Guida alla valutazione. Appliances Modelli: ES1000, ES5000 and ES8000. PureMessage for Windows/Exchange Product tour
Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Guida alla valutazione. Email Appliances Modelli: ES1000, ES5000 and ES8000. PureMessage for Windows/Exchange Product tour"

Transcript

1 Guida alla valutazione Appliances Modelli: ES1000, ES5000 and ES8000 PureMessage for Windows/Exchange Product tour

2 benvenuti BENVENUTI Benvenuti nella guida alla valutazione delle Sophos Appliance. La guida è strutturata tenendo conto della giornata tipo di un amministratore del sistema di posta elettronica e tratta le funzionalità chiave delle nostre Appliance mettendone in risalto l efficacia e la facilità di utilizzo. La lettura della guida consente di comprendere meglio come le Appliance proteggono nel modo più affidabile e intelligente i gateway di posta elettronica. ES1000, ES5000 e ES8000 fanno parte di Sophos Security and Data Protection, che include appliance gestite e protezione software per i server Exchange, UNIX e Domino a livello di gateway e groupware. Ogni soluzione Sophos per la posta elettronica offre l esclusiva integrazione delle funzioni di antivirus, antispam, antiphishing e prevenzione della fuga di informazioni per proteggere e controllare il contenuto delle . Come tutte le nostre soluzioni, le Sophos Appliance sono il frutto dell esperienza ventennale di Sophos nella protezione di imprese, istituzioni scolastiche ed enti pubblici. Poggiano sulla combinazione delle competenze antivirus, antispyware e antispam di SophosLabs, la rete mondiale di centri di analisi delle minacce informatiche. Sophos reagisce tempestivamente alle nuove minacce alla sicurezza, ormai sempre più complesse e più rapide a diffondersi, rilasciando immediatamente la protezione specifica. Questa è una delle ragioni per cui l azienda vanta livelli invidiabili di soddisfazione dei clienti e di protezione. Tutte le nostre licenze includono il supporto tecnico completo, fornito senza costi aggiuntivi 24 ore su 24, 365 giorni all anno dalla rete mondiale Sophos di tecnici altamente qualificati. Security and Data Protection è disponibile separatamente oppure può essere incorporato in una licenza Sophos Security and Data Protection singola insieme a Web Security and Control, Endpoint Security and Data Protection e Sophos NAC Advanced. Per informazioni sui prezzi e sulla disponibilità dei prodotti, contattare la filiale o il rappresentante Sophos più vicino. Per trovare i contatti per la propria area, visitare: Per valutare una Sophos Appliance, compilare il modulo di richiesta online all indirizzo:

3 guida alla valutazione: Sophos Appliance

4 sommario Sommario 1 introduzione 4 Gestione 5 Funzionalità e vantaggi principali 6 2 funzionalità del prodotto 7 Architettura software 7 Protezione dalla fuga di dati 13 3 impostazione 15 Configurazione 15 Impostazione di servizi di directory 16 Preferenze utente 17 Criteri 17 4 gestione delle appliance 23 Verifiche dello stato del sistema 23 Aggiornamenti 25 Backup 25 Quarantena 26 Ricerca dei messaggi end-to-end 26 Opzioni utente 28 5 reportistica 30 Report del pannello di controllo 30 Pagina Reports 31 Reportistica dettagliata 32 6 supporto tecnico 34 Il concetto di appliance gestita 34 Garanzia 36 Supporto tecnico Sophos 24/7 36 Appendice I Criteri predefiniti 37 II Specifiche hardware 38

5 guida alla valutazione: Sophos Appliance 1: introduzione Le Sophos Appliance sono soluzioni efficienti per la protezione integrata del gateway di posta contro spam, malware, phishing e fughe di dati tramite la posta elettronica. Sono basate sul concetto di appliance gestita, vale a dire coniugano il controllo e la visibilità forniti da un appliance con la facilità di utilizzo di un servizio gestito. I modelli ES1000, ES5000 e ES8000 sono costruiti su una robusta piattaforma hardware caratterizzata da elevata capacità e disponibilità della protezione per le reti di posta elettronica aziendali. Protezione efficace della posta elettronica Le Sophos Appliance garantiscono il massimo della protezione per la posta elettronica con il minimo impiego di risorse amministrative. Capacità: ES1000 elabora fino a messaggi all ora ES5000 elabora fino a messaggi all ora ES8000 elabora fino a messaggi all ora Componenti delle appliance: Tecnologia avanzata di rilevamento delle minacce: la pluripremiata tecnologia di scansione di Sophos è potenziata dai SophosLabs, la nostra rete mondiale di centri di analisi delle minacce informatiche. Per far fronte alle minacce che si evolvono con rapidità inaudita e garantire livelli costanti di protezione, viene scelto automaticamente il metodo di rilevazione ritenuto di volta in volta più adatto. Sender Genotype controlla il comportamento botnet tipico a livello di connessione e impedisce agli spammer l invio di ancora prima che venga determinata la loro reputazione. Ogni cinque minuti vengono scaricate le nuove definizioni delle minacce e le nuove regole antispam, assicurando una protezione costantemente aggiornata. La tecnologia SXL riduce ulteriormente il distacco tra rilevamento e protezione rendendo immediatamente disponibili online e in tempo reale le ultime informazioni provenienti da SophosLabs ed evitando così di attendere l aggiornamento successivo. Prevenzione delle fughe di dati: le Sophos Appliance incorporano efficaci strumenti che vigilano sulle fughe di informazioni riservate e mantengono la conformità alle normative vigenti. Tramite una semplice procedura guidata è possibile creare regole personalizzate che esaminano il testo dei messaggi e gli allegati in base a parole chiave, tipi di file, dimensioni e altri attributi, sia nella posta in ingresso che in quella in uscita. La cifratura TLS fornisce una protezione aggiuntiva tramite la codifica dei messaggi in uscita, in modo che solo i destinatari previsti siano in grado di leggerli. Qualora fossero necessari più criteri di cifratura capillari, Sophos Appliance li integra facilmente con qualsiasi sistema di terze parti.

6 1: introduzione Monitoraggio e allarmi: tutte le appliance Sophos dispongono di monitoraggio e allarmi incorporati che consentono una rapida risoluzione dei problemi e permettono agli utenti di svolgere le proprie attività in tutta tranquillità. Oltre 40 impostazioni e condizioni diverse sono sottoposte a un monitoraggio ininterrotto per garantire il massimo delle prestazioni. Gli allarmi vengono inviati sia all amministratore di sistema che a Sophos in modo da attuare le azioni correttive il più rapidamente possibile. Se è necessaria ulteriore assistenza, gli amministratori possono usufruire anche del supporto remoto su richiesta, affidando la risoluzione dei problemi dell appliance direttamente a Sophos. Console di gestione: la gestione di queste tecnologie è facile, grazie a un intuitiva console via Web che semplifica le attività amministrative e che consente di monitorare e controllare meglio control l infrastruttura di posta elettronica. La console, con funzioni a portata di soli tre clic, fornisce istantaneamente informazioni rilevanti che aiutano gli amministratori a prendere le opportune decisioni sulle prestazioni del sistema e sulle esigenze future in termini di capacità. Protezione pluripremiata L efficacia della protezione Sophos viene regolarmente attestata da svariati organismi indipendenti come ICSA, West Coast Labs, Veritest, evision IT Labs, av-test.org e le principali riviste specializzate, come IT PRO e SC Magazine. Gestione Le Sophos Appliance offrono funzioni che semplificano la gestione della posta elettronica: Console di gestione via Web con funzioni a portata di soli tre clic criteri configurabili per la gestione di virus, spam e contenuti e allegati dei messaggi cifratura TLS e supporto certificati personalizzati per l accesso protetto alla console di gestione e all interfaccia utente via Web precisa analisi dei messaggi end-to-end con accesso alla quarantena, ai log di posta e alla coda dei messaggi clustering di 10 appliance con un solo clic Integrazione con Microsoft Active Directory e altri sistemi LDAP che semplifica l installazione, l implementazione dei criteri e l autenticazione autogestione della quarantena utente tramite di riepilogo o interfaccia Web whitelist e blacklist valide per tutti o per singoli utenti manutenzione e allarmi incorporati per hardware e software monitoraggio proattivo dello stato di attività del sistema assistenza remota su richiesta clustering di failover attivo/passivo a due unità.

