Con l’utilizzo crescente delle applicazioni web da parte degli utenti aziendali sono stati sviluppati i Secure Web Gateway (SWG) che inglobano tutta una serie di funzionalità e che tradizonalmente vengono forniti come appliance on premise. Prima di approfondire la disponibilità di queste funzionalità come servizi cloud, vediamo brevemente quali sono le caratteristiche di un SWG.
Cosa sono i Secure Web Gateway
I Secure Web Gateway hanno delle caratteristiche peculiari rispetto ad altri sistemi di sicurezza IT implementati da più anni nelle aziende, quali gli UTM (Unified Threat Management, tipicamente appliance che integrano più funzionalità di IT security), gli IPS (Intrusion Prevention Systems), i Next Generation Firewall (NGFW, che al firewalling tradizionale, basato sull’abilitazione o il permesso di usare porte, e quindi applicazioni ad esse associate, sulla base di policy definite per azienda, gruppo, o utente, aggiungono anche feature di controllo applicativo basato sulla Deep Packet Inspection, DPI, e di anti-intrusione).
Se è vero che oggi è possibile trovare soluzioni di sicurezza dei tipi precedentemente citati che includono una o più funzionalità SGW, più spesso i Secure Web Gateway sono proposti dai vendor come soluzioni ben specifiche, che in misura maggiore o minore possono includere dalle funzionalità NGFW ad altre ancora più raffinate, come l’Advanced Threat Prevention (APT; tecnologie che prevengono attacchi con malware sofisticati o compiuti da hacker esperti nel furto di dati sensibili) o la Data Loss Prevention (DLP). Queste ultime mirano a individuare le possibilità che avvengano trasmissioni di dati confidenziali verso destinatari non autorizzati, monitorando tutto ciò che riguarda dati memorizzati stabilmente (at rest) o in movimento (in motion).
Per essere ancora più chiari, quando si parla di Secure Web Gateway può essere utile riferirsi ai criteri con cui Gartner include i candidati SWG in questa categoria. Devono possedere in maniera ottimizzata funzionalità di
- URL filtering (tecnica che limita l’accesso ai siti sulla base della loro reputazione);
- anti malware protection (protezione che va oltre a quella classica degli anti-virus, estendendosi al contrasto di malware più sfuggenti o evoluti: ransomware, spyware, spam e attacchi di phishing);
- funzionalità di application control (strumenti che impediscono l’utilizzo di applicazioni che possono mettere a rischio la sicurezza di un sistema IT;
- a questo fine applicano misure di controllo dei dati e del loro processamento dall’inizio alla fine, di identificazione degli utenti, di autenticazione e autorizzazione degli stessi, di controllo sui dati inseriti nelle applicazioni, etc.).
L’evoluzione dei SWG: dalle appliance alla fruizione in cloud. Perché conviene
Secondo il Gartner Magic Quadrant for Secure Web Gateways, pubblicato alla fine di novembre 2018, e che considera solo vendor con più di 20 milioni di dollari di fatturato e più di 3.000 clienti nel mercato SWG, nel 2017 il giro d’affari di queste aziende legato ai Secure Web Gateways è cresciuto del 16% rispetto al 2016, passando da 1,4 a 1,6 miliardi di dollari. Il picco più alto di crescita si è verificato nel 2010 (+23%), per assumere poi un trend più contenuto ma di stabile sviluppo. Forti differenze si avvertono però in base al tipo di delivery di queste soluzioni.
Nel 2017, sempre secondo Gartner, il 74% delle revenue è stato generato dalla vendita di appliance, contro il 26% legato invece ai servizi SWG cloud-based. I trend medi del quinquennio 2013-2017 mostrano però una crescita del 5% del giro d’affari delle appliance, che si confronta con il +32% di quello dei Cloud Secure Web Gateway.
