Who's Who
Technology HowTo
È buona pratica, nella sicurezza informatica, fare in modo che le informazioni e le risorse critiche della propria organizzazione siano messe al riparo da attacchi, violazioni dell’integrità, o sottrazioni di dati, predisponendo nell’infrastruttura di rete un sistema di difesa multivello.
In analogia con il concetto di ‘defence in depth’, o difesa in profondità, di derivazione militare, diversi livelli e controlli di sicurezza sono consigliabili, perché costringono l’attaccante a dover sfondare diverse barriere prima di riuscire a penetrare e compromettere la rete che ha preso di mira. Di questo insieme di misure deterrenti, in grado di restringere gli spazi di manovra di hacker e pirati informatici, dovrebbero far parte anche strumenti di difesa come il sistema di rilevamento, o di prevenzione, delle intrusioni: in inglese, rispettivamente, IDS (intrusion detection system) o IPS (intrusion prevention system). Sistema utile a condizione, naturalmente, di essere ben configurato, e posizionato in modo opportuno nell’infrastruttura di security.
Posizionamento dei dispositivi
Sia un IDS, sia un IPS analizzano il traffico di rete, confrontando i pacchetti, o le serie di pacchetti, con le ‘firme’ di traffico sospetto o malevolo contenute in un database, e verificano se vi sono corrispondenze. Nel caso in cui una firma corrisponda, l’IDS invia un allarme, mentre l’IPS è anche in grado di filtrare e bloccare i pacchetti, prima che entrino nel sistema. Il monitoraggio e l’analisi del traffico di rete diventa tuttavia più complesso quando eseguito all’interno di un’infrastruttura cloud di terze parti, per cui, estendere i controlli di un IDS o di un IPS in questo ambiente richiede maggiori accorgimenti.
Innanzitutto il traffico di rete analizzato dall’IDS o IPS deve essere pertinente rispetto alle firme memorizzate nel database, perché è inutile ispezionare pacchetti, ad esempio, per un attacco WordPress conosciuto, se poi questo servizio non esiste all’interno della rete.
Un aspetto particolarmente critico riguarda poi il corretto posizionamento del dispositivo. Tradizionalmente, la pratica diffusa è stata collocare almeno un device, dotato di un ampio insieme di firme, direttamente dietro il firewall perimetrale verso Internet, e di posizionarne diversi altri, con solo un ristretto e personalizzato set di firme, tra differenti DMZ (demilitarized zone) interne o segmenti di LAN, per coprire potenziali flussi di traffico a livello laterale. Nelle implementazioni di cloud puro o ibrido occorrerà posizionare i dispositivi in modo corretto, per accertarsi che venga coperto tutto il traffico pertinente, incluse le comunicazioni intracloud.
Servizi di sicurezza di terze parti
Un altro utile aspetto da considerare è che i maggiori fornitori di servizi cloud, come Amazon e Microsoft, sono in grado di offrire alle imprese i loro servizi di security come integrazioni dei propri prodotti di piattaforma cloud. Questi spesso includono servizi IDS e IPS su appliance virtuali preconfigurate. Naturalmente, per l’azienda utente è anche possibile spingersi oltre, acquisendo in outsourcing applicazioni SIEM (security information and event management) ‘as-a-service’ o, addirittura, avvalersi di un SOC (security operation center) completo di terze parti. Nel caso in cui, invece, l’impresa abbia l’esigenza di adottare prodotti più tradizionali, o necessiti di maggior controllo, esiste sempre la possibilità di posizionare un dispositivo di proprietà dell’utente nel cloud pubblico, e di gestirlo via protocollo SSH (secure socket shell) o HTTPs, attraverso un sistema di amministrazione.
Punti critici di presidio
Anche negli ambienti di cloud ibrido i sistemi IDS e IPS gestiti dall’utente sono comunque richiesti per coprire il traffico di rete locale e quello tra i siti WAN (wide area network) non cloud. Il punto più critico da presidare è il gateway tra gli endpoint della rete locale e i punti di terminazione della rete cloud. Infatti da qui è possibile ispezionare tutto il traffico locale che va e viene dall’infrastruttura cloud, e che di norma contiene informazioni pertinenti a molti servizi critici. In aggiunta, è consigliabile anche analizzare il traffico tra i segmenti di rete locale e i siti VPN (virtual private network) o WAN, per rilevare e prevenire tentativi di attacco laterali da parte degli hacker.
Un ultimo aspetto da tenere presente riguarda la gestione della notevole mole di dati che, una volta attivato, il sistema IDS o IPS è in grado di generare, monitorando il traffico in tutti i punti di ingresso e di uscita della rete. Questi dati vanno raccolti e memorizzati per poi alimentare applicazioni di analisi come quelle SIEM. Qui, a seconda dell’architettura di rete, il punto di acquisizione e storage dei dati può essere previsto nel cloud, oppure on-premise, all’interno del data center dell’impresa. In ogni caso, tuttavia, non va mai dimenticato il rilevante consumo di banda richiesto per portare i dati fuori e farli migrare nella piattaforma cloud.