Come ottenere il massimo da un firewall di nuova generazione



Documenti analoghi
Condizioni di servizio per l'utente finale (applicazioni gratuite)

Quando si trasferisce un modello 3D da un'applicazione CAD a un'altra, si possono perdere ore e addirittura giorni nel tentativo di ottenere una

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

MANDATO DI AUDIT DI GRUPPO

Il fenomeno della geolocalizzazione. Ugo Benini

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

lem logic enterprise manager

SERVER E VIRTUALIZZAZIONE. Windows Server Guida alle edizioni

IT Cloud Service. Semplice - accessibile - sicuro - economico

Domande e risposte su Avira ProActiv Community

Client - Server. Client Web: il BROWSER

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

Sophos. Premessa. Con l evoluzione delle minacce, il controllo è fondamentale. Un offerta completa e sicura. Un servizio esclusivo

SICUREZZA INFORMATICA MINACCE

Domande frequenti su Phoenix FailSafe

per la sicurezza della vostra azienda Be ready for what s next! Kaspersky Open Space Security

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

La tecnologia cloud computing a supporto della gestione delle risorse umane

CONDIZIONI PARTICOLARI PER GLI INDIRIZZI IP AGGIUNTIVI Versione del 29 Novembre 2012

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Controllo web per endpoint Panoramica

SurfCop. Informazioni sul prodotto

Symantec Insight e SONAR

Archiviazione ottica documentale

La CASSAFORTE DIGITALE per

Tutela della privacy Introduzione

La potenza di una buona idea: 50 anni di trasmissione idrostatica. Linde Material Handling

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

InitZero s.r.l. Via P. Calamandrei, Arezzo

Piano Nazionale Scuola Digitale Liceo A. Moro

Mi chiamo Stefania Moretti e rappresento l Azienda AUDIO VIDEO ITALIANA, fondata nel 1972 da Vittorio Moretti.

Controllo web per endpoint Panoramica. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

INFORMATIVA SUI COOKIE

COOKIES COSA SONO I COOKIES? COME UTILIZZIAMO I COOKIES?

PROTEGGI E GESTISCI LA TUA FLOTTA DI DISPOSITIVI MOBILI. Freedome for Business

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Condividi, Sincronizza e Collabora

Una minaccia dovuta all uso dell SNMP su WLAN

INFORMATIVA SUI TRATTAMENTI DEI DATI PERSONALI

Grazie a Ipanema, Coopservice assicura le prestazioni delle applicazioni SAP & HR, aumentando la produttivita del 12%

Firewall e Abilitazioni porte (Port Forwarding)

WIFI negli ospedali dei Bressanone e Vipiteno

Creare una Rete Locale Lezione n. 1

Replica con TeraStation 3000/4000/5000/7000. Buffalo Technology

TeamPortal. Servizi integrati con ambienti Gestionali

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

Internet Banking per le imprese. Guida all utilizzo sicuro

SERVER DI STAMPA AXIS

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

UNA CONCRETA OPPORTUNITA DI BUSINESS O L APERTURA AL CAOS?

Informativa sulla privacy

marketing highlights Google Analytics A cura di: dott. Fabio Pinello

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico

Symantec Protection Suite Small Business Edition Una soluzione semplice, efficace e conveniente progettata per le piccole aziende

LEAD GENERATION PROGRAM

ISO 9001:2000: COME UTILIZZARE LA NORMA PER GESTIRE I FORNITORI

MANUALE DELLA QUALITÀ Pag. 1 di 6

Attività federale di marketing

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Soluzioni HP per la Gestione della Stampa. Tutto TEMPO GUADAGNATO.

Turismo Virtual Turismo Virtual Turismo Virtual

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per sito)

SPSS Statistics per Windows - Istruzioni di installazione per (Licenza per utenti singoli)

La posta elettronica in cloud

BYOD e virtualizzazione

CitySoftware PROTOCOLLO. Info-Mark srl

Manuale d'uso del Connection Manager

Proteggiamo il PC con il Firewall di Windows Vista

Il cloud per la tua azienda.

Dispositivi di rete. Ripetitori. Hub

EasyMACHINERY ERPGestionaleCRM. partner

Manuale LiveBox APPLICAZIONE ANDROID.