7 guida alla valutazione: Sophos Appliance Funzionalità e vantaggi principali Funzioni principali Indipendente dalla piattaforma Rilevamento di spam e malware senza confronti Tecnologia proattiva Genotype Behavioral Genotype Protection Prevenzione della fuga di informazioni Servizio Sender Genotype Protezione antispam in tempo reale SXL Accuratezza elevata Disponibilità elevata Benefici principali Si integra perfettamente nell infrastruttura di posta preesistente Pluripremiati antispam e antimalware completamente integrati con tecnologia SophosLabs Blocca fino al 90% delle nuove minacce senza specifiche firme digitali Prevenzione delle intrusioni pre-esecuzione per rilevare e bloccare il codice dannoso prima che venga eseguito Funzioni efficienti di scansione dei contenuti e la cifratura TLS proteggono dalle fughe di informazioni riservate Blocca fino al 90% dello spam a livello di connessione attraverso il filtraggio in base alla reputazione e al rilevamento botnet proattivo L accesso in tempo reale SXL alle informazioni antispam aggiornate di SophosLabs rileva campagne di spam di breve durata Rileva oltre il 99% dello spam e protegge dalle frodi online, inclusi gli attacchi di phishing, con un incidenza trascurabile di falsi positivi Garantisce un uptime (tempo di disponibilità del servizio) continuo, grazie alla ridondanza dei dischi rigidi e degli alimentatori hot-swap (escluso ES1000) Capacità elevata Dispositivo dal design compatto, montabile su rack 1U, che garantisce la massima capacità di elaborazione e archiviazione Conformità alle normative Abilitato alla cifratura Protezione multilingue Aggiornamento automatico Controlli utente Supporto tecnico completo Criteri configurabili per soddisfare le esigenze di conformità alle politiche di sicurezza aziendali o alle normative vigenti Include la cifratura TLS per una protezione migliore Protegge le aziende da spam e virus contenuti nel traffico di messaggi in più lingue Assicura una protezione costantemente aggiornata grazie agli aggiornamenti automatici rilasciati da SophosLabs, una rete globale di centri di analisi delle minacce informatiche Alleggerisce le attività di amministrazione mediante la gestione della quarantena utente, le whitelist e le blacklist Supporto tecnico illimitato 24 ore su 24, disponibile 365 giorni all anno via telefono, e online

8 2: funzionalità del prodotto 2: FUNZIONALITÀ DEL PRODOTTO Panoramica Le Sophos Appliance ES1000, ES5000 e ES8000 sono soluzioni per la protezione del gateway di posta pronte all uso. Si integrano facilmente in tutte le configurazioni di rete e sono dispositivi autosufficienti, quindi non è necessario avere alcuna conoscenza di UNIX, Linux, Solaris o di altra piattaforma server. Figura 1: Installazione tipica di una Sophos Appliance Come le appliance tradizionali per gateway, questi dispositivi vengono installati di solito nella DMZ, la zona neutrale all interno del firewall e a monte dei server di posta. Questa sezione descrive l architettura software delle appliance e i criteri di sicurezza per la messaggistica interna e di conformità alle normative. Architettura software Il software integrato comprende cinque elementi principali: 1 Sistema operativo FreeBSD ottimizzato per la sicurezza 2 Sistema di filtraggio della posta elettronica ad elevate prestazioni - MTA (Mail Transfer Agent) Postfix - Motore antispam - Motore antivirus - Controllo avanzato della connessione Sender Genotype - Motore criteri 3 Console di gestione e pannello di controllo 4 Quarantena integrata 5 Monitoraggio, allarmi e sistema di notifica.

9 guida alla valutazione: Sophos Appliance Sistema operativo FreeBSD ottimizzato per la sicurezza Le Sophos Appliance sono dotate di sistema operativo FreeBSD con protezione avanzata, ottimizzato per la piattaforma hardware e per il software Sophos integrato. FreeBSD è estremamente stabile e affidabile e offre velocità e prestazioni sorprendenti alle appliance per la sicurezza della rete. Consultare l Appendice II per conoscere le specifiche hardware complete. Figura 2: Le Appliances Sophos eseguono la scansione dei messaggi in ingresso e in uscita Sistema di filtraggio della posta elettronica ad elevate prestazioni Il sistema di filtraggio della posta svolge i seguenti compiti. Traffico di posta in ingresso: L agente MTA incorporato intercetta i messaggi in ingresso sul gateway di posta I messaggi e gli allegati vengono sottoposti a scansione per ricercare eventuali virus, spam e altre condizioni, secondo quanto stabilito dai criteri di filtraggio Ai messaggi vengono applicati test e azioni predefiniti I messaggi vengono consegnati al destinatario previsto, archiviati in quarantena per essere verificati, oppure cancellati. Traffico di posta in uscita: I messaggi vengono instradati dai server di posta interni verso l appliance I messaggi e gli allegati vengono sottoposti a scansione per ricercare eventuali virus e altre condizioni, secondo quanto stabilito dai criteri di filtraggio Ai messaggi vengono applicati test e azioni predefiniti I messaggi vengono inoltrati all agente MTA incorporato per essere consegnati all esterno oppure archiviati in quarantena per essere verificati. Nota Le Sophos Appliance non consegneranno mai un messaggio in ingresso o in uscita contenente un virus noto e mai ne autorizzeranno il rilascio dalla quarantena. Durante l installazione iniziale, gli amministratori possono scegliere di abilitare i criteri e le azioni predefiniti consigliati relativi ai messaggi, compresa la cifratura TLS per i messaggi in uscita. Utilizzando la console di gestione via Web, è possibile modificare le impostazioni predefinite in qualsiasi momento e impostare test e azioni personalizzati. (Per maggiori informazioni, vedere Criteri nella sezione 3).

10 2: funzionalità del prodotto Opzioni di consegna dei messaggi. In ingresso e in uscita (salvo diversamente specificato): Continua elaborazione Rifiuta (solo in uscita) Consegna immediatamente Reinstrada Metti in quarantena Aggiungi banner Metti in quarantena e continua Aggiungi/sostituisci Metti in quarantena, rimuovi intestazione allegato/i e continua Notifica Contrassegna oggetto e continua Reinstrada Cancella Copia. Funzioni a portata di tre clic La console di gestione è caratterizzata da una notevole facilità di navigazione: ogni funzione è distante al massimo tre clic e non è mai necessario accedere da riga di comando. Console di gestione e pannello di controllo La console di gestione è un interfaccia grafica sicura via Web tra l amministratore di sistema e l appliance che consente di: configurare le impostazioni di sistema e di rete Creare un cluster contenente fino a 10 appliance o aggiungere una nuova appliance a un cluster esistente configurare e gestire i criteri antispam, antivirus e relativi ai contenuti monitorare lo stato del sistema e diagnosticare le interruzioni del servizio gestire la quarantena effettuare ricerche nei log, nella coda e nella quarantena dei messaggi, al fine di rintracciare i messaggi smarriti generare report in tempo reale delegare alcune operazioni di amministrazione e controllare le funzioni dell interfaccia utente impostare e amministrare la configurazione di failover a due unità. Figura 3: Console di gestione e pannello di controllo Il pannello di controllo, la pagina iniziale della console illustrata nella Figura 3, mostra in un colpo d occhio il riepilogo delle prestazioni generali del sistema. Dal pannello di controllo, l amministratore è in grado di verificare lo stato della protezione, controllare il flusso e il volume della posta e accertare la disponibilità del sistema. Maggiori informazioni sugli intuitivi ed efficaci strumenti di gestione delle appliance sono disponibili nella sezione 4.

11 guida alla valutazione: Sophos Appliance Clustering È possibile effettuare cluster di più appliance per ragioni di scalabilità, disponibilità e semplicità di gestione. Scalabilità: il clustering consente agli amministratori di aggiungere appliance in modo semplice e veloce per gestire volumi crescenti di traffico di posta sul gateway, senza aumentare le attività di gestione. Disponibilità: il clustering fornisce la ridondanza nell elaborazione della posta. Un guasto a un appliance non influisce sul flusso della posta attraverso le altre appliance nel cluster. Inoltre, il backup della configurazione FTP, la sincronizzazione dei servizi di directory e le quarantene degli utenti finali continue-ranno a funzionare anche se un appliance si guasta. Facilità di gestione: la gestione centralizzata di tutte le appliance all interno di un cluster consente agli amministratori di visualizzare pannello di controllo, report, quarantena, log e informazioni delle code nel cluster come se si trattasse di un appliance più grande. (È inoltre possibile visualizzare ogni appliance singolarmente.) Le funzioni per gli utenti finali, ad esempio riepiloghi della quarantena e accesso alla quarantena tramite Web, funzionano come se si operasse in un ambiente costituito da una sola appliance. Quarantena La quarantena consente l archiviazione sicura dei messaggi indesiderati o potenzialmente pericolosi in ingresso e in uscita. I messaggi che violano un criterio di sicurezza (ovvero se viene riscontrata una corrispondenza con virus, spam, parole chiave o contenuti offensivi) può essere archiviato in quarantena per essere esaminato dall amministratore di sistema ed eventualmente consegnato al destinatario (se in ingresso) o al mittente (se in uscita). L utente che esamina il messaggio in quarantena può quindi decidere di rilasciarlo o di scartarlo, fatta eccezione per i messaggi contenenti virus. Archiviazione integrata La quarantena integrata è un archivio ad elevata capacità in grado di gestire milioni di messaggi. A differenza di altre soluzioni della concorrenza, la quarantena risiede nell appliance stessa, invece di essere ospitata su un altro server. Ciò presenta un duplice vantaggio: non sono necessari ulteriori dispositivi per l archiviazione esterna né ulteriori sistemi e interfacce per la gestione della quarantena. Gli amministratori accedono alla quarantena utilizzando la stessa console di gestione da cui vengono gestite tutte le altre funzioni di sistema. Gestione delegata Gli amministratori, inoltre, possono creare account dedicati di help desk, al fine di delegare la gestione della quarantena ad altri amministratori di sistema, senza però abilitare l intera gamma di opzioni di configurazione del sistema. Gli amministratori di help desk possono quindi gestire tutte le richieste interne relative ai messaggi smarriti o mancanti, consentendo all amministratore principale di dedicarsi ad altre priorità. L amministratore può autorizzare i destinatari previsti dei messaggi in ingresso e i mittenti dei messaggi in uscita a visualizzare i messaggi in quarantena tramite di riepilogo o un interfaccia Web. In entrambi i casi, sarà possibile visualizzare soltanto i propri messaggi personali. Quando l interfaccia Web è abilitata, gli amministratori possono inoltre consentire ai destinatari di impostare blacklist e whitelist personali e di disabilitare il controllo antispam. 10

