Comments
Description
Transcript
Il perimetro di rete in espansione
Il perimetro di rete in espansione Come proteggerlo con l'Unified Threat Management Di Angelo Comazzetto, Senior Product Manager, Network Security Con la costante espansione del perimetro delle reti (che includono ora cloud, dispositivi mobili e una nuova generazione di road warrior virtuali), l'autenticazione degli utenti mediante gateway di rete non basta più per mantenere protetta la rete. L'Unified threat management (UTM) integra nello stesso gateway protezione e gestione degli endpoint, semplificando impostazione e troubleshooting. Una soluzione UTM fornisce una visualizzazione unica di tutta la sicurezza, per minimizzare costi di gestione e tempi di inattività. Questo whitepaper indica come le soluzioni UTM integrate possono proteggere rete, dati ed endpoint, indipendentemente da dove o come si connettano gli utenti. Il perimetro di rete in espansione Come proteggerlo con l'Unified Threat Management Il concetto di rete è in continua espansione Le reti continuano a evolversi. I dati non provengono più dallo stesso edificio o gruppo di utenti. Le sedi remote sono ora connesse tramite Internet, agevolando la condivisione dei dati da parte di utenti multipli, e facilitando la collaborazione fra dipendenti grazie alla rimozione dei confini. Gli utenti wireless sono ovunque. E l'incremento dell'utilizzo di cloud e dispositivi mobili attribuisce alla rete una nuova definizione, per una nuova generazione di utenti virtuali. Voi che siete professionisti dell'information security, come fate per: gestire endpoint di vendor differenti e situati in varie sedi (computer interni, remoti, mobili, e cloud)? Autenticarli? Implementare criteri diversi a seconda di situazioni diverse, pur garantendo un accesso sicuro alla rete? Una delle soluzioni è un prodotto UTM moderno. Che cos'è l'UTM? Il termine “unified threat management” (UTM) è stato coniato nel 2003 dall'analista di IDC Charles Kolodgy1. Al tempo la nuova definizione rifletteva il consolidamento delle tecnologie che, fino a quel momento, avevano svolto funzioni di sicurezza ben distinte. Firewall, antivirus per gateway e intrusion detection e intrusion prevention (IDS/IDP) erano stati armonizzati in un'unica appliance di network security integrata. Scoprite perché Gartner ha collocato Sophos fra i Leader nell'ambito dell'UTM Leggete il report completo: Secondo il Quadrante magico di Gartner per l'Unified Threat Management: Gartner definisce il mercato dell'UTM come una serie di prodotti di network security multifunzione, utilizzati per imprese di piccole o medie dimensioni (small/midsize business, SMB). Secondo Gartner le aziende di medie dimensioni sono quelle aventi fra i 100 e i 1.000 dipendenti, con utili che variano fra 50 milioni e 1 miliardo di dollari. Tuttavia nella maggior parte dei casi gli utili annuali di un'azienda di medie dimensioni sono pari a una somma compresa fra i 100 milioni e i 500 milioni di dollari, con un numero di dipendenti compreso fra 20 e 1.000. I prodotti UTM per questo mercato devono fornire come minimo quanto segue: • Funzioni stateful firewall per le reti standard • Supporto di accesso remoto e reti virtuali private (VPN) site-to-site • Funzionalità di Web security per il gateway (antimalware, URL Filtering e filtraggio dei contenuti) • Intrusion prevention per la rete, mirata al blocco di attacchi rivolti a vulnerabilità di PC e server Windows a cui non sono state applicate le dovute patch2 http://www.sophos.com/ it-it/security-news-trends/ reports/gartner/magic-quadrant-UTM.aspx 1. Vedere ad esempio Wikipedia: http://en.wikipedia.org/wiki/Unified_Threat_Management 2. Gartner, Inc, "Magic Quadrant for Unified Threat Management ", di Joe Pescatore e Greg Young, 5 marzo 2012. Gartner non appoggia alcun vendor né prodotto o servizio citato all’interno delle sue pubblicazioni di ricerca e non suggerisce agli utenti delle tecnologie in questione di scegliere solamente i vendor che abbiano ottenuto le valutazioni più elevate. Le pubblicazioni di ricerca di Gartner riflettono solamente le opinioni dell'organizzazione di ricerca Gartner, e non devono pertanto essere considerate come affermazioni di fatto. Gartner rinuncia a qualsiasi garanzia, implicita o esplicita, in merito a questa ricerca, incluse le garanzie sulla commerciabilità o sull’idoneità a un particolare scopo. Whitepaper Sophos aprile 2012 2 Il