contro un’ampia gamma
di minacce esterne e interne, quali attacchi informatici, spam, fuoriuscita dei
dati nonché le più recenti minacce veicolate dal Web che compromettono la
continuità operativa, le informazioni personali e la reputazione individuale
o aziendale.
14
Trend Micro è un leader globale nella sicurezza dei contenuti Internet e nella
gestione delle minacce.
Società pioniere nell’ambito delle soluzioni antivirus, vanta un esperienza
ventennale nella creazione di soluzioni per rendere più sicuro lo scambio di
informazioni digitali sia per le aziende che per gli utenti privati.
Trend Micro promuove lo sviluppo di una tecnologia per la gestione
integrata delle minacce in grado di assicurare la continuità operativa e
proteggere le informazioni personali e il patrimonio di risorse da malware,
spam, fughe di dati e dalle più recenti minacce Web.
Le soluzioni flessibili di Trend Micro, disponibili in diversi formati, sono
supportate 24 ore su 24 e 7 giorni su 7 da ricercatori esperti nell’analisi delle
minacce attivi in tutte le aree geografiche.
La gran parte di queste soluzioni sono potenziate da Trend Micro Smart
Protection Network, un’infrastruttura cloud-client di nuova generazione
sviluppata per proteggere i clienti dalle minacce Web bloccando le minacce
in-the-cloud, prima che queste raggiungano la rete o altri punti terminali.
Trend Micro mantiene data center in cinque località nel mondo che
elaborano oltre 1,2 Terabyte di dati ogni giorno e blocca quotidianamente da
8 a 10 milioni di infezioni.
Trend Micro commercializza le proprie soluzioni di sicurezza attraverso una
rete di business partner presenti in tutto il mondo.
Per approfondimenti sulle minacce è possibile visitare l’osservatorio
TrendWatch all’indirizzo www.trendmicro.com/go/trendwatch
Per ulteriori informazioni e per ottenere copie di prova di tutti i prodotti e
servizi Trend Micro, visitare il sito Web: it.trendmicro-europe.com
15
Copyright Reportec – 2010
279

Sicurezza aziendale e continuità del business

Transcript

Documenti analoghi

GlobalTrust RMS

Una cura per ogni male La nuova generazione 106 Scanner per tutti

kit chiavi “security lock”

Firewalls Firewall I firewall sono una componente o un insieme di

Curriculum - Università Popolare UNISED

eScan Internet Security Suite

Protezione assoluta

Sportivo December 2002, January 2003

Brochure - Elitech

CAPITOLATO TECNICO PER L`ACQUISIZIONE DI UN SISTEMA DI