12 2: funzionalità del prodotto Monitoraggio, allarmi e notifiche Sfruttando il principio della gestione basata sulle eccezioni, le Sophos Appliance utilizzano una tecnologia avanzata concepita per ridurre o eliminare il più possibile il carico di lavoro dell amministratore. La manutenzione automatizzata e un sistema completo di monitoraggio che supervisiona regolarmente oltre 40 funzioni diverse garantiscono prestazioni elevate con il minimo impiego di risorse. La sicurezza resa semplice Se l appliance non ha generato alcun allarme, la protezione funziona come previsto e non è richiesto l intervento dell utente. Azioni preventive In caso di interruzione del sistema, l appliance invia allarmi via all amministratore di sistema e modifica il colore dell indicatore principale di stato nella console di gestione. In condizioni critiche che richiedono assistenza esterna (ad esempio, il guasto di un alimentatore), l allarme viene inviato anche a Sophos. Spesso accade che la risoluzione di un tale problema viene avviata da Sophos (ad esempio, con la spedizione di un alimentatore di ricambio*) ancora prima che l amministratore si renda conto della presenza del problema. Come ulteriore misura di sicurezza, Sophos utilizza l innovativo monitoraggio remoto dello stato di attività del sistema, al fine di assicurare che ogni appliance installata scarichi puntualmente le definizioni aggiornate delle minacce e gli upgrade del software. Se un appliance non riesce a scaricare o a installare un aggiornamento, l amministratore riceve un allarme. Se l operazione non riesce per più di tre volte nell arco di 15 minuti, l appliance invierà l allarme anche al supporto Sophos. Se un appliance non scarica aggiornamenti per più di due ore, il supporto tecnico di Sophos si mette in contatto telefonico con l azienda cliente. Protezione antispam L esclusivo metodo di identificazione dello spam di Sophos si basa sulla tecnologia più avanzata del the settore, aggiornata da SophosLabs 24 ore al giorno, tutti i giorni dell anno. SophosLabs dispone di trappole per lo spam disseminate nei cinque continenti, che analizzano milioni di messaggi al giorno, monitorando e analizzando il traffico di posta globale. In base a questo monitoraggio continuo, vengono identificate due categorie di spam: alto e medio. Gli amministratori possono scegliere le regole predefinite per il trattamento di queste categorie o impostare regole specifiche secondo esigenze interne. Questo approccio semplificato fa sì che Sophos si concentri sullo spam, mentre i clienti si concentrano su altre priorità. Protezione antispam comprovata Le Sophos Appliance rilevano fino al 99,4% dello spam sul gateway di posta. evision IT Labs, ottobre 2007 Filtraggio in base alla reputazione La prima linea della difesa da spam e malware è la protezione a livello di connessione. Sender Genotype attua il filtraggio in base alla reputazione IP e i controlli della connessione proattivi per bloccare lo spam ancora prima che i messaggi vengano accettati. Sender Genotype controlla il comportamento botnet tipico a livello di connessione e impedisce agli spammer l invio di ancora prima che venga determinata la loro reputazione. Se combinato con la possibilità di chiudere la connessione con indirizzi IP di spammer noti a livello di agente MTA prima della scansione, questo metodo consente di eliminare il 90% dello spam in ingresso, incrementando in modo significativo il throughput dei messaggi, senza dover operare ulteriori investimenti nell infrastruttura. * Solo ES5000 e ES

13 guida alla valutazione: Sophos Appliance 12 Inoltre, l appliance può autorizzare il messaggio a transitare attraverso l agente MTA ed eseguire il filtraggio basato sulla reputazione immediatamente prima della scansione (vedere sotto). I messaggi identificati in questa fase come provenienti da spammer noti vengono trattati nello stesso modo di altri messaggi identificati come spam nei relativi test di Sophos e vengono gestiti secondo i criteri di sicurezza specificati. Il motore di scansione utilizza un ampia gamma di metodi di filtraggio, che riuniscono centinaia di test diversi per smascherare tattiche di elusione dei filtri antispam. Ad esempio, un test ricerca i vari modi (oltre 5,6 miliardi) utilizzati dagli spammer per scrivere la parola Viagra. Se entra in azione un dato indicatore di spam, questo fa aumentare la probabilità di spam attribuita al messaggio. Anche le intestazioni, la struttura, il contenuto e gli URI (Uniform Resource Identifiers, vale a dire pagine Web, indirizzi , nomi file ecc.) dei messaggi vengono sottoposti a scansione per la ricerca di migliaia di condizioni diverse. Metodi di rilevamento dello spam: I sensori per il rilevamento delle minacce informatiche note proteggono dalle frodi online come il phishing, che inducono gli utenti a rivelare dati personali o bancari L analisi di Sender Genotype per eliminare lo spam botnet a livello di connessione IP La tecnologia Genotype identifica campagne di spam complesse, riconoscendo le caratteristiche comuni a una serie di messaggi I sensori per il rilevamento dei contenuti offensivi ricercano contenuti pornografici o comunque inopportuni Le tecnologie a impronte digitali ( Fingerprinting ) rilevano e bloccano l image spam e lo spam contenuto negli allegati in PDF, Excel o altri tipi comuni di file Il tracciamento dei domini Web utilizzati dagli spammer identifica i gestori dei siti Web pubblicizzati e blocca i messaggi non richiesti Il filtraggio degli URI di destinazione blocca i messaggi diretti ai siti Web compromessi, freeweb e ad altri siti pubblicizzati I sensori per il rilevamento dell offuscamento identificano le tecniche utilizzate dagli spammer per nascondere i propri messaggi ai filtri antispam. Tecnologia SXL Sophos Solo le soluzioni Sophos Security and Data Protection, comprese le Sophos Appliance, offrono la tecnologia SXL. SXL mantiene aggiornata la protezione antispam verificando in tempo reale l eventuale presenza dei più recenti dati per il rilevamento dello spam provenienti da SophosLabs. I server SXL non solo contengono le ultime informazioni ottenute da SophosLabs, ma conservano anche informazioni antispam più datate relative a IP di botnet o URL dormienti, che altrimenti occuperebbero del prezioso spazio locale. La tecnologia SXL consente a ciascuna installazione di sfruttare la massa crescente di informazioni antispam senza occupare sempre più spazio locale. SophosLabs analizza continuamente il flusso dei messaggi intercettati dalle trappole per lo spam e invia i dati per la protezione ai server SXL, aggiornando automaticamente le appliance ogni cinque minuti. In questo modo è possibile mantenere aggiornata la protezione, rimanendo al passo con l attività degli spammer senza sprecare risorse amministrative. Un ultima opzione a disposizione degli amministratori (abilitata per impostazione predefinita) è la protezione automatica contro gli attacchi Denial of Service e Directory Harvest (DoS e DHA). Se abilitata, l appliance limita il traffico in ingresso e blocca le connessioni in ingresso, che sono spesso i segnali

14 2: funzionalità del prodotto di un attacco di questo tipo. Ulteriori impostazioni antispam personalizzate Le appliance presentano due funzioni antispam la creazione di blacklist e whitelist che consentono un ulteriore personalizzazione dei criteri per la posta in ingresso. Whitelist: un elemento opzionale del filtraggio dello spam è la gestione della whitelist aziendale, vale a dire la lista dei mittenti o domini considerati sicuri e quindi ignorati dai filtri antispam. Inserendo nella whitelist gli indirizzi e i domini dei mittenti considerati attendibili si elimina il rischio che i messaggi provenienti da tali indirizzi vengano inavvertitamente bloccati dal filtro antispam. Inoltre, si consente al filtro di essere più aggressivo, esaminando soltanto i messaggi sospetti. Le whitelist possono essere applicate globalmente e, se abilitate, a singoli account di posta. Blacklist: a differenza di una whitelist, una blacklist contiene indirizzi o domini di mittenti considerati pericolosi o indesiderati e quindi bloccati. Con l aggiunta degli indirizzi alla blacklist si riduce il volume dei messaggi da sottoporre a scansione completa. In questo modo, si ottiene un miglioramento del throughput e un incremento della capacità del sistema. Le blacklist possono essere applicate globalmente e, se abilitate, a singoli account di posta. Gli amministratori, inoltre, possono autorizzare gli utenti a disabilitare il controllo antispam, ma l aspetto più importante è che il controllo antivirus non può essere disabilitato. Protezione antivirus È più probabile che un virus si infiltri in una rete aziendale attraverso il gateway di posta che non per altre vie di accesso. Le soluzioni antivirus per il gateway di posta costituiscono il primo importante livello di protezione, poiché salvaguardano l intera azienda in un singolo punto e garantiscono la protezione continua con un solo, semplice aggiornamento. Le Sophos Appliance utilizzano il motore antivirus sviluppato da Sophos per la protezione delle aziende dai virus che si infiltrano nella rete aziendale attraverso la posta elettronica. Protezione dal giorno zero La tecnologia di riduzione delle minacce protegge da quelle in rapida diffusione, ad esempio i worm di Internet, che possono causare danni prima del rilascio della protezione specifica. Le appliance controllano in tempo reale tutto il traffico sul server e forniscono protezione da worm che inviano in massa e virus, incluse le più recenti minacce miste che combinano spam e attacchi Denial of Service. Protezione dal giorno zero La tempestiva protezione avanzata di SophosLabs garantisce protezione dalle minacce del giorno zero e dalle epidemie. La tecnologia Genotype rileva nuove varianti di virus appartenenti a famiglie note, proteggendo fino al 90% dalle nuove minacce prima ancora che sia disponibile la protezione specifica. Le appliance verificano automaticamente se file e contenuti eseguibili all interno dei messaggi contengono codice dannoso e applicano il criterio appropriato per la gestione dei messaggi, garantendo una protezione tempestiva e completa. Protezione perimetrale Gli attacchi Denial of Service (DoS) e Directory Harvest (DHA) causano il sovraccarico delle reti interne e dei gateway. Per proteggersi contro tale rischio, le Sophos Appliance misurano la velocità dei messaggi, al fine di rilevare anomalie nel traffico di posta, vale a dire un volume di messaggi ben superiore al traffico aziendale medio di messaggi provenienti da tutti 13

