Con la crescita dei processi collaborativi tra aziende, partner, fornitori e clienti, basati su Internet, e l’aumento del ricorso al cloud computing, i confini informatici delle imprese stanno diventando sempre meno chiari e precisi. Gli analisti, come ad esempio quelli della società Forrester Research di Cambridge, Massachusetts, usano termini come borderless network ed extended enterprise per definire le reti Ict e le aziende tipici di un mondo del business sempre più globalizzato e interconnesso. Accanto a questo fenomeno, a rimettere in discussione i paradigmi di sicurezza delle reti utilizzati fino a questo momento si è aggiunto anche quello del Byod (Bring you own device), che moltiplica la quantità e la qualità dei dispositivi utilizzati dagli utenti delle reti aziendali, in particolare di quelli che hanno maggiori responsabilità di business (i manager) e di quelli che si trovano spesso a lavorare al di fuori delle mura aziendali.
Il risultato di questi fenomeni è che il modello di “difesa perimetrale”, consistente nel circondare i network preesistenti da device di sicurezza in grado di proteggere l’azienda da attacchi informatici dall’esterno, non è oggi più efficace. Le tecniche tradizionali di network security basate sulla location da dove proviene la richiesta di accesso, l’identità dell’utente e il tipo di dispositivo utilizzato, rischiano di fallire perché questi elementi sono sempre più dinamici. A tutto ciò si somma anche l’evoluzione delle minacce, diventate più sofisticate, mutevoli e mirate: in pratica, riescono più facilmente a eludere i sistemi di sicurezza tradizionali, e una volta penetrate nel network aziendale, riescono a instaurare dei canali di comunicazione con i server esterni di Command and Control (avviene quando pc e server aziendali diventano parte di una botnet) o, nel caso delle Apt (Advanced Persistent Threat), conducono, in modo paziente, i loro attacchi mirati verso utenti e risorse mirate. Last but not least, oggi molta attenzione viene posta non solo ai tentativi di frode perpetrati dall’esterno dell’azienda, ma anche a quelli che possono verificarsi ad opera di personale interno.
Un’architettura di security data-centric e inside-out
L’approccio alla sicurezza tradizionale basato quindi tra definire “trusted” le reti interne e “untrusted” quelle esterne è da archiviare, secondo John Kindervag, un senior analyst di Forrester che negli ultimi due anni ha fatto molto parlare di sé con la sua proposta di una Zero Trust Network Architecture (Ztna). Si tratta di un nuovo approccio alla progettazione di network enterprise che parte dal concetto che ormai applicazioni, utenti, tipi di dispositivo e tipi di accesso (wired, wireless, Vpn) sono perennemente “cangianti”, mentre l’unica cosa che resta costante è il dato. In altre parole, nella Zero Trust Network Architecture non si decide se un pezzo di rete è trusted o untrusted, e in base a questo si aggiungono e configurano molteplici dispositivi di sicurezza, ma si adotta un approccio data-centric.
Al cuore della Ztna, quale suo componente chiave, c’è un nuovo tipo di tecnologia che Forrester definisce Network segmentation gateway (Sg). Per dare un’idea immediata, ma non esaustiva, di come funziona un segmentation gateway, Kindervag ricorre all’esempio di un Utm (Unified threat management). Anche il segmentation gateway si configura come una scatola nera, che però non si limita a fornire funzionalità quali antivirus, antispam e content filtering, ma anche capacità di data loss prevention, intrusion prevention, network access control, Vpn, crittografia. Per poter svolgere queste funzioni, il segmentation gateway – le cui funzioni, oggi possono essere svolte da firewall di nuova generazione di alcuni vendor – si pone esso stesso al centro del network, prendendo di fatto il posto finora ricoperto dagli switch fabric.
