L’esplosione dell’utilizzo di Internet, l’adozione nelle aziende di suite gestionali integrate che hanno centralizzato applicazioni fino a poco tempo prima isolate, l’informatizzazione crescente di processi distribuiti sul territorio, la convergenza sempre più necessaria tra le infrastrutture fisse e i device mobili e wireless, la sofisticazione crescente degli attacchi dei cyber criminali. Sono solo alcuni dei principali fenomeni che, nel corso degli ultimi dieci o quindici anni, hanno cambiato la fisionomia e il modo di funzionare del networking. Da semplici “tubi” destinati a connettere terminali “stupidi” con i mainframe, per lo svolgimento di poche ma molto importanti e protette applicazioni mission-critical, nel recente passato le reti hanno subìto una serie di innovazioni di ruolo, costringendo le aziende ad assumere esperti di networking specializzati nell’architettura e nella gestione operativa di diverse tipologie di connettività, fino ad arrivare all’esigenza di skill in grado di gestire una crescente integrazione e la creazione di infrastrutture “multipurpose” capaci di trasportare diversi tipi di traffici e connettere le più disparate risorse hardware (pc, server, storage, apparati di networking, telefoni Ip etc.) e software (sistemi Erp, Crm, di comunicazione e collaborazione). Pur nello sforzo di integrare e ottimizzare il più possibile, nelle organizzazioni che hanno deciso di non rinunciare all’adozione di innovazioni tecnologiche che promettevano di aumentare il vantaggio competitivo, la produttività e l’efficienza economica, sono così spesso proliferate infrastrutture non sempre in grado di garantire un’elevata disponibilità dei dati, delle applicazioni e delle modalità di comunicazione, nonché complesse da manutenere e da gestire. Ultimo aspetto, ma non meno importante, queste reti si sono rivelate sempre più spesso piene di “buchi” nella sicurezza facilmente sfruttabili dai sempre più sofisticati e ibridi attacchi dei cyber criminali e da incursioni non autorizzate da parte di dipendenti infedeli.
Ripensare le rete aziendale
Spinte dalla necessità di ottemperare alle normative che impongono determinate misure di sicurezza e da quella di contenere i costi di capitale e operativi, oggi le imprese non possono fare a meno di ripensare le proprie infrastrutture di rete.
Anche nel settore del networking e della sicurezza aumenta la frequenza con cui ricorrono termini quali automazione, virtualizzazione, provisioning as-a-service, on demand e basato sul cloud computing. Tutte queste nuove funzionalità implicano che sulle reti, che finora sono stati insiemi piuttosto rigidi, poco scalabili e sempre più complessi di cavi e apparati (switch, router, access point, appliance di sicurezza) venga riversata sempre maggiore intelligenza. Intelligenza che, come fanno sottolineare alcuni esperti, si può intendere a due livelli: il primo è a livello infrastrutturale, ovvero quello degli apparati (gli stessi citati precedentemente) che gestiscono gli accessi dei client, gli snodi dei network, l’interfaccia con i server e con i sistemi di storage; il secondo è sul piano architetturale, che implica la capacità di ragionare e progettare con un maggiore livello di astrazione, avendo in mente più le applicazioni, i servizi, gli obiettivi di business che i bit e i protocolli.
Entrambi i tipi di intelligenza, quello legato all’ingegnerizzazione delle reti e degli apparati, e quello del design complessivo dei network, devono ovviamente interagire. L’obiettivo è quello di rendere gradualmente le reti esistenti più semplici, sicure, flessibili, al servizio di un numero crescente di applicazioni diverse e, ovviamente, in grado di sostenere i volumi di traffico di diversi protocolli applicativi in aumento esponenziale. Sia per salvaguardare il più possibile gli investimenti già effettuati, sia per ridurre la necessità di acquistare nuove tecnologie solo per poter essere in grado di soddisfare le necessità di picchi imprevedibili di traffico di comunicazione e di domanda applicativa, ecco quindi che lo sforzo va indirizzato a individuare quelle nuove soluzioni “con intelligenza incorporata” in grado di rendere le reti sempre più capaci di autogestire problematiche come il bilanciamento dei carichi di lavoro su diverse risorse, di fornire informazioni in tempo reale ai sistemi di controllo centralizzati del networking e della sicurezza, di essere configurate e aggiornate da remoto (in modo automatico, laddove possibile), e di garantire il massimo della sicurezza proattiva, richiesto oggi anche dalle nuove normative in vari settori (prima fra tutte la Pci Dss, che riguarda tutte le reti che supportano pagamenti elettronici).
