The engineer in a data processing center of ISP Internet Service Provider hold fiber patch cords
News & Highlights

Quattro problemi di sicurezza del data center che ti faranno riconsiderare il ruolo dei firewall

Ricordi cosa stava succedendo dieci anni fa? Anche se il 2011 non è poi così lontano (non puoi aver dimenticato il Royal Wedding, il divorzio di Kim Kardashian e la morte di Steve Jobs), in 10 anni sono cambiate parecchie cose. Il percorso di virtualizzazione era appena all’inizio per la maggior parte dei data center. Ricordi quando si pensava che fosse sicuro virtualizzare solo una manciata di carichi di lavoro non essenziali? Ebbene, oggi circa la metà dei server di tutto il mondo è virtualizzata e ci siamo spinti ben al di là della semplice virtualizzazione. Quasi tutti i data center aziendali sono diventati ambienti ibridi, dove risorse di elaborazione e storage virtuali e fisiche convivono in armonia. La containerizzazione e le tecnologie che la supportano stanno iniziando a prendere piede. E, chiaramente, il cloud computing è ormai integrato in tutti gli aspetti dell’enterprise computing.

I vantaggi del Software-Defined Data Center per un’azienda sono tanti, specialmente in termini di efficienza delle risorse e di risparmio sui costi. Ma non possiamo certo negare che siano aumentate le complessità, perché tutte le risorse (elaborazione, storage, switching e routing) continuano a essere necessarie, con la differenza che adesso possono essere sia on-premise sia nel cloud. Tra mantenere la connettività, garantire il raggiungimento delle prestazioni aziendali richieste e tenere il passo con i cambiamenti di business e tecnologia, la gestione dei data center è oggi una vera sfida. E tutto questo prima ancora di aver preso in considerazione il fattore che preoccupa di più CdA, responsabili e professionisti IT: la sicurezza.

Analizziamo più da vicino alcune delle sfide in termini di sicurezza dei data center di oggi:

1. Non si può proteggere qualcosa che non si conosce

Partiamo dalla visibilità. In un recente webinar con Omdia, gli analisti hanno parlato del cosiddetto ciclo di vita delle operation di sicurezza informatica, che descrive i passaggi necessari per SecOps efficaci. In questo ciclo di vita, proprio come nel data center, tutto inizia con la visibilità. Del resto, non si può proteggere un ambiente se non lo si conosce. La visibilità sul data center richiede informazioni affidabili in tempo reale su carichi di lavoro, utenti, dispositivi e reti, ma anche consapevolezza di cambiamenti nelle condizioni, di aumento delle situazioni di rischio o dell’avvento di nuove minacce. Soprattutto in questo particolare momento storico, è probabile che un’azienda debba gestire una base di utenti altamente distribuita che accede alle risorse del data center da posizioni remote, sostanzialmente senza limiti di tempo. 

Alla luce di questo, quante organizzazioni possono affermare, con una sicurezza del 100%, di avere una visibilità adeguata sul data center? Se anche tu non hai questa certezza, allora dovresti chiederti se stai attuando il tuo piano di sicurezza in modo efficace. Questo perché più bassa è la visibilità, più numerose saranno le falle della sicurezza.

2. Non c’è un’app per questo 

Passiamo poi alla questione della sicurezza delle applicazioni, un argomento che meriterebbe un blog a parte. Non puoi fare a meno di controlli di sicurezza intorno alle applicazioni e al loro interno. Questo richiede approcci diversi, a seconda che si tratti di app tradizionali on-premise o di app SaaS. Non dobbiamo poi dimenticare la necessità di tenere il passo con i requisiti delle policy delle applicazioni. Molte applicazioni stanno diventando sempre più “componentizzate”, pertanto servono processi DevSecOps per garantire che la sicurezza sia integrata nelle istanze che supportano le funzioni delle applicazioni containerizzate o addirittura serverless.