Il maggiore sviluppo degli SWG on the cloud può, a nostro modo di vedere, avere più spiegazioni. Quattro possono essere:
- l’effetto traino della maggiore propensione ad adottare in generale i modelli public cloud, hybrid cloud e multicloud, al fine di sfruttare le opportunità offerte dai servizi SaaS (Software-as-a-Service), IaaS (Infrastructure-as-a-Service), e PaaS (Platform-as-a-Service);
- l’aggiunta, da parte di alcuni grandi vendor di networking e/o security, di servizi di SWG cloud-based a complemento delle analoghe soluzioni offerte in modalità appliance (fisica o software/virtuale);
- la nascita di vendor di security che, capitalizzando sul crescente favore delle imprese nei confronti del cloud, e sulla crescita dei due maggiori cloud pubblici (Amazon AWS e Microsoft Azure), hanno cominciato a sviluppare da zero offerte di sicurezza nativamente cloud-based, con le medie aziende nel mirino;
- la crescita della capacità di alcuni vendor di questo tipo di soddisfare, non solo le esigenze del midmarket, ma anche quelle di realtà enterprise. Spesso queste sono quelle che, oltre ad avere grandi sedi con data center connessi al web con potenti security gateway, hanno anche molti uffici periferici e utenti mobili il cui traffico internet si preferisce che sia protetto non da appliance costose e difficili da gestire remotamente e da “upgradare” onsite, ma da servizi di cloud security accessibili connettendosi all’ISP (Internet Service Provider) o carrier più vicino sul territorio.
Il SWG fornito in modalità DNS/proxy
I vendor di networking e/o security possono operare sia nel mercato delle appliance (da installare on-premises) sia in quello dei servizi cloud-based. Questi sono erogati da data center del vendor o, più spesso, di cloud service provider (CSP) con cui il vendor ha un accordo in grado di offrire la migliore performance all’utente finale. Tipicamente sono servizi gestiti in modalità DNS/Proxy-based. Il Domain Name System situato sulla parte della rete del cloud security provider più vicina (solitamente) all’utente, intercetta il traffico web iniziato da quest’ultimo e lo indirizza verso il più server più conveniente per esaminarne la sicurezza. Quest’attività può essere svolta in modalità proxy (per procura), ovvero assumendo l’identità dell’utente sia come emittente che come destinatario del traffico. Questa interposizione deve avvenire in modo tale da introdurre la minore latenza possibile nel traffico.
In alcuni casi, i cloud SWG vendor preferiscono evitare l’attività proxy se il sito visitato rientra in una lista di website con una buona reputazione; in altri casi, tutti i traffici sono sottoposti alla modalità proxy, indipendentemente che il sito e/o l’utente abbiano una buona reputation. Per evitare latenze non accettabili da parte dell’end user, questi cloud security provider devono disporre di:
- piattaforme altamente performanti,
- il maggior numero possibile di data center distribuiti geograficamente,
- accordi con ISP locali in modo da rendere più dirette e con la maggior larghezza di banda possibile le connessioni fra uffici remoti o utenti mobili e il cloud.
E siccome ormai la maggior parte dei traffici business-critical avviene fra end-user e soluzioni SaaS o cloud Apps (come Microsoft Office 365, Salesforce, Amazon AWS, Google G Suite etc.), per farsi un’idea in anticipo di quale potrebbe essere la performance di connessione fra aziende, ufficio periferico, mobile worker, smart worker, e queste applicazioni, non basta esaminare solo quanti data center e POP (Point of Presence: punto nel quale le connessioni degli utenti, tramite ISP, terminano sulla rete ad alta velocità del vendor) ha: è da valutare anche l’esistenza di peering (connessioni dirette, solitamente localizzate presso un Internet Exchange Point o un servizi di colocation) fra il provider di servizi cloud e quello delle SaaS.
Funzionalità che fanno la differenza in SWG cloud based
Altre funzionalità da valutare, da parte di chi si accinge a scegliere un fornitore di Secure Web Gateway cloud-based, è l’integrazione delle feature di base (URL filtering, antimalware protection, application control) con altre di tipo avanzato, capability da acquisire subito o in seguito, in funzione di nuove necessità o capacità di spesa:
- una è la funzionalità di SSL/TLS inspection, che permette di ispezionare anche i pacchetti di dati criptati: una eventualità ormai all’ordine del giorno, dato che sempre di più le connessioni con i siti web e con le app più in voga sono sottoposte a encryption end-to-end;
- un’altra ancora è la CASB (Cloud Access Security Brokers), che offre visibilità sui comportamenti degli utenti nell’utilizzo dei servizi web (come i SaaS) sotto vari aspetti (password, autenticazione, tokenization, encryption etc), li confronta con le policy aziendali e impone il rispetto di queste ultime;
- last but not least meritano attenzione tutte quelle funzionalità che integrano i sistemi di malware detection (incluso, fra gli altri, se esiste, il cloud sanboxing), con funzionalità analitiche avanzate e il machine learning.