Pretendere di più

Pretendere di più
Ottenere il massimo dall'adozione di un firewall di nuova generazione
Indice dei contenuti
2
Documento di sintesi
3
Gli aggiornamenti del firewall sono un'opportunità
3
Elevata disponibilità sotto pressione
4
Sicurezza contestuale per un controllo degli accessi perfezionato
4
Protezione automatica e avanzata contro le tattiche mutevoli
5
Piattaforma software unificata
5
Pretendere di più
6
Soluzioni McAfee per la protezione della rete
6
Pretendere di più
Documento di sintesi
Se i sistemi di controllo delle applicazioni e i sistemi di prevenzione delle intrusioni (IPS) sono in
competizione con i firewall di nuova generazione (Next Generation FireWall - NGFW), cos'altro inserire
nell'elenco dei requisiti?
Questo white paper aiuterà i gruppi che si occupano di rete e sicurezza informatica a comprendere cosa
possono e dovrebbero pretendere da un prodotto NGFW:
Elevata disponibilità e bilanciamento del carico incorporati per avere flessibilità operativa e possibilità
di gestire crescenti carichi di dati.
• Sicurezza contestuale che fornisce controllo degli accessi preciso per ridurre il rischio e gestire l'utilizzo
• Rilevamento automatico e avanzato delle fuoriuscite in grado di bloccare e fare rapporto sulle tecniche
sconosciute e in evoluzione che facilitano le minacce mirate e persistenti.
• Una piattaforma software unificata che supporti sicurezza di rete adattiva e distribuzione flessibile
di funzioni di nuova generazione con visibilità ed efficienza operativa.
•
Questi requisiti vanno oltre le funzioni specifiche per includere l'obiettivo di lungo periodo: proteggere
la disponibilità e l'integrità delle reti critiche man mano che l'utilizzo cresce e le minacce evolvono.
Richiedere con fermezza queste capacità garantirà che la soluzione NGFW sia in grado di tenere il passo
con i requisiti aziendali, criminali informatici abili e budget disponibili.
"Un firewall di nuova generazione non è una semplice raccolta delle risposte della generazione
precedente, ma porta la sicurezza al livello successivo con la sua capacità di rilevare le tecniche di
evasione avanzate (AET). La combinazione di tutte queste funzionalità in un'unica soluzione permette
di ottenere un quadro più completo, fornendo alle aziende una sicurezza migliore".
—"2013 Next Generation Firewall Challenge" (La sfida dei firewall di nuova generazione per il 2013),
Robin Layland, Network World1
Gli aggiornamenti del firewall sono un'opportunità
I firewall sono la prima e più importante linea di difesa contro le minacce di rete. Operano in modo accurato
in ogni ufficio remoto, ai confini e al cuore della rete, proteggendo i centri dati. Dopo qualche anno, queste
installazioni hanno bisogno di una revisione. Oggi, è necessario eliminare i firewall più obsoleti, sostituendoli
con nuovi modelli con funzioni integrate e ampliate, flessibilità in termini di distribuzione e controllo,
maggior scalabilità e prestazioni. Questi nuovi modelli aiutano a rafforzare il firewall aziendale per poter
affrontare le mutevoli esigenze di business e il panorama delle minacce in sviluppo.
Questa revisione del firewall è una preziosa opportunità. Per oltre un decennio, abbiamo vissuto
l'esasperazione e il costo di gestione di una serie di regole per i firewall complesse e frammentarie;
la distribuzione di appliance aggiuntive per il bilanciamento del carico, la prevenzione delle intrusioni,
le reti VPN e l'analisi delle minacce e il vaglio di enormi quantità di log. Ora, possiamo utilizzare
quest'esperienza per pretendere più informazioni e adattabilità da parte dei fornitori di firewall di rete.