perimetro di rete in espansione Come proteggerlo con l'Unified Threat Management Seppur tradizionalmente gettonata fra le aziende di piccole e medie dimensioni, l'UTM sta riscontrando successo anche tra aziende molto grandi aventi centinaia di sedi dotate ciascuna di 1.000 o più dipendenti. L'UTM consente agli amministratori di rete e ai loro team di agire in maniera più efficiente e produttiva. Significa non dover gestire e aggiornare point solution di protezione diverse e fornite da vendor diversi, con svariate interfacce GUI e console di gestione. L'UTM fornisce tutto ciò di cui hanno bisogno i professionisti della sicurezza (firewall, antivirus, filtraggio dei contenuti Web e delle e-mail, application control e funzioni di networking come routing e bilanciamento del carico) in un'unica appliance. Garantisce facilità di impostazione, troubleshooting potenziato, nonché una vista unificata dei criteri di sicurezza dell'intera azienda, minimizzando così costi legati a gestione e tempo di inattività. Integrazione vuol dire semplicità Il concetto di UTM si concentra sulla semplificazione di sicurezza, gestione, gateway, endpoint ed esigenze degli utenti finali. In sostanza, l'UTM facilita la vita degli amministratori IT. Gestire prodotti che prevedono solamente point solution multiple aumenta la complessità. Gli amministratori devono conoscere in maniera approfondita vari ambienti di gestione, ciascuno dotato di terminologia ed elementi pratici unici nel loro genere. Hanno il compito di gestire diversi firmware e aggiornamenti dei pattern; devono inoltre configurare le soluzioni in maniera adeguata, in modo che possano interagire correttamente l'una con l'altra, al fine di garantire la buona riuscita dell'intero delivery della sicurezza. In più, la presenza di soluzioni di network security multiple aumenta la complessità del troubleshooting, in quanto sono presenti vari stadi nei quali possono verificarsi errori di configurazione. E moltiplica i punti (nodi, link, endpoint) da ispezionare per individuare il problema. Finanziariamente, il delivery di point solution multiple diventa ancor meno allettante se si aggiungono i costi dei servizi di sottoscrizione per supporto, maintenance e aggiornamenti. Una singola appliance UTM significa dover acquisire familiarità solamente con una GUI di gestione, acquistare sottoscrizioni per un unico vendor, ed effettuare il troubleshooting dei problemi mediante una sola console di gestione. In aggiunta, le applicazioni dei dispositivi UTM si armonizzano e si completano l'una con l'altra, sfruttando il vantaggio di operare sulla stessa piattaforma. Un'appliance UTM può ad es. decifrare connessioni VPN road warrior in entrata come IPSec o SSL, per poi incanalare il traffico attraverso un filtro che utilizza intrusion protection system. Ciò costituisce un evidente vantaggio rispetto alle point solution multiple, per le quali è necessario effettuare l'installazione nel corretto ordine, per poi procedere con una complicata configurazione delle regole di routing e gestione del traffico, al fine di poter applicare i giusti filtri nel giusto ordine. La soluzione UTM spicca rispetto ai suoi predecessori firewall e IDS/IDP: siccome presenta meno "caselle" di rete (incluse interfacce, configurazioni e sottoscrizioni individuali), fornisce maggiore semplicità in termini di protezione, gestione e troubleshooting. Whitepaper Sophos aprile 2012 3 Il perimetro di rete in espansione Come proteggerlo con l'Unified Threat Management L'UTM e il perimetro di rete in espansione Le informazioni e l'elaborazione dei dati stanno subendo una crescita esponenziale. La legge di Moore indica che il numero di transistor collocabili su un circuito integrato raddoppia all'incirca ogni due anni. È anche risaputo nell'ambito dell'information technology che il perimetro di rete continua a espandersi. Ogni rete possiede un perimetro: un gateway per Internet. Questi perimetri possono migliorare la modalità operativa dell'azienda, nonché aiutarvi a gestire le vostre attività online. Ma l'aggiunta di nuove tecnologie può complicare la gestione della rete, in quanto è necessario proteggere tutti i gateway presenti sulla rete estesa. Tutte le tecnologie sono vulnerabili a manipolazione e compromessi. Ciò può dirsi di qualsiasi dispositivo che si connetta a due reti (ad es. firewall, router e switch) o che sia in grado di fornire accesso alla rete. Osservate