15 guida alla valutazione: Sophos Appliance o da specifici mittenti. Questo tipo di monitoraggio consente di rilevare e reagire in modo appropriato agli attacchi DoS e DHA. Prevenzione della fuga di informazioni Violazioni della privacy, responsabilità legale, perdita di produttività e danno d immagine possono costare alle società milioni di euro all anno. La crescente complessità dei requisiti normativi impone alle aziende di salvaguardare i propri sistemi mediante la definizione, il monitoraggio e l applicazione di criteri e procedure appropriati, sia a livello utente che di infrastruttura. Il sistema di criteri utilizzato dalle appliance consente di attuare una politica chiara per regolare i messaggi e i contenuti autorizzati a entrare e uscire dal gateway. Dalla console di gestione è possibile configurare numerose azioni relative ai criteri. Criteri standard attuati dalle aziende: Rifiuto dei messaggi provenienti da mittenti malintenzionati noti Impostazione di whitelist e blacklist (aziendali e personali) Archiviazione in quarantena dei messaggi contenenti linguaggio offensivo o molesto Archiviazione in quarantena ed esame dei messaggi contenenti allegati e parole chiave specifici per prevenire la fuga di dati sensibili o di proprietà intellettuali Aggiunta di un banner al messaggio, nell intestazione e/o a piè di pagina Reinstradamento dei messaggi secondo il loro contenuto Monitoraggio e registrazione del traffico sospetto per rilevare eventuali utilizzi impropri del sistema. Per un elenco completo dei criteri predefiniti, vedere l Appendice I. Riepilogo Le Sophos Appliance rappresentano il connubio ideale tra automazione e controllo e rispondono perfettamente alle esigenze di gestione della posta elettronica delle grandi imprese. Questi dispositivi abbinano l aggiornamento automatizzato delle definizioni delle minacce con una serie di efficienti funzioni di amministrazione e con gli allarmi basati sulle eccezioni. Questa combinazione di funzioni riduce al minimo il carico di lavoro giornaliero degli amministratori, offrendo approfondite capacità di analisi e controllo. Le Sophos Appliance traggono beneficio dal lavoro svolto da SophosLabs, che vigila 24 ore su 24 sulle minacce alla sicurezza utilizzanti la posta elettronica come vettore di diffusione. SophosLabs garantisce una protezione tempestiva attraverso l analisi rapida delle nuove minacce, l utilizzo di molteplici metodi di rilevamento e aggiornamento (aggiornamenti dei criteri, delle definizioni dei virus e delle regole per l identificazione dello spam) e la gestione completa dell intero ciclo di vita di una minaccia. Protezione 24 ore su 24 I centri SophosLabs dislocati nelle aree strategiche del globo svolgono un lavoro continuo di ricerca e analisi delle minacce, 24 ore su 24, identificando quelle emergenti. L utilizzo delle Sophos Appliance offre alle aziende i seguenti vantaggi. Protezione completa contro minacce nuove, varianti di virus e campagne di spam in continua evoluzione 14

16 3: installazione 3: installazione Panoramica Questa sezione tratta i seguenti argomenti: impostazioni di base dell appliance incluse configurazione, impostazione dei servizi di directory, preferenze utente e impostazioni predefinite dei criteri. Il suo scopo non è sostituire la guida all installazione, bensì di dimostrare la semplicità e la facilità di amministrazione delle appliance. Configurazione La configurazione delle Sophos Appliance è semplice e lineare. La procedura guidata (Setup Wizard) accompagna l amministratore nel processo di configurazione di base del dispositivo e abilita la scansione in tempo reale della posta elettronica entro 15 minuti. Le categorie di configurazione sono illustrate nella Figura 4. Gli amministratori possono modificare queste impostazioni in qualsiasi momento tramite la console di gestione. Impostazione rapida e semplice Una semplice installazione guidata consente di rendere operativa l appliance in meno di 15 minuti. Figura 4: Pagina iniziale Configuration (Configurazione) Impostazione dei servizi di directory Le appliance consentono la rapida impostazione degli utenti e dei gruppi di utenti mediante l avanzata integrazione LDAP, incluso Microsoft Active Directory. Questo metodo semplifica la convalida dei destinatari e l implementazione dei criteri per i messaggi diretti a utenti e gruppi di utenti specifici. Nella pagina di configurazione Directory Service (Servizi di directory), l amministratore può rilevare e importare automaticamente le impostazioni LDAP o inserirle manualmente. La versione locale di Active Directory memorizzata nell appliance consente di mantenere le funzionalità ed evitare tempi di inattività, qualora il server di Active Directory non dovesse essere disponibile. Per essere certi che l appliance utilizzi la versione più aggiornata, gli amministratori possono pianificare la sincronizzazione. I gruppi di utenti possono essere impostati manualmente o utilizzando LDAP. Abbiamo impiegato più tempo per estrarre l unità dalla confezione che per metterla in opera. Noe Arzate, Mount Pleasant Independent School District 15

17 guida alla valutazione: Sophos Appliance Preferenze utente Figura 5: Configurazione di servizi di directory Le appliance presentano funzionalità intelligenti di impostazione e gestione degli utenti di posta. A partire dall integrazione LDAP completa, gli amministratori possono impostare in modo rapido e semplice privilegi utente quali: autenticazione whitelist e blacklist accesso alla quarantena tramite di riepilogo o interfaccia Web lingua dell interfaccia utente preferita frequenza di consegna delle disabilitazione del controllo antispam. Per ulteriori informazioni sulle opzioni di accesso alla quarantena utente, vedere Opzioni utente nella sezione 4: Gestione delle appliance. Figura 6: Preferenze utente 16

18 3: installazione Criteri Le Sophos Appliance sono concepite per garantire la massima sicurezza con il minimo impiego di risorse amministrative. Traendo vantaggio dalla vasta esperienza di Sophos nel rilevamento di virus, spam e altre tipologie di malware, le appliance presentano efficaci criteri predefiniti che assicurano la massima sicurezza. Tuttavia, nel caso in cui fossero necessari criteri personalizzati, la console di gestione ne consente l impostazione rapida e semplice (vedere la schermata della relativa procedura guidata a pagina 19). Criteri antivirus Figura 7: Pagina principale dei criteri antivirus I messaggi in ingresso contenenti virus possono essere gestiti secondo la natura della minaccia: virus allegato non sottoponibile a scansione allegato criptato allegato sospetto. È possibile gestire fino a 20 regole e azioni distinte per i messaggi sia in ingresso che in uscita. Sono disponibili numerose azioni, fra le quali: notifiche (ad esempio all ufficio del personale quando viene rilevato del contenuto offensivo oppure all ufficio legale in presenza di informazioni sui brevetti), inserimento di banner e modifica delle intestazioni. Tali azioni consentono l attuazione completa delle politiche aziendali in merito all uso della posta elettronica. Per l elenco completo dei criteri predefiniti, vedere l Appendice I. 17

