Pretendere di più Ottenere il massimo dall'adozione di un firewall di nuova generazione Indice dei contenuti 2 Documento di sintesi 3 Gli aggiornamenti del firewall sono un'opportunità 3 Elevata disponibilità sotto pressione 4 Sicurezza contestuale per un controllo degli accessi perfezionato 4 Protezione automatica e avanzata contro le tattiche mutevoli 5 Piattaforma software unificata 5 Pretendere di più 6 Soluzioni McAfee per la protezione della rete 6 Pretendere di più Documento di sintesi Se i sistemi di controllo delle applicazioni e i sistemi di prevenzione delle intrusioni (IPS) sono in competizione con i firewall di nuova generazione (Next Generation FireWall - NGFW), cos'altro inserire nell'elenco dei requisiti? Questo white paper aiuterà i gruppi che si occupano di rete e sicurezza informatica a comprendere cosa possono e dovrebbero pretendere da un prodotto NGFW: Elevata disponibilità e bilanciamento del carico incorporati per avere flessibilità operativa e possibilità di gestire crescenti carichi di dati. • Sicurezza contestuale che fornisce controllo degli accessi preciso per ridurre il rischio e gestire l'utilizzo • Rilevamento automatico e avanzato delle fuoriuscite in grado di bloccare e fare rapporto sulle tecniche sconosciute e in evoluzione che facilitano le minacce mirate e persistenti. • Una piattaforma software unificata che supporti sicurezza di rete adattiva e distribuzione flessibile di funzioni di nuova generazione con visibilità ed efficienza operativa. • Questi requisiti vanno oltre le funzioni specifiche per includere l'obiettivo di lungo periodo: proteggere la disponibilità e l'integrità delle reti critiche man mano che l'utilizzo cresce e le minacce evolvono. Richiedere con fermezza queste capacità garantirà che la soluzione NGFW sia in grado di tenere il passo con i requisiti aziendali, criminali informatici abili e budget disponibili. "Un firewall di nuova generazione non è una semplice raccolta delle risposte della generazione precedente, ma porta la sicurezza al livello successivo con la sua capacità di rilevare le tecniche di evasione avanzate (AET). La combinazione di tutte queste funzionalità in un'unica soluzione permette di ottenere un quadro più completo, fornendo alle aziende una sicurezza migliore". —"2013 Next Generation Firewall Challenge" (La sfida dei firewall di nuova generazione per il 2013), Robin Layland, Network World1 Gli aggiornamenti del firewall sono un'opportunità I firewall sono la prima e più importante linea di difesa contro le minacce di rete. Operano in modo accurato in ogni ufficio remoto, ai confini e al cuore della rete, proteggendo i centri dati. Dopo qualche anno, queste installazioni hanno bisogno di una revisione. Oggi, è necessario eliminare i firewall più obsoleti, sostituendoli con nuovi modelli con funzioni integrate e ampliate, flessibilità in termini di distribuzione e controllo, maggior scalabilità e prestazioni. Questi nuovi modelli aiutano a rafforzare il firewall aziendale per poter affrontare le mutevoli esigenze di business e il panorama delle minacce in sviluppo. Questa revisione del firewall è una preziosa opportunità. Per oltre un decennio, abbiamo vissuto l'esasperazione e il costo di gestione di una serie di regole per i firewall complesse e frammentarie; la distribuzione di appliance aggiuntive per il bilanciamento del carico, la prevenzione delle intrusioni, le reti VPN e l'analisi delle minacce e il vaglio di enormi quantità di log. Ora, possiamo utilizzare quest'esperienza per pretendere più informazioni e adattabilità da parte dei fornitori di firewall di rete. Probabilità di attacchi di cybercrime 100% Governi, tecnologia di difesa, infrastruttura critica bancaria, per esempio Rischio elevato Rischio medio Hi-tech, organi d'informazione, retail, produzione industriale, per esempio Rischio basso Enti no-profit, aziende locali, di piccole dimensioni e di servizi, per esempio 0% Bassa Offerto valore finanziario, politico, commerciale o diritti sulla proprietà intellettuale Elevata Figura 1. L'assalto di minacce avanzate colpisce diversi settori2. Pretendere di più 3 Elevata disponibilità sotto pressione Qualsiasi attività legata al business - anche una telefonata - ora fa affidamento sulla rete. I volumi del traffico di rete ha un'unica direzione: in aumento. Per fare il proprio lavoro in questo ambiente, gli strumenti di sicurezza basati su IP come i prodotti NGFW devono essere costantemente attivi, estremamente disponibili e perfettamente scalabili. Alcuni firewall sono progettati per operare in modalità "fail open" (autorizzare il traffico web in caso di guasto) sotto pressione. Se i carichi di lavoro superano una soglia, i firewall possono lasciar cadere il traffico (firewall standard) o smettere