Probabilità di attacchi
di cybercrime
100%
Governi, tecnologia di difesa,
infrastruttura critica bancaria,
per esempio
Rischio
elevato
Rischio medio
Hi-tech, organi d'informazione,
retail, produzione industriale,
per esempio
Rischio basso
Enti no-profit, aziende
locali, di piccole dimensioni
e di servizi,
per esempio
0%
Bassa
Offerto valore
finanziario, politico,
commerciale o diritti
sulla proprietà
intellettuale
Elevata
Figura 1. L'assalto di minacce avanzate colpisce diversi settori2.
Pretendere di più
3
Elevata disponibilità sotto pressione
Qualsiasi attività legata al business - anche una telefonata - ora fa affidamento sulla rete. I volumi
del traffico di rete ha un'unica direzione: in aumento. Per fare il proprio lavoro in questo ambiente,
gli strumenti di sicurezza basati su IP come i prodotti NGFW devono essere costantemente attivi,
estremamente disponibili e perfettamente scalabili.
Alcuni firewall sono progettati per operare in modalità "fail open" (autorizzare il traffico web in caso
di guasto) sotto pressione. Se i carichi di lavoro superano una soglia, i firewall possono lasciar cadere
il traffico (firewall standard) o smettere di eseguire le ispezioni (NGFW) per mantenere il flusso del
traffico. Questo comportamento mantiene l'operatività aziendale, ma sacrifica la sicurezza. Perché
investire in regole per il controllo delle applicazioni e sistemi IPS che non puoi applicare con certezza?
In alternativa, molte aziende aumentano la capacità e la disponibilità attraverso il clustering utilizzando
configurazioni active-passive ridondanti o bilanciamento del carico active-active per distribuire in modo
attento il traffico a diversi nodi firewall. Invece di essere un add-on complesso, il clustering dovrebbe
essere incorporato. Nello specifico, il clustering active-active offre il miglior utilizzo delle risorse,
permettendo di sfruttare appieno gli investimenti di capitale e di aggiungere nodi man mano che la
richiesta aumenta. Il clustering può garantire che si disponga di risorse elaborative per controlli firewall
ad elevate prestazioni oltre alla capacità di adattarsi anche al traffico crescente.
All'interno di questo modello active-active, sono tre i fattori che potrebbero influenzare la soddisfazione
sul lungo periodo. Primo, considerare il modello di bilanciamento del carico. Se sono necessari
componenti separati per il bilanciamento del carico, rendersi conto che questi elementi aggiuntivi
aggiungono spese di capitale e complessità operativa; solitamente richiedono almeno un dispositivo
aggiuntivo, un server di gestione e una console per la manutenzione e il monitoraggio.
Secondo, verificare qualsiasi limite al totale dei nodi. Alcuni sistemi possono raggruppare solo pochi nodi.
Tale sistema obbliga a dimensionare e pagare subito per un sistema che possa soddisfare gli eventuali
picchi di carico, piuttosto che aggiungere nodi man mano che i carichi di lavoro aumentano. Se tutte
le altre funzioni sono uguali, scegliere una configurazione che possono scalare fino a 10 o più nodi.
Terzo, considerare la manutenzione. Quale è il piano di manutenzione per i dispositivi firewall
raggruppati? Il bilanciamento del carico dovrebbe consentire di effettuare l'upgrade dei nodi individuali
e di amministrarli in modo indipendente. Questo modello permette di poter effettuare l'upgrade dei
nodi in modo graduale, eseguire in modo efficace diverse versioni del codice firewall, senza degradare la
qualità del controllo o interrompere la disponibilità. Se un singolo nodo firewall si guasta, il modello che
prevede il bilanciamento del carico dovrebbe assicurare che non sia stato lasciato cadere alcun flusso di
traffico ma invece che sia stato reindirizzato su un altro nodo. Questa struttura dinamica e ottimizzata
assicura funzioni costanti di controllo e applicazione delle policy.