19 guida alla valutazione: Sophos Appliance Figura 8: Pagina principale dei criteri antispam Criteri antispam Per impostazione predefinita, le appliance cancellano i messaggi provenienti da spammer noti e quelli che presentano un elevata probabilità di essere spam. Archiviano invece in quarantena i messaggi con probabilità media di essere spam. È possibile modificare queste impostazioni secondo i gruppi o le liste personalizzate di Active Directory. La Figura 8 mostra la pagina principale dei criteri antispam nella console di gestione, nella quale è possibile creare e gestire fino a 20 diverse regole antispam, in modo che la Sophos Appliance soddisfi le necessità dell organizzazione. Criteri relativi ai contenuti I messaggi possono spesso avere contenuti tali da esporre l azienda al rischio di responsabilità legali per inosservanza delle normative vigenti o delle regole interne. È essenziale che la soluzione di sicurezza utilizzata metta in atto le politiche di uso accettabile. Per impedire abusi, il sistema di filtraggio esamina le e gli allegati, alla ricerca di linguaggio offensivo e parole chiave e tipi di file specifici, consentendo di mantenere stretto controllo sul contenuto di tutti i messaggi. Tramite la procedura guidata (vedere Figura 9) è possibile personalizzare fino a 40 regole per tenere sotto osservazione attributi quali tipi e contenuti degli allegati (in espressioni regolari e stringhe con caratteri jolly) specifici per la vostra organizzazione o settore di attività. 18

20 3: installazione Figura 9: Personalizzazione dei criteri per i contenuti in uscita Per ogni tipo di filtro, e per i messaggi sia in ingresso che in uscita, l amministratore può impostare le seguenti azioni: Continua elaborazione Consegna immediatamente Cancella Metti in quarantena Metti in quarantena e continua Reinstrada Contrassegna oggetto e continua Reinstrada Copia. Durante l impostazione di queste regole e azioni, è possibile scegliere di applicarle a specifici utenti e/o gruppi di utenti nella propria azienda, come stabilito dal server di Active Directory o da una lista personalizzata. È inoltre possibile specificare eccezioni per singoli utenti o per gruppi. Si può anche scegliere di inviare in copia o in copia nascosta oppure di reindirizzare i messaggi dal contenuto inopportuno a uno specifico indirizzo (ad esempio, al responsabile della conformità), mettere in copia il mittente/ destinatario e aggiungere un messaggio di notifica. Un banner personalizzato può essere inoltre aggiunto in cima o in calce al messaggio. È anche possibile impostare un limite massimo per le dimensioni dei messaggi (da 2 MB a 50 MB) per risparmiare spazio nella appliance e nei server a valle. 19

21 guida alla valutazione: Sophos Appliance Fase 1: Descrizione della regola Selezionare il tipo di regola dei contenuti. Le opzioni includono banner, parole chiave, allegati, lingua, liste di mittenti, liste di host o di indirizzi IP oppure attributi dei messaggi come le dimensioni. Fase 2: Configurazione della regola Specificare i dettagli della regola, secondo il tipo selezionato. Ad esempio, se la regola riguarda le parole chiave, questa pagina gestisce l elenco delle parole stesse. Fase 3: Attributi dei messaggi Qui vengono specificati altri attributi dei messaggi, ad esempio le dimensioni. Fase 4: Utenti e gruppi Specificare quali utenti e/o gruppi sono soggetti alla regola. È possibile mantenere liste separate per mittenti e destinatari. 20

22 3: installazione Fase 5: Azione principale Qui l amministratore specifica l azione da intraprendere alla violazione della regola. L elenco delle azioni disponibili è reperibile a pagina 9. Fase 6: Azioni aggiuntive Qui vengono gestite le azioni aggiuntive, ad esempio l aggiunta di banner, la modifica delle intestazioni o l impostazione delle notifiche. Fase 7: Descrizione della regola Assegnare un nome alla regola e decidere se attivarla o meno. L attivazione e l assegnazione di priorità alle regole sono gestite anche dalle pagine principali dei criteri relativi a virus, spam e contenuti. 21

23 guida alla valutazione: Sophos Appliance Clustering Figura 10: Aggiunta di un appliance a un cluster Quando si installano più appliance contemporaneamente, immettere semplicemente il nome host o l indirizzo IP della prima appliance configurata e fare clic su join ( unisci ) nell installazione guidata. Tutte le configurazioni vengono sincronizzate automaticamente. Riepilogo Le Sophos Appliance presentano efficaci criteri predefiniti antivirus, antispam e per il contenuto della posta elettronica. Consentono inoltre di personalizzare con facilità questi criteri per soddisfare le esigenze specifiche della propria azienda. Che si abbia bisogno di una protezione di base da spam e malware o di un tipo più avanzato per impedire le fughe di dati via , il risultato è la sicurezza completa per tutta l azienda con il minimo sforzo. 22

24 4: gestione delle appliance 4: gestione delle appliance Panoramica Con le Sophos Appliance, l amministrazione e il controllo del gateway di posta non sono mai stati così semplici. Sono a disposizione un ampia gamma di strumenti e impostazioni concepiti per eliminare o automatizzare la grande maggioranza delle operazioni amministrative, grazie alla gestione basata sulle eccezioni. Tutte le operazioni sono basate sul concetto di appliance gestita. In pratica, se non si ricevono allarmi o notifiche dall appliance (o da Sophos), tutto procede bene e non sono necessari né interventi né interazioni di altro tipo. L appliance invia notifiche solo in caso di problemi che richiedono attenzione. Altrimenti, è possibile svolgere le proprie attività quotidiane con la certezza che il gateway di posta funzioni in modo sicuro ed efficiente. Le appliance riducono il carico di lavoro dell amministratore per mezzo di oltre 40 sensori di sistema incorporati. Quando un sensore rileva qualcosa, l amministratore riceve un allarme sul pannello di controllo e/o via . Accedendo al dispositivo e facendo clic sul pulsante System Status è possibile visualizzare in un colpo d occhio lo stato del sistema, nonché le misure correttive consigliate. Questa sezione descrive le operazioni giornaliere di amministrazione da effettuare per gestire l appliance. Amministrazione semplificata Oltre 40 sensori di sistema monitorano l attività dell appliance, quindi non è necessario che se ne occupi l utente. Verifiche dello stato del sistema È possibile effettuare una verifica immediata dello stato generale dell appliance, accedendo alla console di gestione e controllando l indicatore di stato situato in alto a destra in ogni pagina (vedere Figura 11). Il colore verde indica che tutti i sistemi sono nella norma; il giallo che si è verificato un problema temporaneo o di basso profilo; il rosso segnala un problema grave. (In quest ultimo caso l appliance invierà un allarme via al responsabile tecnico, oltre che a Sophos). Figura 11: Verifica dello stato del sistema nella console di gestione 23

25 guida alla valutazione: Sophos Appliance Cliccando sull indicatore di stato si apre la pagina System Status (Stato del sistema), che fornisce informazioni dettagliate sulle seguenti caratteristiche dell ambiente: Mail flow (Flusso di posta): picchi del volume di posta, messaggi bloccati, spam e virus Quarantine (Quarantena): dimensioni dell archivio integrato dei messaggi Software: stato dei processi, stato della protezione, connessione a Sophos, riavvio del sistema e aggiornamenti del sistema Hardware: prestazioni dei componenti hardware, temperatura, utilizzo della memoria e così via Certificates (Certificati): stato dei certificati utilizzati per la cifratura TLS o l autenticazione dell utente Licensing (Licenza): la durata residua della licenza software. Figura 12: Pagina System Status Come illustrato nella Figura 12, la pagina System Status visualizza un indicatore per ogni oggetto monitorato, nonché un messaggio che spiega lo stato attuale, le istruzioni correttive e i dettagli sulla data e sull ora dell ultima eccezione. Se si verifica un eccezione, è possibile fare clic sull eccezione per visualizzare maggiori informazioni sull evento e verificare se sono state attuate eventuali azioni automatiche. Da questa singola pagina nella console di gestione, è possibile verificare ogni operazione critica dell appliance. La pagina System Status semplifica lo svolgimento di controlli spontanei completi delle prestazioni generali e dello stato della protezione e consente di ottenere assistenza per la risoluzione delle interruzioni del sistema. Se si amministrano più appliance, la pagina di stato del cluster fornisce informazioni importanti sulle appliance nel cluster, oltre alle attività pianificate (ad esempio, invio dei riepiloghi della quarantena, backup della configurazione FTP e sincronizzazione dei servizi di directory. 24

26 4: gestione delle appliance Aggiornamenti Le Sophos Appliance si connettono a Sophos a intervalli di pochi minuti per effettuare il download delle definizioni delle minacce e degli aggiornamenti del software. Per impostazione predefinita, in entrambi i casi il download e l implementazione sono automatici. L amministratore dispone di un opzione che consente di scaricare e applicare gli aggiornamenti non critici del software per mezzo di un operazione pianificata oppure su richiesta con un solo clic. Gli aggiornamenti non critici possono essere posticipati fino a un massimo di sette giorni. Gli aggiornamenti critici del software come le patch di sicurezza vengono applicati immediatamente. Come indicato a pagina 12, le informazioni antispam più recenti sono disponibili online in tempo reale, fra un download e l altro effettuato tramite la rete SXL di SophosLabs. Backup Gli amministratori possono impostare l appliance in modo da avviare backup automatici via FTP dei dati di configurazione, dei log di sistema e dei messaggi in quarantena. Il backup della configurazione può avere luogo con la seguente frequenza: ogni giorno, a mezzanotte ogni settimana, il venerdì a mezzanotte ogni mese, il primo giorno del mese a mezzanotte. Il backup dei dati può avere luogo con la seguente frequenza: alla scadenza ogni mezz ora ogni ora ogni giorno, a mezzanotte ogni settimana, il venerdì a mezzanotte ogni mese, il primo giorno del mese a mezzanotte. Figura 13: Pagina System Backup Con un semplice clic nella pagina System Backup (Backup del sistema) della console di gestione, è anche possibile effettuare il backup manuale dei dati di configurazione, come illustrato nella Figura