di eseguire le ispezioni (NGFW) per mantenere il flusso del traffico. Questo comportamento mantiene l'operatività aziendale, ma sacrifica la sicurezza. Perché investire in regole per il controllo delle applicazioni e sistemi IPS che non puoi applicare con certezza? In alternativa, molte aziende aumentano la capacità e la disponibilità attraverso il clustering utilizzando configurazioni active-passive ridondanti o bilanciamento del carico active-active per distribuire in modo attento il traffico a diversi nodi firewall. Invece di essere un add-on complesso, il clustering dovrebbe essere incorporato. Nello specifico, il clustering active-active offre il miglior utilizzo delle risorse, permettendo di sfruttare appieno gli investimenti di capitale e di aggiungere nodi man mano che la richiesta aumenta. Il clustering può garantire che si disponga di risorse elaborative per controlli firewall ad elevate prestazioni oltre alla capacità di adattarsi anche al traffico crescente. All'interno di questo modello active-active, sono tre i fattori che potrebbero influenzare la soddisfazione sul lungo periodo. Primo, considerare il modello di bilanciamento del carico. Se sono necessari componenti separati per il bilanciamento del carico, rendersi conto che questi elementi aggiuntivi aggiungono spese di capitale e complessità operativa; solitamente richiedono almeno un dispositivo aggiuntivo, un server di gestione e una console per la manutenzione e il monitoraggio. Secondo, verificare qualsiasi limite al totale dei nodi. Alcuni sistemi possono raggruppare solo pochi nodi. Tale sistema obbliga a dimensionare e pagare subito per un sistema che possa soddisfare gli eventuali picchi di carico, piuttosto che aggiungere nodi man mano che i carichi di lavoro aumentano. Se tutte le altre funzioni sono uguali, scegliere una configurazione che possono scalare fino a 10 o più nodi. Terzo, considerare la manutenzione. Quale è il piano di manutenzione per i dispositivi firewall raggruppati? Il bilanciamento del carico dovrebbe consentire di effettuare l'upgrade dei nodi individuali e di amministrarli in modo indipendente. Questo modello permette di poter effettuare l'upgrade dei nodi in modo graduale, eseguire in modo efficace diverse versioni del codice firewall, senza degradare la qualità del controllo o interrompere la disponibilità. Se un singolo nodo firewall si guasta, il modello che prevede il bilanciamento del carico dovrebbe assicurare che non sia stato lasciato cadere alcun flusso di traffico ma invece che sia stato reindirizzato su un altro nodo. Questa struttura dinamica e ottimizzata assicura funzioni costanti di controllo e applicazione delle policy. Sicurezza contestuale per un controllo degli accessi perfezionato I prodotti NGFW includono controlli di utenti e applicazioni come funzioni principali. e rappresentano un grande passo avanti rispetto alle regole blocca/autorizza del firewall. Ma, una volta che le aziende iniziano a sperimentare le regole per guidare questi controlli, molti rilevano che le regole basate su utenti e applicazioni sono ancora semplicistiche. Funzionano per le principali applicazioni pericolose (come il file sharing gratuito), ma potrebbero non essere adatte a situazioni intricate come l'utilizzo di LinkedIn. Un problema è che pochi team IT hanno la visibilità su utenti e applicazioni per essere completamente certi di dover bloccare qualcosa. Non desiderano essere percepiti come coloro che decidono arbitrariamente l'accesso alle applicazioni e quindi dover gestire chiamate di assistenza da parte di utenti scontenti. Gli amministratori preferiscono applicare delle soglie, come il numero di volte in cui si verifica una situazione specifica all'interno di una specifica finestra temporale o il gruppo o la sequenza di eventi. Desiderano correlare e aggregare gli eventi, inclusi eventi che vengono raccolti su diversi sensori NGFW. Questo raggruppamento di eventi e fattori offre una maggior certezza e chiarezza relativamente alle attività, dall'utilizzo di reti VPN da remoto alla navigazione Internet. Una volta che si intraprende questo percorso, questo metodo offre molto valore. Per esempio, l'associazione di indirizzi IP in ingresso e in uscita può essere significativa laddove gli amministratori sono preoccupati di una specifica minaccia proveniente dall'interno, botnet o aggressore sospetto. Tutte queste opzioni di controllo contestuale consentono al dipartimento IT di supportare l'attività aziendale mantenendola sicura. "I dispositivi di sicurezza dovrebbero effettuare la normalizzazione del traffico su ogni livello TCP/IP. Ma molti dispositivi per la sicurezza della rete prediligono la velocità rispetto alla sicurezza della rete e quindi prendono delle scorciatoie senza analizzare