L’uso aziendale dei servizi di sicurezza degli endpoint nel cloud assicura il vantaggio immediato della riduzione del Costo Totale di Possesso (TCO), eliminando la necessità di implementare e configurare un server di gestione on-premise. Purtroppo, però, alcune offerte di sicurezza cloud-based forniscono funzionalità limitate e piuttosto “primordiali”, cosa questa che può far pendere la bilancia del TCO verso la direzione sbagliata. Quando si valutano i servizi di sicurezza degli endpoint basati su cloud, ricordatevi di non dare mai per acquisito il fatto che una funzionalità disponibile su un prodotto on-premise sia presente anche all’interno della “nuvola”.
Questo articolo fornisce una guida per la valutazione delle funzionalità dei servizi di sicurezza degli endpoint cloud based e, in particolare, esamina tutti gli aspetti da tenere presenti relativamente al deployment, agli alert e alle attività di reportistica. Il confronto si basa sull’esperienza di The Tolly Group, che ha di recente costruito cinque prototipi di deployment utilizzando i servizi offerti da cinque vendor di sicurezza nel cloud piuttosto noti.
Funzionalità di deployment
Se il rollout di un sistema di sicurezza degli endpoint copre un intero building o solo alcuni nuovi utenti, la flessibilità e la semplicità di implementazione sono sempre ipotetiche. Quando il sistema di gestione è esterno all’ambiente aziendale, come nel caso della sicurezza cloud-based, il processo di deployment necessariamente cambia. Mentre un’implementazione è, per definizione, un compito che richiede adeguamenti di volta in volta, lo sforzo di tuning può essere significativo specie per una grande installazione, quindi è prudente esaminare da vicino tutte le attività di installazione.
La differenza fondamentale tra le distribuzioni degli endpoint tradizionali e quelle cloud-based ha a che fare con il fatto che, con un servizio erogato via cloud, gli endpoint sono in una rete privata interna e il server di gestione è su una rete esterna pubblica. Poiché gli endpoint aziendali senza dubbio dovranno essere collocati idealmente dietro il firewall (e quasi certamente all’interno di un indirizzo IP privato), la comunicazione tra server e client gestito deve essere avviata dal client.
La ricerca di The Tolly Group ha scoperto che tre sono i principali metodi di installazione in uso oggi: un pacchetto di installazione del software, un URL di installazione attraverso il quale il software viene scaricato e una macchina gateway. I primi due metodi sono avviati dal client, che richiama l’agente e i file necessari per la sicurezza degli endpoint dal server. L’ultimo metodo, invece, “spinge” l’agente e il relativo software dal server (tramite un sistema di gateway situato all’interno del firewall) al client.
Come minimo, quindi, un deployment basato sul cloud richiede almeno una singola installazione “pull” di un client finale, anche se un fornitore offre opzioni automatiche di tipo “push”. Questo perché un’installazione di tipo push richiede un computer locale, che serve come un gateway di collegamento tra il server di gestione esterno della nuvola e i client interni che vengono spinti verso il servente.
Tuttavia, nella valutazione di The Tolly Group, solo uno dei cinque servizi esaminati lavorava con l’opzione “push”. Il modo più semplice per installare l’agente endpoint è quello di utilizzare la console di gestione per inviare attraverso una e-mail l’URL di installazione all’endpoint dell’utente finale. L’URL e il programma di installazione utilizzati nel metodo “pull” sono codificati con l’ID di sicurezza cloud dell’azienda cliente. Questa associa automaticamente il client con il server di gestione della sicurezza cloud del cliente.
Il sistema “push” consente l’installazione senza l’interazione dell’utente. È sufficiente individuare il computer di destinazione dai nomi e dagli indirizzi IP visualizzati sulla console di gestione e, quindi, fornire le credenziali che possono essere utilizzate dalla procedura di installazione automatizzata per loggarsi all’endpoint.
Le funzionalità di alert
Le condizioni di allerta tipiche includono il rilevamento delle minacce, quello di una URL bloccata, le definizioni dei virus out-of-date e così via. Sorprendentemente, The Tolly Group ha trovato che alcuni servizi offrono un supporto limitato o nullo relativamente alla funzionalità di avviso.
Invece di compiere analisi in tempo reale, i responsabili della sicurezza devono poter fare affidamento sui report generati dai sistemi di allarme. L’allarme è una caratteristica importante, in quanto gli amministratori non possono essere alla console 24x7x365 e un’impresa dovrebbe garantire non solo di essere in grado di offrire un certo servizio, ma anche che il servizio offerto funzioni bene.
Una volta completata l’installazione, occorre iniziare a occuparsi delle funzionalità di avviso, che consentono a un amministratore di essere immediatamente informato sui potenziali problemi di sicurezza. Oltre a visualizzare gli avvisi sulla console di gestione e amministrazione del prodotto, la maggior parte delle offerte di sicurezza degli endpoint basate su cloud consentono di notificare avvisi sugli allarmi registrati attraverso la posta elettronica o gli SMS.
I rapporti di sicurezza
I requisiti dei report sono abbastanza prevedibili. I responsabili della sicurezza in genere vogliono avere a disposizione con tempestività gli elenchi delle minacce rilevate, dei dispositivi infetti, capire chi ha tentato l’accesso a siti web bloccati e via dicendo. Così, è stato sorprendente notare che tre dei cinque servizi analizzati non forniscano alcuna tipologia di report predefiniti. Mentre la generazione manuale di questi rapporti non è un grande onere, il fatto che questi grandi provider di servizi cloud non avessero pensato a sviluppare un elenco di layout di report-base da utilizzare come template riflette la generale mancanza di profondità, in termini di funzionalità, che The Tolly Group ha denunciato.
Prima di procedere con un’implementazione, assicuratevi quindi di definire accuratamente le esigenze relative alle funzionalità di alert e della reportistica relativa.
Ci sono dei template che è possibile utilizzare da subito? A cosa servono? Premuratevi sempre di sottoporre queste domande ai vostri fornitori prima di stilare il contratto, per cercare di riuscire a ottenere tutte queste funzionalità senza costi aggiuntivi.