27 guida alla valutazione: Sophos Appliance Quarantena Le appliance dispongono di una quarantena integrata in grado di memorizzare milioni di messaggi . A seconda dei criteri e del traffico di posta propri di un azienda, questo spazio per l archiviazione consente la memorizzazione dei messaggi ricevuti nel corso di parecchie settimane. È possibile verificare rapidamente lo stato della quarantena dal pannello di controllo. Nella parte inferiore della sezione Summary Statistics (Statistiche di riepilogo), all estrema sinistra dello schermo, sono disponibili due misurazioni dinamiche delle prestazioni: Quarantine Age e Quarantine Capacity, come illustrato nella Figura 14. Quarantine Age mostra il numero dei giorni in cui è stata effettuata finora l archiviazione dei messaggi, ad esempio 1 giorno significa che il messaggio più vecchio presente in quarantena risale al giorno precedente. Quarantine Capacity rappresenta la percentuale di spazio per l archiviazione attualmente utilizzata, ad esempio 1,5%. Le appliance effettuano l archiviazione automatica, al fine di mantenere le prestazioni a livelli ottimali e di garantire la disponibilità di sufficiente spazio per l archiviazione. Se i dati presenti sul disco rigido raggiungono il 70% della capacità, saranno automaticamente archiviati in modo che sia disponibile almeno il 40% di spazio su disco. L amministratore deve configurare il percorso per il backup via FTP nella console di gestione dell appliance. Figura 14: Visualizzazione sul pannello di controllo dello spazio disponibile nella quarantena Ricerca dei messaggi end-to-end Le Sophos Appliance vanno ben oltre le capacità di archiviazione e mettono a disposizione funzioni di ricerca dei messaggi end-to-end. Sono progettate per ridurre l attività più onerosa in termini di tempo della gestione del gateway di posta, ovvero la ricerca dei messaggi smarriti. Queste funzioni permettono di effettuare facilmente ricerche secondo diversi parametri, riducendo drasticamente il tempo necessario per trovare un messaggio specifico. Supporto tecnico leader nel settore I servizi di supporto offerti da Sophos godono di un eccellente reputazione nel settore della sicurezza informatica e distinguono l azienda dagli altri produttori. 26

28 4: gestione delle appliance Figura 15: Esempio di ricerca nel log dei messaggi Alla funzione di ricerca si accede dalla barra di navigazione della console di gestione, come illustrato nella Figura 15. Le ricerche possono essere effettuate separatamente nei log dei messaggi, nella coda dei messaggi o nella quarantena. Le ricerche nei log dei messaggi possono essere effettuate utilizzando i seguenti parametri: Mittente Inizio intervallo di tempo Relay Destinatario Fine intervallo di tempo ID messaggio I dati dei log sono presentati in forma chiara e leggibile, nascondendo i dettagli superflui ed evidenziando le informazioni utili per stabilire ciò che è effettivamente accaduto al messaggio in questione. I dettagli della ricerca vengono ordinati sotto le seguenti intestazioni: Data e ora Destinatario Oggetto Mittente Relay Facendo clic su una voce nei risultati della ricerca vengono visualizzati maggiori dettagli sul log. Le ricerche nella coda dei messaggi possono essere effettuate utilizzando i seguenti parametri: Mittente Inizio intervallo di tempo Coda (Tutti, Prefiltraggio, Destinatario Fine intervallo di tempo Consegna) I dati della coda forniscono informazioni sulla posizione del messaggio all interno del flusso di posta: nella coda di filtraggio oppure nella coda di consegna al server di posta a valle. Le informazioni vengono presentate in forma chiara e leggibile. I dettagli della ricerca vengono ordinati sotto le seguenti intestazioni: Data e ora Destinatario Stato della coda Dimensioni Mittente Le ricerche nella quarantena possono essere effettuate utilizzando i seguenti parametri: Mittente Fine intervallo di tempo Motivo Destinatario Relay Inizio intervallo di ID messaggio tempo I dettagli della ricerca nella quarantena vengono ordinati sotto le seguenti intestazioni: Data e ora Destinatario Motivo Mittente Oggetto Nota È possibile effettuare ricerche secondo i seguenti parametri: Tutti, Virus, Spam, Parola chiave, Allegato sospetto, Allegato criptato, Allegato non sottoponibile a scansione, Linguaggio offensivo. 27

29 guida alla valutazione: Sophos Appliance Facendo clic su una voce nei risultati della ricerca vengono visualizzate maggiori sulla voce della quarantena, tra cui l opzione per visualizzare i dati sul messaggio. L amministratore può quindi selezionare i messaggi da rilasciare, inoltrare o cancellare. Per ridurre ulteriormente il carico di lavoro giornaliero, l amministratore può impostare account speciali per il personale dell help desk incaricato di gestire le richieste interne relative alla posta elettronica. Questi account hanno accesso a tutte le funzioni di gestione della quarantena, ma non alle impostazioni di sistema o alle opzioni di configurazione. Per gli amministratori con responsabilità ad ampio spettro e disponibilità di personale, questa funzione ottimizza la produttività di gruppo e consente di risparmiare tempo da dedicare ad altre attività. Opzioni utente Figura 16: di riepilogo (nota: può risultare differente a seconda del client di posta utilizzato). Per snellire il lavoro del reparto IT, molte aziende delegano alcune delle responsabilità di gestione dello spam in ingresso ai destinatari previsti. Le Sophos Appliance presentano due opzioni per tale scopo: di riepilogo Interfaccia utente via Web. Le di riepilogo sono messaggi generati dal sistema contenenti una lista dei messaggi presenti nella quarantena. I destinatari possono gestire la propria quarantena personale, conservando, rilasciando o cancellando i messaggi dalla lista contenuta nel messaggio . 28

30 4: gestione delle appliance Figura 17: Interfaccia utente via Web L di riepilogo illustrata nella figura può essere consegnata a orari prestabiliti una volta al giorno, due volte al giorno o una volta alla settimana. Gli amministratori dispongono anche di un opzione che regola l accesso via Web alla quarantena tramite autenticazione utente, utilizzando Active Directory o una lista personalizzata. L interfaccia Web utente, illustrata nella Figura 17, visualizza in tempo reale i messaggi archiviati in quarantena per ciascun utente e consente di tenere, rilasciare o cancellare i messaggi. Sia l di riepilogo che l interfaccia Web possono essere impostate in una delle seguenti lingue: inglese, francese, tedesco, italiano, giapponese e spagnolo. Questa è un impostazione globale assegnata dall amministratore e non può essere modificata dagli utenti finali. Le preferenze utente sono valide per tutti: se è stata abilitata l di riepilogo, ogni utente la riceverà. Se è stato abilitato l accesso all interfaccia Web, ogni utente vi potrà accedere. La sola eccezione consiste nel fatto che se è stato abilitato l accesso all interfaccia utente via Web, i singoli utenti possono scegliere di non ricevere l di riepilogo. Rapidità di filtraggio Gli amministratori possono migliorare l efficienza del filtraggio della posta applicando whitelist e blacklist valide per singoli o per tutti gli account di posta. Gli amministratori possono autorizzare gli utenti a impostare le opzioni relative alle whitelist e blacklist personali e a disabilitare completamente il controllo antispam. (Per maggiori informazioni, vedere Ulteriori impostazioni antispam personalizzate nella sezione 2: Funzionalità del prodotto). L amministratore deve abilitare queste funzioni per tutti gli utenti all interno della pagina End-User Preferences (Preferenze utente) (vedere Figura 6 nella sezione 3: Installazione). Inoltre, l amministratore deve abilitare l accesso all interfaccia utente via Web. 29

31 guida alla valutazione: Sophos Appliance 5: reportistica Panoramica Per tenere sotto controllo il gateway di posta, è necessario che gli amministratori dispongano di informazioni dettagliate sul flusso di . Non è sufficiente sapere che la protezione antispam e antivirus installata sulla rete è aggiornata. Spesso il management richiede agli amministratori un analisi olistica del gateway di posta. Questo tipo di richiesta comporta l approfondimento di alcuni fattori come il contenuto del flusso di posta e le prestazioni dell hardware e del software. Le funzionalità di reportistica in tempo reale delle appliance facilitano il monitoraggio del sistema, rendendone più efficiente l amministrazione. Non solo è importante monitorare lo stato del sistema, ma è altrettanto, se non più importante conoscerne i cambiamenti in atto. Le appliance forniscono una serie di report rilevanti che tengono informati gli amministratori sulla situazione del gateway di posta e li aiutano a pianificare le esigenze future di capacità del sistema di posta. Ai report globali si accede dalla console di gestione in due modi. Le statistiche principali come il volume di posta e il comportamento delle minacce sono riepilogate nel pannello di controllo (vedere Figura 3 nella sezione 2: Funzionalità del prodotto). Statistiche più complete e dettagliate sono visualizzabili nella pagina Reports. Entrambe le opzioni sono descritte più avanti. Report del pannello di controllo Il pannello di controllo visualizza in un colpo d occhio le prestazioni del sistema in tempo quasi reale, aggiornando automaticamente i dati ogni cinque minuti. Il pannello di controllo raggruppa i dati in tre sezioni Summary Statistics (Statistiche di riepilogo), Mail Velocity (Velocità della posta) e Mail Volume (Volume della posta) consentendo di accedere rapidamente alle statistiche più richieste. Statistiche di riepilogo Le statistiche di riepilogo visualizzato all estrema sinistra del pannello di controllo mostra i volumi medi e i picchi giornalieri ed evidenzia i virus più frequenti. Vengono inoltre visualizzate la data e l ora dell ultimo aggiornamento e lo spazio disponibile nella quarantena. Le frecce alla destra delle prime tre voci indicano la variazione rispetto al precedente volume giornaliero. Ad esempio, una freccia rivolta verso il basso indica che il volume odierno è inferiore al volume di ieri. Average Daily Volume (Volume giornaliero medio) è il totale aggiornato dei messaggi elaborati da quando l appliance è stata messa online per la prima volta. I picchi rispecchiano i valori massimi per categoria per lo stesso periodo. 30