Sicurezza contestuale per un controllo degli accessi perfezionato
I prodotti NGFW includono controlli di utenti e applicazioni come funzioni principali. e rappresentano
un grande passo avanti rispetto alle regole blocca/autorizza del firewall. Ma, una volta che le aziende
iniziano a sperimentare le regole per guidare questi controlli, molti rilevano che le regole basate su utenti
e applicazioni sono ancora semplicistiche. Funzionano per le principali applicazioni pericolose (come il
file sharing gratuito), ma potrebbero non essere adatte a situazioni intricate come l'utilizzo di LinkedIn.
Un problema è che pochi team IT hanno la visibilità su utenti e applicazioni per essere completamente certi
di dover bloccare qualcosa. Non desiderano essere percepiti come coloro che decidono arbitrariamente
l'accesso alle applicazioni e quindi dover gestire chiamate di assistenza da parte di utenti scontenti.
Gli amministratori preferiscono applicare delle soglie, come il numero di volte in cui si verifica una
situazione specifica all'interno di una specifica finestra temporale o il gruppo o la sequenza di eventi.
Desiderano correlare e aggregare gli eventi, inclusi eventi che vengono raccolti su diversi sensori NGFW.
Questo raggruppamento di eventi e fattori offre una maggior certezza e chiarezza relativamente alle
attività, dall'utilizzo di reti VPN da remoto alla navigazione Internet. Una volta che si intraprende questo
percorso, questo metodo offre molto valore. Per esempio, l'associazione di indirizzi IP in ingresso e in
uscita può essere significativa laddove gli amministratori sono preoccupati di una specifica minaccia
proveniente dall'interno, botnet o aggressore sospetto. Tutte queste opzioni di controllo contestuale
consentono al dipartimento IT di supportare l'attività aziendale mantenendola sicura.
"I dispositivi di sicurezza dovrebbero effettuare la normalizzazione del traffico su ogni livello TCP/IP. Ma molti
dispositivi per la sicurezza della rete prediligono la velocità rispetto alla sicurezza della rete e quindi prendono
delle scorciatoie senza analizzare tutti e quattro i livelli del modello TCP/IP. In questo modo, il dispositivo per
la sicurezza della rete può operare più rapidamente ma la rete è vulnerabile alle evasioni avanzate".
—Advanced Evasion Techniques for Dummies (Tecniche avanzate di evasione per principianti)3
4
Pretendere di più
Protezione automatica e avanzata contro le tattiche mutevoli
Le soluzioni NGFW utilizzate in modo stratificato rafforzano e completano le difese, supportando le best
practice relative alla protezione approfondita. Le soluzioni antimalware e di prevenzione delle intrusioni
aiutano a identificare e bloccare il malware noto e le minacce zero-day volte a colpire le vulnerabilità
senza patch. In generale, questi sistemi utilizzano le firme o il comportamento per identificare il
codice dannoso. Inoltre, i controlli delle applicazioni consentono all'IT di restringere la superficie
d'attacco riducendo l'utilizzo delle applicazioni e dei contenuti pericolosi. Insieme, queste funzionalità
rappresentano un importante passo avanti nella protezione perimetrale rispetto al firewall di rete legacy.
Si tratta di una combinazione particolarmente persuasiva per la protezione sui siti remoti, dove le policy
e le protezioni collaborano per migliorare la strategia di sicurezza per le reti dell'azienda.
Tuttavia, i criminali inventano costantemente nuovi modi per superare le difese convenzionali.
Laddove qualche anno fa gli aggressori potevano aver successo con investimenti in crittografia
e malware polimorfico, gli hacker più determinati e avanzati del giorno d'oggi penetrano nelle reti
distribuendo codice pericoloso in una serie di payload, spesso offuscati. Alcune volte inviano payload
utilizzando una selezione di protocolli, come FTP, HTTP e HTTPS. Questo sforzo ulteriore consente al
codice di eludere il rilevamento da parte di protezioni standard di verifica delle signature, di protocolli
specifici e rilevamento degli schemi.