In un tradizionale network gerarchico, lo switch fabric interconnette i distribution switch (ai quali, a loro volta, sono connessi gli access switch, quelli più vicini agli utenti finali) e si interfaccia con l’”edge”, cioè il router che gestisce la comunicazione fra il network aziendale e un backbone, sia esso di tipo campus o Wan (Wide area network). In un approccio di network security tradizionale, fra lo switch fabric e l’edge vengono inseriti un firewall e un intrusion prevention system (Ips). Altri strumenti di security (antispam, web content filtering, web application firewall, Vpn etc.) sono installati “intorno” allo switch fabric. Altri ancora, quindi, sono previsti in base al bisogno in coincidenza con i distribution switch e gli access switch. Già da questo affresco appare chiaro quanto sia difficile gestire in modo efficace ed efficiente le configurazioni di tutti questi tool.
La sicurezza al cuore del networking
Il segmentation gateway va a sostituire lo switch fabric. Si assiste così a un cambiamento paradigmatico nel rapporto fra security e networking, perché uno strumento di sicurezza – il segmentation gateway – diventa il cuore del network, che da questo momento in poi si può definire “security centric”. Con il segmentation gateway, invece che avere uno switch fabric e una tradizionale rete gerarchica, sui quali viene calata un’infrastruttura di sicurezza (figura 1), implementando così un modello di security “outside-in”, abbiamo un sistema con molte funzioni di security al centro delle attività di switching. Il modello di sicurezza che è così reso possibile è di tipo “inside-out”. Il segmentation gateway, oltre a svolgere le operazioni di messa in sicurezza dei traffici di dati, è esso stesso un motore di “packet forwarding” (figura 2) e svolge questa attività sulla base di una segmentazione (di qui il termine “segmentation”) delle aree delle reti It che devono condividere specifiche policy di sicurezza. Queste policy, quindi, non vengono gestite e implementate agendo su dispositivi di sicurezza dislocati in punti specifici di un network gerarchico, ma direttamente sul segmentation gateway, con conseguenti vantaggi in termini di agilità di management e ottimizzazione dei costi della sicurezza. Sempre dal segmentation gateway possono essere quindi copiati tutti i dati in transito, al fine di ispezionarli e registrarli (logging). Queste due attività – come sarà spiegato più avanti – permettono l’adozione automatica di contromisure contro minacce conosciute o nuove, nonché facilitano l’attività di rilevamento e analisi (forensics) di eventuali attacchi o frodi dall’esterno o dall’interno dell’azienda.
I componenti del Zero Trust Network
Ma andiamo per ordine. Il componente-chiave della Ztna, ovvero il network segmentation gateway, deve la possibilità di essere stato concepito dai progressi e dalle riduzioni dei costi avvenuti negli ultimi anni nel campo dei processori per computer e per dispositivi di networking. Oggi, anche nei laptop, sono impiegati microprocessori che contengono più core, facilitando così l’esecuzione in parallelo di più applicazioni. Allo stesso tempo, attualmente i processori delle interfacce di rete, pur costando meno che in passato, sono in grado di supportare velocità di trasmissione molto maggiori. Il segmentation gateway fa leva su queste novità per riuscire a svolgere in modo parallelo e più rapido più processi di ispezione dei traffici dei dati e a comunicare in modo altrettanto rapido con le aree definite attraverso la già citata segmentazione. Un aspetto chiave del network segmentation gateway è la disponibilità di un numero elevato di interfacce di rete da 10 GbE (gigabit Ethernet) verso ciascun segmento. Come è facile immaginare, l’infrastruttura di networking viene in questo modo estremamente semplificata rispetto a un’architettura gerarchica a più livelli. Ciò si aggiunge, ovviamente, alla già ricordata semplificazione derivante dall’avocazione di quasi tutte, se non tutte, le attività finora svolte da multipli sistemi di sicurezza, all’interno del segmentation gateway.