32 5: reportistica Velocità della posta Nella sezione in basso al centro si trovano due quadranti, visualizzati qui a fianco, che indicano i messaggi elaborati in un ora e il ritardo dei messaggi, vale a dire il tempo impiegato dal filtro per esaminare un singolo messaggio. I quadranti offrono una panoramica immediata del volume di posta che transita sull appliance e del tempo impiegato a elaborare ogni messaggio. Se il quadrante sulla sinistra (messaggi/ora) raggiunge il valore massimo, ciò potrebbe indicare un picco nel traffico di posta. In questo caso, anche il quadrante sulla destra raggiunge di solito il valore massimo (latenza). Al contrario, se il quadrante dei messaggi/ora si trova sullo zero, ciò potrebbe indicare un problema di connessione. Volume di posta odierno Nella parte inferiore destra del pannello di controllo, visualizzata qui a fianco, si trovano tre grafici lineari che indicano il traffico giornaliero di posta, di spam e di virus. L area di colore bianco rappresenta l attuale volume di traffico giornaliero, mentre la linea rossa rappresenta la media su 7 giorni consecutivi. Se esiste una differenza significativa tra le due, potrebbe essersi verificato un picco nel volume di posta o un infezione dovuta a un virus (l area bianca supera in altezza la linea rossa) oppure un problema di connessione/inoltro (la linea rossa si trova più in alto rispetto all area bianca). Notare che poiché questi grafici indicano la vera natura del flusso di posta, un picco nella percentuale di spam o virus indica che l appliance intercetta tali minacce e le tiene fuori dal traffico di posta. Pagina Reports Facendo clic sulla scheda Reports sulla barra di navigazione della console di gestione si accede a report più dettagliati (vedere Figura 18). Figura 18: Pagina Reports 31

33 guida alla valutazione: Sophos Appliance Volume Info (Informazioni sul volume) mostra i dati del volume di posta negli ultimi sette giorni rispetto ai dati dei sette giorni consecutivi precedenti, nonché la variazione in percentuale tra i due periodi. La sezione fornisce quindi una chiara indicazione di come il traffico cambi di settimana in settimana. Immediatamente sotto questa sezione sono presentati i valori del throughput e della latenza del sistema, anche in questo caso per gli ultimi due periodi di sette giorni. Il diagramma a torta in fondo a sinistra suddivide il volume complessivo della posta relativo al periodo più recente di sette giorni in sei categorie: Legitimate (Legittimo), Blocked connections (Connessioni bloccate), Other (Altro) (messaggi con parole chiave o contenuti offensivi), Spam medium (Spam medio), Spam high (Spam alto) e Virus. Questo grafico fornisce una descrizione dettagliata della composizione del traffico di posta. Il diagramma a barre in basso a destra si riferisce allo stesso periodo e mostra i dati relativi alla sola posta legittima. Questo grafico include le connessioni bloccate (a livello dell agente MTA) e considera ogni connessione bloccata come un singolo messaggio. Infine, le due sezioni in alto a destra della pagina Reports mostrano i cinque allarmi più recenti generati dall appliance e i virus rilevati con maggior frequenza. Reportistica dettagliata Il riquadro di navigazione alla sinistra della pagina Reports (e sottopagine) collega a un ampia gamma di report generati dinamicamente e personalizzabili. Questi report sono raggruppati in quattro categorie, come illustrato nella tabella sottostante: Categoria Nome report Descrizione Tendenze della posta Volume Suddivide il traffico di posta giornaliero in sei componenti* Message actions Messaggi consegnati, rimossi e archiviati in quarantena Prestazioni Latency Tempo (in secondi) impiegato a esaminare un messaggio Throughput La quantità dei messaggi esaminati al secondo Mittenti Virus relays Indirizzo IP di origine dei virus in ingresso Spam relays Indirizzo IP di origine dei messaggi di spam Blocked connections Numero di connessioni bloccate per indirizzo IP Destinatari Spam recipients Primi dieci destinatari dello spam nella rete Analisi dei criteri Anti-Virus Classifica i messaggi contrassegnati come Virus nei modi seguenti: Sospetto, Allegato criptato, Allegato protetto da password, Allegato non sottoponibile a scansione, Virus Antispam Classifica i messaggi contrassegnati come Spam nei modi seguenti: Bloccato, Spam alto e Spam medio Content Suddivisione dei messaggi bloccati a causa di parole chiave o contenuto offensivo Nota I report denominati Anti-Virus e Content possono essere generati sia per il traffico di posta in ingresso che in uscita. * Connessioni bloccate, Posta legittima, Altro, Spam medio, Spam alto e Virus 32

34 5: reportistica I parametri possono essere applicati a tutti i report presenti nella tabella della pagina precedente. Inoltre, è disponibile l opzione che permette di visualizzare la Tabella dei dati (Data Table) con ogni report. I report possono essere stampati o esportati come file CSV per essere utilizzati in altre applicazioni. Ad esempio, un report esportato può essere inserito in una presentazione con cui si illustra al management o al responsabile della conformità l efficacia dell appliance nel garantire la sicurezza della posta elettronica. 33

35 guida alla valutazione: Sophos Appliance 6: supporto tecnico Il concetto di appliance gestita Le Sophos Appliance introducono un nuovo concetto nel mondo della sicurezza di rete: il concetto di appliance gestita. Un appliance gestita abbina i vantaggi di un dispositivo tradizionale visibilità, indipendenza dalla piattaforma, sicurezza completa ai vantaggi di un servizio gestito, ovvero facilità di utilizzo, elevate disponibilità e capacità del sistema. Tuttavia, la presenza dell appliance sulla propria rete aziendale non costringe a rinunciare al monitoraggio e al controllo del sistema, come spesso accade invece nel caso dei servizi gestiti. La combinazione di questi due fattori rende le appliance Sophos uniche nel loro genere. Le sezioni seguenti descrivono le caratteristiche distintive dell appliance gestita. Aggiornamenti automatici Per mantenere aggiornata la protezione contro le minacce alla sicurezza, la maggior parte dei fornitori di appliance avvia una ricerca dei dati ogni 30 o 60 minuti. Considerando la proliferazione delle minacce contenute nella posta elettronica, questa tempistica rischia di produrre pericolose vulnerabilità nella sicurezza del gateway. Le Sophos Appliance riducono i tempi e migliorano la sicurezza, scaricando in modo automatico ogni cinque minuti le nuove definizioni delle minacce rilasciate da SophosLabs. Il concetto di appliance gestita Le Sophos Appliance abbinano la visibilità e l efficienza di un appliance tradizionale alla disponibilità e semplicità di un servizio gestito. Figura 19: Pagina System Updates (Aggiornamenti del sistema) 34