Il modo per combattere queste tecniche elusive è quello di normalizzare il traffico sui livelli da tre a sette,
scomporre ed esaminare l'intero flusso di dati e assemblare le parti in un tutt'uno unificato. Una volta
riassemblato, il codice può essere analizzato utilizzando signature e schemi. Combinata con altre
protezione in un prodotto NGFW, questa tecnica anti-elusione è la più avanzata delle difese di rete inline.
Se tali funzionalità fanno parte della soluzione NGFW adottata, è possibile incorporare le protezioni
convenzionali nella rete attuale.
Piattaforma software unificata
Questa gamma di protezioni dovrebbe far parte di un'architettura operativa flessibile ed efficiente.
I gruppi che si occupano della sicurezza delle reti valutano le funzioni di controllo e verifica delle soluzioni
NGFW rispetto ai loro requisiti per l'efficacia della protezione e dell'efficienza operativa.
Per una sicurezza efficace, vorrai essere in grado di implementare le analitiche più avanzate e utilizzare
appieno tutti i controlli distribuiti. Se desideri distribuire un sistema multifunzione, diffida di implementazioni
che ti fanno scegliere tra le protezioni - come la negoziazione del controllo delle applicazioni per i sistemi IPS
- quelle che disattivano i controlli o altre funzioni quando ci sono carichi di picco.
Anche se oggi si può convivere con queste limitazioni o apprezzare la flessibilità di distribuire un firewall/
VPN, un prodotto NGFW e un IPS dove si ritiene sia meglio, è preferibile un'architettura software
comune per queste soluzioni. Una piattaforma comune consente a policy e regole di collaborare
per elaborare in modo efficiente il traffico, estendere le risorse elaborative e risolvere le anomalie.
Esigenze aziendali, architettura di rete e stato di rischio sono fattori che possono cambiare rapidamente,
perciò una struttura unificata può essere d'aiuto per reagire in modo immediato, adattando le
configurazioni del firewall senza le penalizzazioni legate ad aggiornamenti impegnativi.
Una piattaforma software unificata offre un secondo beneficio: l'efficienza operativa. Anni di
manutenzione dei firewall legacy ti hanno probabilmente sensibilizzato ai problemi legati alla
complessità operativa dei firewall. Gestire le regole, giostrarsi tra diverse console di gestione, integrare
i dati attraverso fogli di calcolo: tutte queste attività quotidiane equivalgono a settimane nel corso di un
anno. Gestendo più firewall in posti diversi, si misura questo onere operativo in mesi, e questo onere
grava spesso su un gruppo ristretto.
Aggiungendo funzionalità al firewall, tra cui funzioni quali il bilanciamento del carico e rete VPN, diventa
ancor più importante trovare delle efficienze. Per esempio, policy granulari dovrebbero essere riutilizzate
tra i firewall. Un'architettura centralizzata per le policy offre modi pratici per creare un controllo
granulare e costante sulle regole per il firewall.
"Le appliance di sicurezza integrate hanno conquistato quote ogni trimestre a partire dal quarto trimestre
del 2011, e Infonetics prevede incrementi delle quote su base trimestrale nel corso del secondo trimestre
del 2014".
—Network Security Appliances and Software (Appliance e software per la sicurezza della rete),
Infonetics Research, Settembre 20134
Pretendere di più
5
L'integrazione delle difese permette, da un punto di vista architetturale, l'integrazione delle stesse
a livello di gestione, migliorando l'efficienza e aprendo la corretta percezione della situazione degli eventi
relativi alla rete. Il sistema può correlare e analizzare i log per tuo conto, presentare gli eventi all'interno
di una console comune e fornire visualizzazioni e analitiche che aiutano ad evidenziare il trend e gli
eventi straordinari.