l'evoluzione della network security. Scaricate la nostra infographic (in inglese) La sicurezza deve essere una priorità quando si tratta di impostare la rete ottimale. Anche la presenza di un singolo dispositivo non protetto all'interno del perimetro rischia di compromettere la rete aziendale. Una soluzione di sicurezza completa minimizza la probabilità di intrusioni non autorizzate, offrendo opzioni di autenticazione ufficiale, autorizzazione, riservatezza, disponibilità e precauzioni per la salvaguardia dell'integrità. Tali precauzioni includono solitamente cifratura, certificazione, directory, rete e altri componenti di sicurezza. L'UTM serve per dirigere il traffico: potenzia la sicurezza del perimetro ispezionando pacchetti e sessioni, per determinare se debbano essere consentiti o eliminati dalla rete protetta. In pratica i firewall (specialmente quelli di seconda generazione) sono diventati un unico access point per la rete, in quanto analizzano e controllano il traffico con script di firewall che definiscono parametri per applicazioni, indirizzi e utenti. A loro volta, questi script aiutano a difendere i percorsi di connettività verso reti e data center esterni. Identificare i dispositivi che garantiscono accesso alla rete può contribuire alla sicurezza complessiva della rete. Ciascun perimetro va considerato come parte del perimetro di rete. Ciò include dispositivi hardware di rete, server e tutti gli endpoint client, insieme a qualsiasi dispositivo che possa essere aggiunto dinamicamente in un secondo momento, ad esempio i client VPN. Una volta individuata l'area del perimetro fisico e virtuale è più semplice stabilire criteri di autenticazione coerenti per tutti i dispositivi e gli utenti. Whitepaper Sophos aprile 2012 4 Il perimetro di rete in espansione Come proteggerlo con l'Unified Threat Management Protezione degli utenti mobili Gli utenti diventano ogni giorno più mobili. Ma hanno pur sempre bisogno di accedere a informazioni essenziali contenute nella rete aziendale. Sia che si connettano da un ufficio domestico o remoto, un hot spot mobile, oppure un PC wireless all'interno dell'azienda, hanno bisogno dello stesso livello di protezione degli utenti che si trovano sul posto di lavoro. I prodotti dedicati a VPN e wireless sono sovente molto complicati da impostare e richiedono competenze informatiche anche per le sedi remote più piccole. Di conseguenza gli specialisti dell'informatica sono costretti a recarsi presso le sedi remote e a trascorrere tempo a impostare o aggiornare le VPN e le strutture da cui sono supportate. Ciò significa acquistare servizi VPN/MPLS gestiti, oppure prendere in leasing costose linee in grado di garantire una connessione stabile e sicura con la sede centrale. Gli utenti e le soluzioni wireless presentano problemi simili. È magari possibile acquistare prodotti rivolti ai consumatori, ma sono difficili da configurare e non posseggono funzioni di gestione centralizzata. Si può altrimenti optare per una soluzione professionale che richiede cinque giorni di formazione prima di poter inviare un singolo byte con la nuova rete wireless. Con i prodotti UTM plug-and-play, ricevete: protezione antivirus, filtraggio dei contenuti del Web, intrusion prevention e detection, e molto altro ancora. È possibile ampliare il raggio di azione dell'unified protection da un'appliance UTM, per includere uffici remoti e LAN; in questo modo si evitano i problemi legati alla pianificazione dell'integrazione e a una complessa configurazione che richiede conoscenze di sicurezza informatica approfondite. Scenari di delivery per Sophos UTM Sede remota Endpoint RED 10 Router Internet Mobile User Endpoints Internet Wireless (WLAN) Road Warrior (VPN) Endpoint Sophos UTM Server aziendale Sede centrale La protezione UTM può facilmente essere estesa per includere sedi remote, dispositivi mobili e road warrior. Whitepaper Sophos aprile 2012 5 Il perimetro di rete in espansione Come proteggerlo con l'Unified Threat Management Passare al cloud Il perimetro di rete in costante espansione ha influito sullo sviluppo delle tecnologie dedicate alla sua protezione. Il “cloud” ne è un esempio perfetto. Il National Institute of Standards and Technologies lo definisce come segue: Il cloud computing è un modello che serve ad abilitare un accesso alla rete facile, su richiesta e da qualsiasi luogo, per poter usufruire di pool condivisi di risorse