3. L’unica costante è il cambiamento, un cambiamento rapido 

Un’ulteriore sfida è data dalla velocità del cambiamento. Può sembrare un’ovvietà, ma quasi tutte le organizzazioni stanno attraversando un qualche tipo di digital transformation che, a diversi livelli, presuppone una transizione significativa dell’infrastruttura IT. Tuttavia, il lato oscuro della digital transformation è che rende i cambiamenti sempre più rapidi, e lo farà in maniera permanente: più infrastruttura cloud, più SaaS e più containerizzazione. Nei prossimi dieci anni dovremo gestire anche aspetti come l’IoT e il 5G, con una crescita esponenziale dei dispositivi connessi e dei dati nei data center. Pertanto, le tecnologie di sicurezza del data center devono a loro volta essere incentrate su un approccio basato su policy e automatizzate per gestire un cambiamento sempre più rapido. 

4. L’aumento incontrollato del volume del traffico East-West è un paradiso per gli hacker 

Anche questa è una sfida specifica che necessario approfondire. Con l’evoluzione del data center, il volume del traffico East-West all’interno dei data center è aumentato in modo incontrollato. I data center più efficienti e sicuri hanno più carichi di lavoro che producono più traffico sulla rete. Per la maggior parte delle organizzazioni, il traffico East-West ha un volume di gran lunga superiore rispetto a quello North-South che entra ed esce dal data center. E sebbene il traffico East-West non lasci fisicamente il data center, questo non significa che sia affidabile. 

 Il traffico East-West rappresenta lo scenario perfetto per gli hacker che vogliono dissimulare spostamenti laterali dannosi, indubbiamente il problema più grande in un data center moderno. Qual è lo scenario più diffuso che in genere porta a tentativi di spostamenti laterali? Il furto di credenziali legittime. Quando un hacker viene autenticato nell’applicazione di un sistema utilizzando credenziali legittime, servono dei controlli nel layer di networking che permettano di identificare e bloccare il traffico pericoloso prima che attraversi la rete e, potenzialmente, peggiori l’intrusione. Da questo punto di vista, è evidente che il traffico East-West è diventato il nuovo perimetro di rete.

E questo impone un nuovo tipo di firewall

È prassi consolidata che ovunque sia presente un perimetro di rete ci sia un firewall. Per estensione, le aziende hanno adesso bisogno di un firewall all’interno del data center. Ma i firewall perimetrali tradizionali non necessariamente funzionano per il traffico East-West. Vediamo meglio.

Il primo problema è la topologia del data center 

Spesso, dove predomina il Software-Defined Data Center, potrebbe non essere possibile inserire dei firewall virtuali tra i singoli carichi di lavoro, né potrebbe risultare efficiente indirizzare il traffico East-West all’ubicazione dei firewall dedicati. Così facendo si introducono inutili colli di bottiglia in un ambiente virtuale, vanificando tutta l’efficienza e la flessibilità del modello Software-Defined. Inoltre, occorre considerare in che modo i firewall controllano il traffico e i tipi di traffico coinvolti. A livello di perimetro, i firewall tradizionali bloccano principalmente porte e protocolli specifici e intervalli di indirizzi IP, mentre i firewall di nuova generazione possono controllare il traffico sulla base dei tipi di applicazioni e dei gruppi di utenti. Tutto questo va bene, ma con il traffico East-West, i controlli devono essere molto più granulari. Potresti avere un’unica applicazione, ma con diverse funzioni, come un livello web, un livello funzione e un livello database, ognuno dei quali richiede controlli diversi. Il firewall deve essere in grado di comprendere non solo il traffico e l’applicazione, ma anche i componenti dell’applicazione e la logica aziendale che definisce cos’è una comunicazione accettabile e cosa non lo è. 

Poi c’è il traffico crittografato 

Quando parliamo di traffico crittografato tra carichi di lavoro, tentare di de-crittografare, analizzare e ri-crittografare questi pacchetti richiede enormi spese, e spesso non è realizzabile. Eppure, ignorare tale traffico non è un’ottima idea, perché non sappiamo davvero cosa contiene.