tutti e quattro i livelli del modello TCP/IP. In questo modo, il dispositivo per la sicurezza della rete può operare più rapidamente ma la rete è vulnerabile alle evasioni avanzate". —Advanced Evasion Techniques for Dummies (Tecniche avanzate di evasione per principianti)3 4 Pretendere di più Protezione automatica e avanzata contro le tattiche mutevoli Le soluzioni NGFW utilizzate in modo stratificato rafforzano e completano le difese, supportando le best practice relative alla protezione approfondita. Le soluzioni antimalware e di prevenzione delle intrusioni aiutano a identificare e bloccare il malware noto e le minacce zero-day volte a colpire le vulnerabilità senza patch. In generale, questi sistemi utilizzano le firme o il comportamento per identificare il codice dannoso. Inoltre, i controlli delle applicazioni consentono all'IT di restringere la superficie d'attacco riducendo l'utilizzo delle applicazioni e dei contenuti pericolosi. Insieme, queste funzionalità rappresentano un importante passo avanti nella protezione perimetrale rispetto al firewall di rete legacy. Si tratta di una combinazione particolarmente persuasiva per la protezione sui siti remoti, dove le policy e le protezioni collaborano per migliorare la strategia di sicurezza per le reti dell'azienda. Tuttavia, i criminali inventano costantemente nuovi modi per superare le difese convenzionali. Laddove qualche anno fa gli aggressori potevano aver successo con investimenti in crittografia e malware polimorfico, gli hacker più determinati e avanzati del giorno d'oggi penetrano nelle reti distribuendo codice pericoloso in una serie di payload, spesso offuscati. Alcune volte inviano payload utilizzando una selezione di protocolli, come FTP, HTTP e HTTPS. Questo sforzo ulteriore consente al codice di eludere il rilevamento da parte di protezioni standard di verifica delle signature, di protocolli specifici e rilevamento degli schemi. Il modo per combattere queste tecniche elusive è quello di normalizzare il traffico sui livelli da tre a sette, scomporre ed esaminare l'intero flusso di dati e assemblare le parti in un tutt'uno unificato. Una volta riassemblato, il codice può essere analizzato utilizzando signature e schemi. Combinata con altre protezione in un prodotto NGFW, questa tecnica anti-elusione è la più avanzata delle difese di rete inline. Se tali funzionalità fanno parte della soluzione NGFW adottata, è possibile incorporare le protezioni convenzionali nella rete attuale. Piattaforma software unificata Questa gamma di protezioni dovrebbe far parte di un'architettura operativa flessibile ed efficiente. I gruppi che si occupano della sicurezza delle reti valutano le funzioni di controllo e verifica delle soluzioni NGFW rispetto ai loro requisiti per l'efficacia della protezione e dell'efficienza operativa. Per una sicurezza efficace, vorrai essere in grado di implementare le analitiche più avanzate e utilizzare appieno tutti i controlli distribuiti. Se desideri distribuire un sistema multifunzione, diffida di implementazioni che ti fanno scegliere tra le protezioni - come la negoziazione del controllo delle applicazioni per i sistemi IPS - quelle che disattivano i controlli o altre funzioni quando ci sono carichi di picco. Anche se oggi si può convivere con queste limitazioni o apprezzare la flessibilità di distribuire un firewall/ VPN, un prodotto NGFW e un IPS dove si ritiene sia meglio, è preferibile un'architettura software comune per queste soluzioni. Una piattaforma comune consente a policy e regole di collaborare per elaborare in modo efficiente il traffico, estendere le risorse elaborative e risolvere le anomalie. Esigenze aziendali, architettura di rete e stato di rischio sono fattori che possono cambiare rapidamente, perciò una struttura unificata può essere d'aiuto per reagire in modo immediato, adattando le configurazioni del firewall senza le penalizzazioni legate ad aggiornamenti impegnativi. Una piattaforma software unificata offre un secondo beneficio: l'efficienza operativa. Anni di manutenzione dei firewall legacy ti hanno probabilmente sensibilizzato ai problemi legati alla complessità operativa dei firewall. Gestire le regole, giostrarsi tra diverse console di gestione, integrare i dati attraverso fogli di calcolo: tutte queste attività quotidiane equivalgono a settimane nel corso di un anno. Gestendo più firewall in posti diversi, si misura questo onere operativo in mesi, e questo onere grava spesso su un gruppo ristretto. Aggiungendo funzionalità al firewall, tra cui funzioni quali il bilanciamento del carico e rete VPN, diventa ancor più importante trovare delle efficienze. Per esempio, policy granulari dovrebbero essere riutilizzate tra i firewall. Un'architettura centralizzata per le policy