informatiche configurabili (ad es. reti, server, storage, applicazioni e servizi) che possono essere distribuiti e rilasciati con completa rapidità e minime operazioni di gestione o interazione con i service provider.3 Con il progressivo trasferimento di dati e processi verso service provider di servizi cloud, l'UTM è la soluzione ideale per garantire un gateway sicuro e in vostro pieno controllo. Sophos UTM Security Gateway può ad es. supportare Amazon Machine Image (AMI) su Amazon Elastic Computing Cloud (EC2). L'EC2 di Amazon consente di eseguire computer virtuali con un'infrastruttura cloud scalabile e affidabile, senza doversi preoccupare di cablaggio o invio di appliance o hardware con montaggio su rack. Tutto quello che devono fare gli utenti è semplicemente avviare l'UTM Gateway in EC2 per poter usufruire nel giro di pochi minuti di una soluzione gateway sicura e scalabile dalla portata flessibile e adattabile alle esigenze della vostra azienda. In modalità di produzione, gli utenti sono in grado di accedere a EC2 e Sophos UTM Gateway per connettere le sedi remote tramite Sophos RED (Remote Ethernet Device). Gli utenti possono mantenere un solido punto di riferimento centrale per le connessioni VPN, e gli access point wireless Sophos connessi ai dispositivi RED installati vengono gestiti in maniera centralizzata. In aggiunta Sophos supporta il servizio Amazon Virtual Private Cloud (VPC), che consente l'hosting e l'esecuzione dell'infrastruttura server in un cloud sicuro e scalabile. Il nostro connettore VPC garantisce una connessione permanente e cifrata alle risorse VPC, direttamente dal Security Gateway. Invece di richiedere la configurazione tecnica manuale di funzionalità harwdare VPN con BGP (Border Gateway Patrol), il nostro VPC Connector prevede il download di un unico file da Amazon; tale file va quindi caricato sul gateway locale, per un'impostazione automatica della connessione al vostro VPC. Sophos fornisce anche appliance virtuali preinstallate e preconfigurate per gli ambienti VMware. È il primo prodotto di unified threat management ad essere ufficialmente certificato come "VMware Ready": consente il delivery facile e sicuro di una soluzione di sicurezza allin-one in un ambiente virtuale. 3. National Institute of Standards and Technology: http://www.nist.gov/itl/cloud/index.cfm Whitepaper Sophos aprile 2012 6 Il perimetro di rete in espansione Come proteggerlo con l'Unified Threat Management I limiti di una protezione del perimetro di rete basata esclusivamente sul gateway Se da un lato il delivery su vasta scala di prodotti endpoint è diventato più facile da gestire, dipende pur sempre da sistema operativo e funzionalità degli endpoint. Tuttavia, i gateway di sicurezza sono per lo più indipendenti da endpoint e sistemi operativi. I gateway sono un metodo trasparente per gestire il carico del client e scaricarlo dall'endpoint a un computer centralizzato; in questo modo possono anche proteggere l'infrastruttura di rete in maniera più efficace di quanto possa fare un endpoint. Nonostante tutti questi vantaggi apparenti, la protezione del perimetro di rete basata esclusivamente sul gateway presenta anche dei problemi: Mancanza di controlli sul flusso e sulla fuga dei dati per i dispositivi USB portatili. Uno dei maggiori svantaggi della protezione del perimetro di rete basata esclusivamente sul gateway è il non essere in grado di controllare adeguatamente i dati scaricati sui dispositivi mobili o trasferiti su altri computer tramite Internet con una connessione wireless, inclusi Bluetooth o unità flash USB 3G. Impossibilità di proteggere gli endpoint mobili. Quando non comunicano tramite il gateway (ad es. nel caso in cui siano connessi a un hot spot), gli endpoint mobili come ad es. computer laptop o tablet sono privi di importanti funzioni di protezione, come antivirus, Web filtering, firewall o application control. La maggior parte possiede solamente una protezione antivirus minima, che viene gestita con un sistema diverso. Molti vendor di gateway stanno cominciando a integrare client endpoint al gateway stesso. Ma questa integrazione è un concetto molto libero. Nella maggior parte dei casi la GUI del gateway funge esclusivamente da punto di lancio per una console a parte che a sua volta gestisce gli endpoint. Di conseguenza, ci si ritrova a dover configurare criteri diversi per endpoint e gateway. La quasi totale assenza di integrazione