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments

STUDIO MESSANO UFFICIO SVILUPPO NUOVE TECNOLOGIE

Quel che ogni azienda deve sapere sul finanziamento*

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Informazioni di identificazione personali

itime Chiaramente inclusa la stampa del cartellino presenze come previsto dalle normative

MService La soluzione per ottimizzare le prestazioni dell impianto

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

Manuale LiveBox APPLICAZIONE ANDROID.

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

ASP. Application Service Provider Applicativi TeamSystem

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Supply Intelligence. Informazioni rapide e approfondite sui fornitori potenziali

Chat. Connettersi a un server di chat. Modificare le impostazioni di chat. Ricevere impostazioni chat. Chat

Outlook Plugin per VTECRM

PROTEGGI IL TUO BUSINESS OVUNQUE TI CONDURRÀ. Protection Service for Business

Modifiche principali al programma Adobe Open Options NOVITÀ! DISPONIBILITÀ ESCLUSIVA DEL SOFTWARE ADOBE ACROBAT ELEMENTS

Banca dati Professioniste in rete per le P.A. Guida all uso per le Professioniste

Sophos Computer Security Scan Guida di avvio

Business Consumer Solution. Il compagno ideale

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

IBM SPSS Statistics per Mac OS - Istruzioni di installazione (Licenza per sito)

Transcript:

White paper Come ottenere il massimo da un firewall di nuova generazione La piena visibilità e il controllo completo della rete migliorano l'efficienza aziendale e consentono di accrescere le attività aziendali in un contesto di massima sicurezza. Per far fronte a questa sfida: Conformità alle normative Controllo e visibilità dettagliati Supporto delle esigenze aziendali e contenimento dei comportamenti rischiosi Autorizzazione di determinati utilizzi dei dispositivi personali Protezione dalle minacce via Internet Utilizzo sicuro della crittografia Bilanciamento dei requisiti di sicurezza e prestazioni Il firewall di nuova generazione deve: Eseguire il filtraggio stateful deterministico. Identificare e controllare applicazioni e microapplicazioni, indipendentemente dalle porte e dai protocolli utilizzati. Identificare gli utenti per mezzo dell'autenticazione attiva e passiva. Individuare e controllare specifici comportamenti all'interno delle microapplicazioni consentite. Permettere l'accesso ai siti Internet consentiti, bloccando le categorie Web inappropriate. Supportare un'ampia gamma di dispositivi mobili con accesso differenziato per ciascuno. Controllare i siti e le applicazioni basate sul Web in base a un'analisi dinamica della reputazione. Offrire protezione anche dalle minacce di nuovissima generazione, quasi in tempo reale. Decrittografare e ispezionare il traffico crittografato in base a determinate policy. Mantenere un livello di prestazioni costante con diversi servizi di sicurezza abilitati. Nell'affrontare l'esigenza di conciliare gli aspetti di sicurezza e produttività, gli amministratori di rete stanno affrontando cambiamenti epocali nella storia dell'informatica. Il rapido evolversi delle tendenze aziendali li porta a dover garantire un accesso a Internet ampio ma sicuro, che consenta ai dipendenti di accedere alle applicazioni aziendali consentite dal dispositivo che preferiscono. Le applicazioni sono diventate estremamente dinamiche e ricche di sfaccettature e non è più così semplice marcare un confine tra le applicazioni accettabili per uso aziendale e quelle che, invece, espongono l'azienda a perdite di tempo inutili e minacce provenienti Internet. In passato, la definizione di "utilizzo accettabile" era relativamente circoscritta, ma i social media, la possibilità di condividere file e le applicazioni per la comunicazione in Internet si sono evoluti adattandosi a molti utilizzi, di natura sia aziendale che strettamente personale. Tutte queste applicazioni sono ormai ampiamente diffuse a tutti i livelli aziendali. A complicare ulteriormente la situazione, oggigiorno la forza lavoro sta diventando sempre più mobile e per gli utenti è necessario poter accedere alla rete ovunque si trovino e in qualsiasi momento, tramite una serie di dispositivi mobili aziendali e personali. Di conseguenza, per aumentare la produttività e la soddisfazione dei dipendenti, aziende di tutti i tipi e di qualsiasi dimensione hanno adottato l'approccio "Bring Your Own Device" (BYOD). Queste e altre tendenze hanno generato una crescente problematica per gli amministratori di rete: applicare le policy di utilizzo accettabile necessarie per proteggere la rete, garantendo al contempo una flessibilità tale da consentire di raggiungere e mantenere il livello di produttività richiesto per alimentare la crescita aziendale. L'approccio all'aspetto della protezione deve essere rinnovato (senza per questo dimenticare i metodi comprovati nel tempo), al fine di migliorare la visibilità e il controllo della rete, accelerare l'innovazione aziendale e proteggere la rete da minacce nuove ed emergenti in maniera proattiva. Piuttosto che abbandonare i firewall con filtraggio stateful esistenti, gli amministratori devono invece integrare questi dispositivi di protezione dall'efficacia comprovata con ulteriori controlli della sicurezza basati sulla rete, in modo da realizzare un'intelligence di rete end-to-end e operazioni di protezione semplificate. 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 1 di 6