Alcune aziende richiedono che l'IT gestisca domini molteplici o distribuiti: per esempio, per unità
organizzative differenti o come un Managed Security Service Provider (MSSP). In queste impostazioni,
assicurarsi di poter condividere i task comuni e monitorare la situazione da un unico schermo,
mantenendo un isolamento logico distinto per ogni dominio. Queste funzionalità sono un vantaggio
dei prodotti NGFW nella corsa al cloud.
Integrazione e automazione di policy, processi e strumenti all'interno di una base software e di
un'architettura unificate rappresenta un fattore critico per cogliere il massimo valore in termini di
sicurezza dai firewall di nuova generazione. In questo modo, si migliora l'efficacia dei controlli e delle
contromisure riducendo i costi operativi.
Pretendere di più
L'adozione di firewall di nuova generazione dovrebbe portare un aumento sostanziale nella gamma
di protezioni e controlli da applicare alla rete aziendale. Funzioni di base dei prodotti NGFW come
il controllo grezzo delle applicazioni forniscono un punto di partenza per la tua checklist. Tuttavia,
le caratteristiche di base sono solo l'inizio. Puoi richiedere altre caratteristiche preziose: prevenzione
delle intrusioni, regole contestuali, analitiche sulle tecniche di evasione avanzate, controllo degli accessi
protetto ed elevata disponibilità.
Oltre alle caratteristiche, è necessario richiedere le prestazioni operative, studiando l'approccio che
i vendor scelti hanno adottato per supportare situazioni reali attuali: competenze e risorse amministrative
limitate per affrontare richieste in aumento e l'esigenza di visibilità, creatività difensiva e corretta
percezione della situazione. Chiedere loro che supporto offrono per consentirti di adeguarti a carichi
di lavoro futuri, ottimizzare le risorse, rilevare e disabilitare la prossima ondata di tecniche utilizzate dalle
minacce. Ponendo queste domande ora, è possibile proteggere l'investimento effettuato oltre alla rete
e prevenire delusione, interruzioni e spese non necessarie in corso d'opera.
Soluzioni McAfee per la protezione della rete
McAfee offre una linea completa di soluzioni per la sicurezza delle reti come parte della propria struttura
Security Connected. Per maggiori informazioni sull'approccio McAfee ai firewall di nuova generazione,
visitare www.mcafee.com/it/products/next-generation-firewall.aspx.
A proposito di McAfee
McAfee, società interamente controllata da Intel Corporation (NASDAQ: INTC), permette a imprese,
enti pubblici e utenti privati di godere dei vantaggi di Internet in tutta sicurezza. L'azienda offre prodotti
e servizi di sicurezza riconosciuti e proattivi che proteggono sistemi, reti e dispositivi mobili in tutto il
mondo. Grazie alla strategia visionaria Security Connected, a un approccio innovativo nella creazione di
soluzioni sempre più sicure e all’ineguagliata rete Global Threat Intelligence, McAfee è impegnata senza
sosta a ricercare nuovi modi per mantenere protetti i propri clienti. www.mcafee.com/it
1
2
3
4
McAfee Srl
via Fantoli, 7
20138 Milano
Italia
(+39) 02 554171
www.mcafee.com/it
http://resources.idgenterprise.com/original/AST-0088044_2013_NGFW_Challenge_document_FINAL.pdf
http://www.mcafee.com/it/products/next-generation-firewall.aspx
Ibid.
http://www.infonetics.com/pr/2013/2Q13-Network-Security-Market-Highlights.asp
McAfee e il logo McAfee sono marchi o marchi registrati di McAfee, Inc. o sue filiali negli Stati Uniti e altre nazioni. Altri nomi e marchi possono
essere rivendicati come proprietà di terzi. I piani, le specifiche e le descrizioni dei prodotti riportati nel presente documento hanno unicamente scopo
informativo e sono soggetti a modifica senza preavviso. Sono forniti senza alcuna garanzia, espressa o implicita. Copyright © 2013 McAfee, Inc.
60581wp_demand-ngfw_1013_fnl_ETMG

Download Report