Servono quindi firewall per gestire il traffico East-West, ma questo non significa dover accettare le tradizionali limitazioni dei firewall virtuali e fisici. Si può ricorrere a un approccio diverso. E arriviamo così al concetto dei perimetri virtuali o, più specificatamente, della microsegmentazione.

Il perimetro virtuale: concetto vecchio, approccio nuovo

Per microsegmentazione si intende l’utilizzo di software e policy per implementare una segmentazione della rete granulare direttamente a livello di carico di lavoro e di applicazione. Non è affatto un concetto nuovo, ma molte organizzazioni devono ancora adottarlo. Se la microsegmentazione consente di utilizzare molte delle stesse funzionalità di un firewall tradizionale, lo trasforma anche in una funzione all’interno di un’istanza virtuale. In altre parole, i controlli di sicurezza sono integrati a livello di carico di lavoro, un importantissimo passo in avanti per i firewall dei data center. Se pensiamo al futuro, i firewall continueranno sempre di più a trasformarsi da appliance virtuali e fisiche con uno scopo preciso in una funzione all’interno di un’applicazione, un carico di lavoro o un container.

Sicurezza del data center: migliorare la semplicità e l’efficienza

Per la maggior parte delle organizzazioni, la sicurezza informatica rappresenta una priorità aziendale, ma la sicurezza deve essere un elemento propulsivo per il business. I responsabili della sicurezza che lavorano da tempo in questo settore sanno che i dirigenti non vogliono che la sicurezza sia messa in pericolo, ma non vogliono neppure che l’attività venga compromessa da architetture di sicurezza che rallentano i dipendenti, i processi o la tecnologia e l’innovazione.

La cosa più straordinaria dei microservizi e dei firewall basati sulle funzioni è che diventa molto più facile includere la sicurezza nei processi aziendali in modo flessibile, anche quando i processi cambiano e si adattano rapidamente. Sulla sinistra nell’immagine in basso è rappresentato un modello di firewall virtuale tradizionale, dove l’unico approccio praticabile consiste nell’inserire le istanze del firewall virtuale tra i diversi carichi di lavoro e gruppi di carichi di lavoro. I vendor di firewall sosterranno che per una corretta segmentazione della rete serve un numero elevato di firewall, e questa non è certo una sorpresa. Eppure questo è un modello complicato da distribuire e gestire. Non è efficiente, raramente è economico e, sicuramente, non migliora l’agilità aziendale.

Sulla destra dell’immagine in alto è rappresentato invece cosa avviene con la microsegmentazione, dove troviamo comunque le stesse funzioni del firewall, ma questa volta integrate all’interno di ciascun carico di lavoro, a cui corrisponde una policy che definisce le impostazioni del firewall e di altre funzioni di sicurezza della rete, in modo che la policy di sicurezza venga implementata non appena viene creato un carico di lavoro.

Dal punto di vista dell’azienda, integrare la sicurezza direttamente nelle risorse fondamentali del data center è molto vantaggioso. Con questo tipo di microsegmentazione basata su policy, non appena un carico di lavoro viene distribuito gli esatti controlli di sicurezza che richiede saranno immediatamente disponibili. Potrai prevenire le minacce con spostamento laterale, limitare il traffico delle applicazioni e cogliere tutti i vantaggi di un accesso Zero-trust . Potrai perfino usufruire di quelle funzionalità di sicurezza ulteriori che l’uso di firewall consente, come IDS/IPS, analisi del traffico di reteinstallazione di patch virtuali.

Ricapitoliamo: il firewall non sta scomparendo

Non credere a chi dice che i firewall sono una tecnologia del passato, soprattutto quando si tratta del data center. I controlli resi possibili da un firewall sono quanto mai necessari. Quello che è cambiato è che le istanze firewall standalone tradizionali lasceranno il campo al firewall come funzione. È arrivato il momento di iniziare a capire come funzionano queste tecnologie e quali vantaggi possono riservare all’organizzazione.

Se ti interessa approfondire questo argomento, segui il webinar on demand Qual è il futuro dei firewall del data center? 

Vai al webinar

Scopri di più su VMware NSX Service-defined Firewall.