Il secondo componente importante è quello che Forrester chiama “Microcore and perimeter” (Mcap) (figura 3). Ciascun Mcap è connesso al network segmentation gateway attraverso una specifica interfaccia di rete di quest’ultimo e rappresenta una zona di switching dove le risorse collegate condividono funzionalità e policy globali di sicurezza simili. Questo permette a ciascun Mcap di implementare le misure di sicurezza necessarie a ottemperare a specifiche necessità di compliance. Un esempio tipico è quello dello standard Pci (Payment card industry) cui devono ottemperare le reti su cui transitano dati legati ai possessori di carte di credito (Credit card holder data, Chd). Oltre a offrire un supporto “by default” alle compliance in genere, i Mcap offrono vantaggi anche per la messa in sicurezza di ambienti virtualizzati. Molte regolamentazioni, oggi, impongono segmentazioni molto rigide delle reti, ma la virtualizzazione e la segmentazione non sempre vanno d’accordo fra loro. La virtualizzazione necessita di reti di tipo Layer 2 su cui la movimentazione di virtual machine (Vm) può avvenire in modo più semplice. Ma se una Vm che deve aderire a una certa regolamentazione si appoggia ad una parte del network sbagliata, l’azienda corre il rischio di non essere compliant. La Zero Trust Network Architecture consente di creare Mcap Layer 2 specifiche per determinati tipi di Vm e completamente segmentate rispetto al resto della rete.
La sicurezza entra nel Dna della rete aziendale
Un terzo componente chiave è il management centralizzato (centralized management). In un fabric switch tradizionale, di solito costituito da più switch consolidati in un unico chassis, è presente il cosiddetto backplane, che ha la funzione di interconnettere ad alta velocità questi switch e consentirne la gestione da un'unica console. Dato che nella Zero Trust Network Architecture è il network segmentation gateway il cuore del sistema, si ha quindi un backplane che non solo gestisce i flussi di dati fra le varie porte al alta velocità, ma consente anche di gestire centralmente tutti i device di networking e di sicurezza ulteriori presenti all’interno di ogni singolo Mcap. La sicurezza, insomma, entra nel Dna del network. Il management centralizzato, inoltre, consente una notevole riduzione del tempo da dedicare alla configurazione dei dispositivi di rete e di networking dedicati a ciascuna area dell’ambiente It e pone le basi per un nuovo modo di collaborare fra esperti di Infrastructure and Operation e di sicurezza, facilitando la condivisione degli obiettivi e delle soluzioni fra due professionalità che spesso si trovano a dover mediare.
Il quarto componente è rappresentato dal Data acquisition network (Dan). Alla base del Dan vi sono due tipi di tool: il Security information management (Sim) e il Network analysis and visibility (Nav). Insieme, consentono di avere sempre una visione aggiornata della rete (Nav) e di ispezionare e loggare tutti i dati. Questo componente, che rappresenta uno specifico Mcap (figura 4) controlla tutto il traffico che passa sulla rete e fornisce le informazioni necessarie per prendere decisioni e assumere azioni in modo automatico o manuale.
Riassumendo, la Zero Trust Network Architecture consente di rendere più sicura una rete aziendale a partire dai dati, semplifica e aumenta l’agilità della gestione delle policy, supporta al meglio le compliance e le esigenze di security della virtualizzazione, è scalabile (è sufficiente aggiungere nuove porte al segmentation gateway e nuovi Mcap) e permette di ottenere una segmentazione così efficace da renderla ideale per gli ambienti cloud multitenant. Forrester sottolinea che al momento non è possibile individuare un vendor in grado di fornire una soluzione Ztna completa, ma che si può iniziare a implementare un’architettura di questo tipo ricorrendo a soluzioni già disponibili sul mercato in grado di offrire le funzionalità caratteristiche di un determinato componente Zero Trust Network. Infine, come sempre, è raccomandabile iniziare a implementare questo modello a partire da progetti pilota, utilizzando così una Ztna per integrare un network gerarchico legacy (figura 5) prima di pensare a sostituirlo in modo definitivo.