Per essere in grado di gestire al meglio i carichi di lavoro determinati dall’aumento delle applicazioni (Erp, Crm, supply chain management, ma anche Unified communication e tutti i nuovi strumenti del Web 2.0) è necessario che sulla rete siano presenti strumenti di load balancing e di application delivery in grado di riconoscere non più solo i protocolli di comunicazione quanto quelli applicativi veri e propri, e di indirizzare i relativi traffici direttamente alle risorse server e storage – fisiche o virtualizzate – più disponibili, attraverso i percorsi di rete che permettono in quel momento la maggiore disponibilità di banda. Siccome questa non può comunque essere aumentata a dismisura, gli apparati di rete intelligenti devono essere in grado di definire diverse priorità ai differenti traffici applicativi – in un ottica end-to-end e comprendendo sia quelli che si verificano all’interno della Lan aziendale sia quelli che coinvolgono l’uso di Wan, fisse e wireless, e del Web – e ai diversi utenti (in base al loro riconoscimento, in sinergia con le soluzioni di Identity e Access Management, e all’individuazione di eventuali policy che differenziano gli Sla, Service level agreement). In questo contesto è necessaria l’integrazione degli apparati con i sistemi di Business service management e la diffusione dell’uso di best practice, in particolare quelle previste nelle librerie Itil (Information Technology Infrastructure Library).
Sicurezza: funzionalità critica
Reti sempre più automatizzate, aperte verso l’esterno (si parla di eliminazione dei perimetri), e destinate a supportare molteplici tipologie di traffici e utenti, impongono che l’intelligenza sia estesa, oltre a garantire la scalabilità e l’affidabilità, alla sicurezza. Anche in questo caso è auspicabile una graduale sostituzione di tecnologie che svolgono solo determinati compiti e che in futuro saranno sempre meno aggiornabili, con altre di nuova generazione, capaci di integrare più funzioni contemporaneamente, esercitarle in modo automatizzato e collegabili e monitorabili da sistemi centralizzati di gestione della sicurezza (i Sim, Security Information Management), da quelli di It service management e da quelli di gestione dell’identità (Iam, Identity e Access Management).
Last but not least, i Cio dovrebbero puntare a ridurre il gap tra gli skill attualmente esistenti (vedi "Colmare lo skill gap") e quelli richiesti per gestire reti che sono sempre meno mere infrastrutture per trasportare pacchetti di dati, ma sempre più piattaforme di integrazione di applicazioni business e di comunicazione/collaborazione eterogenee. Infrastrutture che giocano un ruolo crescente anche ai fini dell’ottemperanza alle normative, prima fra tutte la Pci Dss (Payment Card Industry Data Security Standards), che impatta su tutti i processi che implicano l’utilizzo dei pagamenti elettronici. I nuovi architetti, ingegneri e gestori delle reti – si ricava leggendo, per esempio, diversi studi pubblicati recentemente da Forrester – devono adottare una prospettiva che parta prima di tutto dalle esigenze di sicurezza delle applicazioni. Un concetto diverso da quello di semplice sicurezza perimetrale, tanto più ora che le reti si avviano a diventare sempre più senza perimetro definito, perché integrate in diversi modi con quelle di partner, clienti, con il Web e con le reti fisse e mobili. E, tutto questo, sia in modo tradizionale, gestito cioè con risorse installate in azienda (on-premise), sia in modo innovativo, attraverso lo sfruttamento di infrastrutture e applicazioni –as a service, fino ad arrivare al cloud computing.
In un suo report, Forrester lo dice chiaramente: “Oggi la sicurezza rappresenta la funzione più critica nel disegno di una rete”. In un altro afferma: “Esiste un’intersezione tra la sofisticazione degli attacchi contro le risorse aziendali e la complessità delle attuali architetture di rete e di sicurezza. Questo conduce alla necessità di una visione più strategica della sicurezza. L’ingresso di organizzazioni criminali altamente sviluppate nel cybercrimine richiede una mitigazione più sofisticata dei rischi connessi agli attacchi alle reti”. Forrester sottolinea come gli attacchi oggi siano diventati più complessi e non sia più sufficiente la cultura della sicurezza che si è sviluppata quando dovevano essere affrontate minacce più semplici come i work e i virus. In questo contesto, “la comunità dei vendor di sicurezza ha già sviluppato risposte chiare a questi tipi di attacchi. Sfortunatamente, molte aziende sono diffidenti rispetto alle soluzioni che bloccano il traffico sui propri network perché temono ripercussioni negative anche sul traffico buono e autorizzato. Questo timore è infondato. Le aziende che hanno implementato più innovativi sistemi di controllo riportano minimi blocchi di traffico falso positivo”, sostiene Forrester.
Un altro elemento che rende sempre più vulnerabili le aziende ai nuovi tipi di attacchi portati dai cybercriminali è, oltre al timore nell’adottare tecnologie proattive, la scarsa visibilità che i team della sicurezza hanno su quello che avviene in tempo reale sulle reti d’impresa. Sempre secondo Forrester, alcune aziende contemplano addirittura questa scarsa visibilità nei loro piani di risk management. La ragioni principali per cui non si impegnano ad aumentare la capacità e la velocità di individuare i punti deboli delle proprie reti sono legate ai budget. Secondo la società di analisi, comunque, le organizzazioni saranno sempre più obbligate a integrare tecnologie che permettono di identificare in tempo reale i “soft spot” delle reti con i sistemi Sim, per creare cruscotti di sicurezza real-time.