fra protezione del gateway e degli endpoint si traduce in mancanza di efficienza in termini di scalabilità, produttività e falle di sicurezza. Whitepaper Sophos aprile 2012 7 Il perimetro di rete in espansione Come proteggerlo con l'Unified Threat Management Sicurezza del perimetro di rete integrata per gateway ed endpoint Fino ad oggi, armonizzare UTM e protezione endpoint in un'unica piattaforma ha sempre significato meno funzionalità e integrazione. Spesso sugli endpoint è possibile installare solamente l'antivirus. E l'integrazione viene intesa come un collegamento al prodotto di un altro vendor. Ma non è più così. Integrando protezione endpoint e relativa gestione nel gateway, una soluzione UTM moderna estende il perimetro di rete fino a includere endpoint e cloud. In questo modo rete e dati rimangono protetti dalle minacce, indipendentemente dall'ubicazione dei dipendenti, dal dispositivo utilizzato o da dove avvenga la connessione. Sophos UTM vi dona la possibilità di: • Configurare e monitorare la protezione con estrema facilità, grazie a un'interfaccia basata sul browser, senza bisogno di conoscenze tecniche approfondite. • Effettuare il delivery di una soluzione che integra firewall e intrusion prevention con controllo del Web, e-mail security e protezione endpoint. • Difendere gli endpoint dalle minacce e dalla perdita dei dati, gestendoli dall'appliance UTM. • Proteggere rapidamente le sedi remote, grazie alle tecnologie VPN integrate e al nostro Sophos RED (Remote Ethernet Device) plug-and-protect, per una protezione immediata • Fornire una sicurezza UTM completa per le reti wireless e i client, mediante appositi access point wireless • Implementare i criteri di protezione Web, firewall e application control. È necessario configurare i criteri una sola volta a livello di gateway; gli endpoint vengono quindi sincronizzati, invece di dover essere impostati uno per uno. • Mantenere costantemente gli endpoint connessi al gateway, senza richiedere servizi di directory o connessioni VPN con la sede centrale Whitepaper Sophos aprile 2012 8 Il perimetro di rete in espansione Come proteggerlo con l'Unified Threat Management Sophos UTM significa sicurezza completa per la vostra azienda. Sophos UTM 9 fornisce sicurezza completa tramite una singola appliance a moduli. Senza la complessità di point solution multiple, la nostra soluzione semplifica le mansioni amministrative informatiche, proteggendo contro virus, spam e hacker; inoltre non interferisce con l'attività lavorativa dei dipendenti. Una gamma completa di applicazioni di sicurezza, che includono: firewall, VPN, IPS, e-mail security, Web filtering, antivirus, antispam, connessioni wireless sicure, application control ed endpoint security. La possibilità di connettere filiali e utenti mobili nel giro di pochi minuti, grazie alle nostre estensioni wireless e VPN plug-and-protect subito pronte all'uso. Gestione centralizzata di antivirus e device control per tutti gli endpoint, che vengono mantenuti aggiornati ovunque si trovino (disponibile a breve). Gestione integrata dei dati di log e della quarantena dello spam, che elimina il bisogno di server esterni. Tutte le funzionalità sono disponibili per tutte le appliance, il che significa che anche la sede più piccola riceve la stessa protezione di quella centrale. Un'architettura aperta che integra le funzionalità in un sistema operativo Linux potenziato, su server system compatibili con Intel; tutto senza bisogno di chip hardware di proprietà. Possibilità di scegliere tra appliance hardware, software o virtuali. Con ciascuna appliance, ricevete le stesse funzionalità: clustering attivo/attivo, bilanciamento dei link WAN e integrazione con Active Directory. Facile configurazione ed esecuzione dei prodotti, senza il bisogno di competenze tecniche specifiche, grazie alla nostra intuitiva GUI basata sul browser: non è richiesta alcuna interfaccia a riga di comando, né software per client. Sophos UTM 9 vi aiuta a tenere il passo con il vostro perimetro di rete, che è in continua evoluzione ed espansione. Visitate il nostro Network Security Hub Leadership ponderata, funzionalità interattive e strumenti utili Vendite per Italia Tel: (+39) 02 911 808 E-mail: [email protected] Boston, USA | Oxford, Regno Unito © Copyright 2012. Sophos Ltd. Tutti i diritti riservati. Tutti i marchi sono proprietà dei rispettivi titolari. Whitepaper Sophos 4.12v1.dNA