Sfide aziendali Come accennato in precedenza, se in passato i social media, la condivisione di file e le applicazioni per la comunicazione in Internet erano vietati nelle reti aziendali, ora sono accolti come metodi accettabili, efficaci ed economici per comunicare con clienti e partner in tutto il mondo. Motore di buona parte di questo cambiamento è la nuova forza lavoro: secondo il 47% dei partecipanti al sondaggio Cisco Annual Security Report per l'anno 2011, le policy aziendali in materia di social media devono essere flessibili, mentre il 56% non accetterebbe di lavorare presso un'azienda che vieta l'accesso ai social media o comunque cercherebbe il modo di aggirare il divieto. Analogamente, mentre in passato i dispositivi con accesso alla rete erano solo di proprietà del reparto IT e severamente controllati dal personale al suo interno, ora l'accesso protetto viene concesso anche a un'ampia gamma di dispositivi personali. Fermi restando i vantaggi per la produttività aziendale, queste tendenze introducono anche nuovi e seri rischi per la sicurezza. Di conseguenza, le principali sfide che si pongono per le aziende di oggi riguardano l'applicazione di policy di utilizzo accettabile, il controllo sulle applicazioni potenzialmente rischiose, l'autorizzazione all'utilizzo dei dispositivi personali e la protezione contro le minacce provenienti da Internet. Applicazione di policy di utilizzo accettabile Due dei principali problemi da risolvere per le aziende ruotano intorno alle policy di utilizzo accettabile. Innanzitutto, è necessario un efficace filtraggio degli URL in base ai contenuti, al fine di bloccare i siti Web offensivi, inappropriati e potenzialmente illegali, come i siti con contenuti per adulti, violenti o razzisti, i siti che penalizzano la produttività o che richiedono una porzione esorbitante di larghezza di banda, come YouTube, e quelli potenzialmente all'origine di rischi legali per l'azienda, come BitTorrent e edonkey. Analogamente, le applicazioni devono subire ispezioni approfondite finalizzate a bloccare software notoriamente dannoso, come i proxy anonymizer, che i dipendenti possono utilizzare per evitare i controlli del reparto IT. A complicare ulteriormente l'esigenza di stabilire un contesto di utilizzo accettabile sono le applicazioni come Facebook, Twitter, LinkedIn e Skype. La graduale trasformazione di queste ultime in applicazioni aziendali accettabili non ha convinto molte organizzazioni a consentirne l'utilizzo in rete, poiché il rischio sarebbe un diffuso consumo inappropriato di una quantità eccessiva di larghezza di banda, con tutte le conseguenze del caso in termini di produttività dei dipendenti. Controllo sulle applicazioni potenzialmente rischiose Questa sfida è legata alla visibilità e al controllo sulle applicazioni di salto di porte e protocolli, come Skype e BitTorrent. Poiché è nella natura di tali applicazioni di trovare una via, indipendentemente da ciò che accade nella rete, esse possono presentare particolari problemi per gli amministratori che tentano di bloccarne l'utilizzo. Gli amministratori possono infatti scrivere decine di policy nel tentativo di bloccare una sola di queste applicazioni evasive e non riuscire comunque a controllarle in modo adeguato. Autorizzazione di dispositivi personali Il sondaggio Cisco Annual Security Report per l'anno 2011 ha rivelato che l'81% degli studenti universitari ritiene che dovrebbe essere autorizzato a scegliere il dispositivo di cui ha bisogno per svolgere il proprio lavoro. Inoltre, il 77% dei dipendenti intervistati a livello mondiale fa uso di diversi dispositivi per accedere alla rete aziendale, e più di un terzo di questi utilizza almeno tre dispositivi a scopi lavorativi. Di conseguenza, secondo il Global IBSG Horizons Report di Cisco del 2012, l'84% dei responsabili IT afferma che nelle aziende in cui lavora, l'informatica è sempre più oggetto di consumerizzazione. 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 2 di 6