36 6: supporto tecnico Consentono inoltre di reperire in tempo reale le ultime informazioni antispam nell esclusivo database SXL online di SophosLabs. Una tale frequenza di aggiornamento consente a Sophos di azzerare i tempi che intercorrono tra l identificazione di una nuova minaccia e il rilascio della relativa protezione. Inoltre, il consumo di banda è molto limitato grazie alle dimensioni estremamente ridotte dei file di aggiornamento. Quest ultimo è un fattore decisivo per la tempestività e l efficacia della protezione. Il risultato è la soluzione di sicurezza della posta più affidabile disponibile. Le nuove definizioni del malware e gli upgrade critici del software vengono scaricati e applicati in modo automatico in un unico passaggio. Gli aggiornamenti non critici del software possono essere applicati immediatamente oppure pianificati dall amministratore, come illustrato nella Figura 19 della pagina precedente. Monitoraggio dello stato di attività del sistema Il download frequente degli aggiornamenti rappresenta una garanzia di protezione. Sophos ha esteso questo concetto verificando da remoto che ogni appliance sia provvista delle definizioni più recenti del malware. Le appliance Sophos non si limitano a installare gli aggiornamenti pianificati ricevuti, ma li cercano in un deposito centrale. Il deposito svolge una funzione di controllo verificando che ogni appliance installata si connetta per scaricare puntualmente gli aggiornamenti. Se un appliance non riesce a stabilire la connessione per più di due ore, il deposito avvisa il team di supporto Sophos di contattare l amministratore e indagare sul problema. Di conseguenza, gli amministratori non devono più preoccuparsi se la protezione sul gateway di posta è aggiornata o meno. Allarmi Le appliance utilizzano più di 40 sensori diversi per monitorare ogni attività, dalla sincronizzazione con Active Directory ai picchi nella percentuale dei virus. La maggior parte di questi sensori è visualizzata nella pagina System Status della console di gestione. Se un sensore rileva anomalie nel funzionamento dell appliance, genera un allarme che viene visualizzato nella pagina System Status, insieme all azione correttiva consigliata. Inoltre, il pulsante System Status sulla barra di navigazione funge da indicatore visivo cambiando colore: il verde indica funzionamento normale, il giallo indica il livello di avviso, mentre il rosso corrisponde agli allarmi critici. Facendo clic sul pulsante si apre la pagina System Status, in cui sono disponibili ulteriori informazioni e viene avviata l azione correttiva, se necessario. Allarmi proattivi In caso di indisponibilità dell amministratore, gli allarmi possono essere inviati a un utente designato. In situazioni critiche, inoltre, Sophos viene avvertita automaticamente affinché possa prendere misure preventive. A seconda della natura e della gravità della situazione può essere generato anche un allarme via che viene inviato all amministratore o a un altro utente designato. Non è necessario che l amministratore abbia effettuato l accesso all appliance per verificarne lo stato. Una condizione critica, inoltre, determina l invio di un allarme direttamente al supporto Sophos, al fine di facilitare una rapida risoluzione del problema. In questo caso, Sophos avvia un azione correttiva senza contattare l amministratore. Ad esempio, se uno dei due alimentatori non funziona, Sophos provvede all invio di un alimentatore di ricambio, prima ancora che l amministratore si accorga del guasto. 35

37 guida alla valutazione: Sophos Appliance Assistenza remota su richiesta Le Sophos Appliance includono una corposa guida in linea, in cui poter effettuare ricerche, che offre assistenza nella risoluzione dei problemi. Nel caso in cui un amministratore non riesca a risolvere un problema del sistema, è possibile richiedere l assistenza remota diretta di un tecnico Sophos. La sessione protetta di assistenza remota, che può essere avviata soltanto da un amministratore abilitato, consente al tecnico Sophos di accedere all appliance per fornire aiuto nella risoluzione dei problemi. La sessione utilizza la tecnologia Secure Shell (SSH) che non richiede modifiche alle impostazioni del firewall e per sicurezza scade automaticamente dopo quattro ore. Come ulteriore misura di sicurezza, ogni modifica apportata all appliance dal tecnico Sophos viene memorizzata in un log, comprese le digitazioni sulla tastiera. Ciò significa in sostanza che le sessioni di assistenza remota non compromettono l integrità e la sicurezza del proprio sistema di posta. Garanzia Tutte le Sophos Appliance sono coperte dalla garanzia di sostituzione dell hardware per tre anni dall acquisto. Se uno dei componenti principali del dispositivo (disco rigido, alimentatore, intera unità) dovesse guastarsi durante il normale utilizzo, Sophos invia automaticamente la parte di ricambio, senza attendere di ricevere il pezzo difettoso. Questa garanzia dimostra la fiducia che Sophos ripone nelle Sophos Appliance e dà agli ammini-stratori la tranquillità e la sicurezza che meritano. Nota Per informazioni sui termini e le condizioni della garanzia nel proprio Paese, contattare la filiale o il partner Sophos più vicino. Nei modelli ES5000 e ES8000 le unità sostituibili sul campo sono soltanto due: i dischi rigidi e gli alimentatori. Entrambe le unità possono essere sostituite senza arrestare o riavviare il sistema. l guasto di qualsiasi altro componente richiederà la sostituzione dell appliance. Il modello ES1000 non dispone di unità sostituibili sul campo. Non sarà mai necessario aprire l involucro di una Sophos Appliance per effettuare la manutenzione. Notare che, per ragioni di sicurezza, l apertura dell involucro invalida la garanzia del dispositivo e determina l invio di un allarme a Sophos. Per maggiori informazioni sulla garanzia delle Sophos Appliance, consultare il Contratto di Licenza per l Utente Finale. Supporto tecnico Sophos 24/7 L eccellenza dei suoi servizi di supporto pone Sophos al di sopra della concorrenza. L assistenza è disponibile 24 su 24, ogni giorno dell anno. In qualsiasi momento è possibile contattare il team internazionale di supporto per ricevere assistenza dedicata. I nostri centri di supporto tecnico si trovano in Australia, Canada, Francia, Germania, Giappone, Italia, Singapore, Regno Unito e Stati Uniti. Gli esperti possono replicare, analizzare e risolvere i problemi, avvalendosi delle risorse di SophosLabs e del team di sviluppo dei prodotti. Questo servizio è incluso in tutti i prodotti Sophos. Il supporto Sophos non è esternalizzato ed è sempre attivo: i tecnici Sophos sono giorno e notte a disposizione dei clienti, a mezzo telefono o via . 36

38 Appendice I Appendice I: criteri predefiniti Informazioni generali Per i messaggi con Verso Eccetto verso Azione Notifica/ reindirizza Utenti Spammer noti Tutti Nessuno Rifiuta (all agente MTA) No No Dimensioni (in ingresso e in uscita) superiori a 10 MB (con o senza allegati) Antispam in ingresso Tutti Nessuno Rifiuta (all agente MTA) No No Aggiungi banner Per i messaggi con Verso Eccetto verso Azione Notifica utenti Utenti Aggiungi banner Probabilità elevata di essere spam Probabilità media di essere spam Tutti Tutti Utenti con controllo antispam disabilitato Utenti con controllo antispam disabilitato Cancella No No Quarantena No No Antivirus in ingresso Per i messaggi con Verso Eccetto verso Azione Notifica utenti Utenti Aggiungi banner Virus Tutti Nessuno Cancella No No Allegati non sottoponibili a scansione Tutti Nessuno Consegna con banner di avviso No Can t clean (Disinfezione non riuscita) Allegati criptati Tutti Nessuno Consegna con banner di avviso No Encr_file Allegati sospetti Tutti Nessuno Archivia in quarantena, rimuovi file, consegna Antispam in uscita No Suspicious (Sospetto) Per i messaggi con Verso Eccetto verso Azione Notifica utenti Utenti Aggiungi banner Probabilità elevata Tutti Nessuno Quarantena No N/D Probabilità media Tutti Nessuno Quarantena Antivirus in uscita Per i messaggi con Verso Eccetto verso Azione Notifica utenti Utenti Aggiungi banner Virus Tutti Nessuno Quarantena No N/D Allegati non sottoponibili Tutti Nessuno Consegna No N/D a scansione Allegati criptati Tutti Nessuno Consegna No N/D Allegati sospetti Tutti Nessuno Cancella No N/D 37

39 guida alla valutazione: Sophos Appliance Appendice II: specifiche hardware Specifiche* dei modelli Appliance ES1000, ES5000 e ES8000 Software integrato Motore antivirus di Sophos Motore antispam di Sophos Entrambi i motori sono dotati dei sistemi di protezione proattiva Genotype e Behavioral Genotype Sender Genotype fornisce protezione a livello di connessione Cifratura TLS Funzione di failover a due unità (attiva/passiva) con configurazione condivisa Console di gestione e pannello di controllo basati su Web Allarmi e notifiche sullo stato del sistema Integrazione LDAP incluso Active Directory Postfix MTA (Mail Transfer Agent) Sistema operativo FreeBSD ottimizzato per la sicurezza Hardware - ES1000 Hardware - ES5000 Hardware - E8000 Processore Single Core Processore Quad Core Processore Quad Core Disco rigido SATA da 160 GB Dischi rigidi: due dischi SAS hot-swap da 160 GB (RAID1) Dischi rigidi: due dischi SAS hot-swap da 300 GB (RAID1) Alimentatore 100/240 V CA, 260 W Alimentatori: doppio alimentatore hot-swap V CA, 920 W Alimentatori: doppio alimentatore hot-swap V CA, 920 W messaggi all ora messaggi all ora messaggi all ora Montabile su rack 1U Montabile su rack 1U Montabile su rack 1U Dimensioni (L x A x P): 427 mm x 43 mm x 356 mm (16,8 x 1,7 x 14,0 ) Dimensioni (L x A x P): 432 mm x 43 mm x 650 mm (17,0 x 1,7 x 25,6 ) Dimensioni (L x A x P): 432 mm x 43 mm x 650 mm (17,0 x 1,7 x 25,6 ) Peso 11,8 kg (26 lb) Peso 20,5 kg (45 lb) Peso 20,5 kg (45 lb) Certificazioni di sicurezza e normative Certificazioni UL 60950, CE, FCC PART 15, VCCI, C-TICK, TUV-GS, SABS, RoHS, WEEE Supporto tecnico Garanzia di sostituzione dell hardware entro 3 anni dall acquisto (in presenza di valida licenza software) Supporto 24/7 *Le specifiche Sophos possono venire aggiornate senza preavviso. Si consiglia di controllare periodicamente il sito 38

40 Boston, USA Oxford, UK rg/090224

Documenti analoghi
2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back