offre modi pratici per creare un controllo granulare e costante sulle regole per il firewall. "Le appliance di sicurezza integrate hanno conquistato quote ogni trimestre a partire dal quarto trimestre del 2011, e Infonetics prevede incrementi delle quote su base trimestrale nel corso del secondo trimestre del 2014". —Network Security Appliances and Software (Appliance e software per la sicurezza della rete), Infonetics Research, Settembre 20134 Pretendere di più 5 L'integrazione delle difese permette, da un punto di vista architetturale, l'integrazione delle stesse a livello di gestione, migliorando l'efficienza e aprendo la corretta percezione della situazione degli eventi relativi alla rete. Il sistema può correlare e analizzare i log per tuo conto, presentare gli eventi all'interno di una console comune e fornire visualizzazioni e analitiche che aiutano ad evidenziare il trend e gli eventi straordinari. Alcune aziende richiedono che l'IT gestisca domini molteplici o distribuiti: per esempio, per unità organizzative differenti o come un Managed Security Service Provider (MSSP). In queste impostazioni, assicurarsi di poter condividere i task comuni e monitorare la situazione da un unico schermo, mantenendo un isolamento logico distinto per ogni dominio. Queste funzionalità sono un vantaggio dei prodotti NGFW nella corsa al cloud. Integrazione e automazione di policy, processi e strumenti all'interno di una base software e di un'architettura unificate rappresenta un fattore critico per cogliere il massimo valore in termini di sicurezza dai firewall di nuova generazione. In questo modo, si migliora l'efficacia dei controlli e delle contromisure riducendo i costi operativi. Pretendere di più L'adozione di firewall di nuova generazione dovrebbe portare un aumento sostanziale nella gamma di protezioni e controlli da applicare alla rete aziendale. Funzioni di base dei prodotti NGFW come il controllo grezzo delle applicazioni forniscono un punto di partenza per la tua checklist. Tuttavia, le caratteristiche di base sono solo l'inizio. Puoi richiedere altre caratteristiche preziose: prevenzione delle intrusioni, regole contestuali, analitiche sulle tecniche di evasione avanzate, controllo degli accessi protetto ed elevata disponibilità. Oltre alle caratteristiche, è necessario richiedere le prestazioni operative, studiando l'approccio che i vendor scelti hanno adottato per supportare situazioni reali attuali: competenze e risorse amministrative limitate per affrontare richieste in aumento e l'esigenza di visibilità, creatività difensiva e corretta percezione della situazione. Chiedere loro che supporto offrono per consentirti di adeguarti a carichi di lavoro futuri, ottimizzare le risorse, rilevare e disabilitare la prossima ondata di tecniche utilizzate dalle minacce. Ponendo queste domande ora, è possibile proteggere l'investimento effettuato oltre alla rete e prevenire delusione, interruzioni e spese non necessarie in corso d'opera. Soluzioni McAfee per la protezione della rete McAfee offre una linea completa di soluzioni per la sicurezza delle reti come parte della propria struttura Security Connected. Per maggiori informazioni sull'approccio McAfee ai firewall di nuova generazione, visitare www.mcafee.com/it/products/next-generation-firewall.aspx. A proposito di McAfee McAfee, società interamente controllata da Intel Corporation (NASDAQ: INTC), permette a imprese, enti pubblici e utenti privati di godere dei vantaggi di Internet in tutta sicurezza. L'azienda offre prodotti e servizi di sicurezza riconosciuti e proattivi che proteggono sistemi, reti e dispositivi mobili in tutto il mondo. Grazie alla strategia visionaria Security Connected, a un approccio innovativo nella creazione di soluzioni sempre più sicure e all’ineguagliata rete Global Threat Intelligence, McAfee è impegnata senza sosta a ricercare nuovi modi per mantenere protetti i propri clienti. www.mcafee.com/it 1 2 3 4 McAfee Srl via Fantoli, 7 20138 Milano Italia (+39) 02 554171 www.mcafee.com/it http://resources.idgenterprise.com/original/AST-0088044_2013_NGFW_Challenge_document_FINAL.pdf http://www.mcafee.com/it/products/next-generation-firewall.aspx Ibid. http://www.infonetics.com/pr/2013/2Q13-Network-Security-Market-Highlights.asp McAfee e il logo McAfee sono marchi o marchi registrati di McAfee, Inc. o sue filiali negli Stati Uniti e altre nazioni. Altri nomi e marchi possono essere rivendicati come proprietà di terzi. I piani, le specifiche e le descrizioni dei prodotti riportati nel presente documento hanno unicamente scopo informativo e sono soggetti a modifica senza preavviso. Sono forniti senza alcuna garanzia, espressa o implicita. Copyright © 2013 McAfee, Inc. 60581wp_demand-ngfw_1013_fnl_ETMG
© Copyright 2024 Paperzz