L’evoluzione delle tecnologie
La proattività delle tecnologie di sicurezza distribuite sulla rete e la predisposizione di sistemi di monitoraggio e gestione centralizzata di questi dispositivi rappresentano due aspetti di come le reti – dal punto di vista della security – stiano diventando sempre più intelligenti. In alcuni casi, anche tecnologie di sicurezza con funzioni specifiche, e non necessariamente proattive, implementate da tempo sulle reti, possono essere valorizzate grazie al controllo remoto. La figura 1 illustra l’evoluzione delle tecnologie di sicurezza di rete prevista da Forrester.
Figura 1 – Tech Radar
(cliccare sull'immagine per visualizzarla correttamente)
Un esempio citato da Forrester è quello dei firewall. Si tratta di dispositivi tra i primi a essere stati introdotti e adottati sul mercato, in versione sia hardware sia software, con la diffusione dell’accesso a Internet. I nuovi strumenti di firewall auditing permettono di automatizzare il processo di aggiornamento delle regole di sicurezza dei firewall e dei router. Utilizzando algoritmi sofisticati – spiega Forrester – questi strumenti raccolgono le informazioni di configurazione e i log dei firewall distribuiti su una rete e individuano le regole insicure, non utilizzate, in conflitto e ridondanti. Gli stessi strumenti possono essere utilizzati per modificare i file di configurazione in modo che i set di regole dei firewall siano più sicuri ed efficienti.
Una tecnologia che riscuote un crescente successo in un’ottica di aumento dell’intelligenza della rete è quella degli Ips (Intrusion Prevention System). A differenza degli Ids (Intrusion Detection System), gli Ips non solo identificano in tempo reale gli attacchi, ma sono in grado di proteggere in modo proattivo i dati critici e sensibili e possono immediatamente fermare gli attacchi, adottando opportune contromisure, sulla base di policy prestabilite. Gli Ips sono inoltre facilmente gestibili da remoto. Si tratta di un mercato già maturo, che si è sviluppato grazie alla crescente apertura delle reti verso l’esterno. Secondo Forrester, una possibile evoluzione di queste tecnologie nei prossimi anni è la loro trasformazione in appliance si sicurezza ad alta velocità che incorpora sistemi correlati come Web application firewall (Waf) e data link prevention (Dlp). I Web application firewall mirano a mitigare i rischi di attacchi centrati sul Web. La loro adozione ha ricevuto un importante impulso dopo che il Pci Dss ne ha previsto l’implementazione, a fronte di processi di pagamento elettronico basati sul Web, nel 2008. Finora la loro gestione è risultata complessa, dato il frequente bisogno di revisione dei codici sorgenti. Forrester prevede però che in futuro i Web application firewall diventeranno più automatizzati, scalabili e facili da usare. E, come abbiamo già detto, diverranno sempre più spesso funzionalità incluse in altri dispositivi di rete come firewall di rete, Ips, proxy e load balancer.
Un’altra tecnologia che la società di analisi vede in fase di crescita è quella dei Wireless Ids Ips. Anche in questo caso un impulso rilevante verso l’adozione è arrivato dalla normativa Pci. I Wireless Ids Ips analizzano tutti i traffici che avvengono nell’etere intorno a una rete Wi-Fi. La migrazione della connettività da fissa a wireless ha consentito ai cybercriminali di sviluppare nuovi tipi di attacchi. I Wireless Ids Ips sono in grado di individuare i tentativi di accesso alle reti Wi-Fi via radiofrequenza esattamente come gli Ips lo fanno rispetto alle reti fisse. Anche questa tecnologia, in futuro, potrebbe essere sempre più integrata in altre soluzioni wireless.
La ricerca di proattività e intelligenza nella sicurezza, infine, promette di dare nuova vita alla tecnologia Nac (Network Access Control). La funzione base più diffusa dei Nac è il controllo dell’accesso e dell’uscita degli utenti da una rete sulla base di policy di identificazione. In un’ottica di automazione, una feature importante che può essere presente è l’Automated remediation, una funzionalità che aiuta gli utenti autorizzati ad accedere alla rete anche se falliscono un determinato check di compliance; il tutto sulla base di policy prestabilite, senza dover ricorrere al personale It; il workflow di client management è completamente trasparente all’utente. Un’altra importante funzionalità innovativa è la gestione, tramite un portale, dell’accesso a utenti “ospiti”, come consulenti, fornitori o clienti. Un’altra ancora è la capacità di identificare, ed eventualmente mettere in quarantena, dispositivi che presentano un comportamento strano, come access point, dispositivi mobili, router e switch non appartenenti all’azienda. Diverse le innovazioni interessanti della tecnologia Nac. Tra le principali si segnala il supporto alla virtualizzazione: un Nac può agire come appliance virtualizzata, effettuare lo scanning di virtual machine offline e controllare l’attività dell’hypervisor. Tra le altre spicca anche l’integrazione con i sistemi Iam all’insegna di una sempre maggiore sinergia tra tecnologie che mirano a rendere più agili, semplici da usare ma sicure le infrastrutture di rete su cui viaggiano ormai le applicazioni più vitali per un’azienda.
Leggi anche "Reti application centric: i pareri dei vendor"