I pacchetti di rete sono costituiti dalle intestazioni (headers) che permettono di instradare il traffico verso la destinazione e nei modi corretti, e i dati che costituiscono il carico utile (payload).
I tradizionali controlli di sicurezza sfruttavano le intestazioni per filtrare i contenuti malevoli bloccando gli indirizzi IP e le porte. I moderni strumenti di sicurezza, come la maggioranza dei sistemi per il rilevamento o la prevenzione delle intrusioni o i next-generation firewall, invece analizzano i dati inclusi nel pacchetto per identificarne il contenuto.
Questo approccio denominato Deep Packet Inspection (DPI) rappresenta una componente essenziale di un ambiente sicuro e si presta anche alla protezione degli ecosistemi cloud, che spesso accessibili attraverso internet, sono soggetti a una pluralità di attacchi.
Problematiche di privacy e sicurezza
Tuttavia, la Deep Packet Inspection solleva numerose questioni in materia di privacy. I dati all’interno dei pacchetti possono contenere qualsiasi tipo di informazione, ad esempio anche le password e i token di autenticazione, che non sono sempre criptati.
Inoltre, negli ambienti cloud, l’implementazione della Deep Packet Inspection si rende più complicata: i provider difficilmente consentono l’accesso al traffico di rete all’interno delle loro piattaforme multi-tenant; inoltre, il traffico viene incapsulato per separare i flussi dei clienti e di gestione, rendendo inefficaci le tecniche di rilevamento.
Come gestire la Deep Packet Inspection in ambienti cloud
Come procedere allora alla corretta implementazione della Deep Packet Inspection sul cloud pubblico?
Innanzitutto, è possibile ricorrere alle soluzioni specifiche dei vendor, che includono l’approccio Deep Packet Inspection. Ad esempio, le piattaforme per la gestione della sicurezza unificata, combinano i next-generation firewall con funzionalità per il rilevamento delle intrusioni e visibilità fino al Layer 7 (il “livello di applicazione” nel modello Osi per la progettazione delle reti) indispensabile per la Dpi. Questa opzione ha il beneficio di semplificare le operazioni di implementazione e gestione.
Un’alternativa è rappresentata dai prodotti basati su agenti che girano sugli endpoint del cliente. Gli endpoins non solo elaborano il traffico di rete, ma possono anche inoltrare una copia del traffico grezzo selezionato a un sistema di security monitoring. Il vantaggio consiste nella possibilità di aggirare le problematiche legate alla crittografia (ad esempio, in caso di protocolli Tls), perché gli enpoint possono vedere gran parte dei dati in una forma non criptata.
Un’ultima opzione prevede l’impiego di un Tap (Terminal Access Point) di rete virtuale che permette di instradare in un flusso continuo il traffico di rete verso qualsiasi sistema di monitoraggio e analisi: ad esempio, una soluzione per il rilevamento delle intrusioni, un sensore NetFlow o una sandbox.
L’implementazione nel cloud della insomma Deep Packet Inspection non deve essere necessariamente complicata, ma dipende piuttosto dai controlli richiesti nel caso specifico. A volte sono sufficienti le funzionalità Dpi incluse nelle soluzioni dei vendor, in altre situazioni bisogna procedere a valutazioni più approfondite per evitare brutte sorprese.