Queste tendenze hanno trasformato l'approccio BYOD in una priorità per la maggior parte delle aziende e si prevede che, entro il 2014, le iniziative per l'utilizzo di sistemi mobili rappresenteranno in media il 23% dei budget IT, rispetto al 18% nel 2012. Mentre solo alcuni anni fa un'azienda doveva solamente determinare chi avrebbe avuto accesso alla rete e ai dati aziendali sensibili, l'approccio BYOD ha introdotto un nuovo livello di complessità decisionale. Ora le aziende devono decidere se i dipendenti ai quali è consentito l'accesso ai dati sensibili potranno beneficiare di tale diritto solo utilizzando dispositivi di proprietà dell'azienda oppure anche i propri. Ma una volta stabilito che i dispositivi personali sono accettabili, occorre decidere se lo siano tutti o solo alcuni. Allo stesso modo, occorre stabilire se i dipendenti debbano trovarsi nella LAN aziendale o se anche le connessioni VPN remote garantiscano il livello di protezione appropriato. Protezione contro le minacce via Internet Le minacce via Internet sono un altro problema per le aziende di qualunque dimensione. Sebbene gli strumenti come la condivisione di file e le applicazioni dei social media abbiano un effetto positivo sulla produttività dei dipendenti, questi presentano anche un rischio: possono essere sfruttati dagli hacker e da altri autori malintenzionati per ottenere accesso non autorizzato o diffondere malware nella rete. Le applicazioni di controllo remoto come TeamViewer e PC Anywhere possono aumentare significativamente la produttività di individui e team, ma i compilatori di malware possono utilizzare i lati vulnerabili di tali applicazioni per prendere il controllo delle risorse di rete. Inoltre, l'utilizzo di applicazioni per la condivisione di file, come Dropbox e icloud, apre la possibilità di caricamento di dati sensibili aziendali nel cloud, dove l'azienda non ha più controllo sulla distribuzione di tali informazioni. Il malware può anche mascherarsi dietro ad applicazioni ben note eseguite con porte aperte, può essere integrato in applicazioni consentite in cui sono stati scoperti lati vulnerabili oppure essere installato come download senza richiesta di autorizzazione da siti Web fraudolenti oppure consentiti ma infetti. Anche le tecniche di ingegneria sociale che si concentrano sugli utenti dei social media si sono rivelate efficaci; tali applicazioni hanno insegnato agli utenti che è perfettamente normale fare clic su collegamenti integrati nei messaggi e-mail e scaricare contenuti da siti Web sconosciuti, sebbene il personale IT raccomandi già da tempo di astenersi da tali pratiche. È necessario un approccio attivo e completo alla protezione di rete I leader aziendali comprendono che la flessibilità è essenziale per aumentare al massimo la produttività. Ma come approfittano dei vantaggi in termini di produttività e costi offerti dalle tendenze aziendali e tecnologiche proteggendosi al contempo dalle minacce alla sicurezza poste da tali tendenze? La risposta sta nella capacità di aumentare al massimo la visibilità di un'azienda del proprio traffico di rete tramite il riconoscimento completo dei contenuti. Quando possono vedere chiaramente i dettagli del traffico di rete, gli amministratori possono prendere decisioni più intelligenti. La visibilità di applicazioni e ID utente, sebbene importante, non fornisce il riconoscimento completo dei contenuti necessario per abilitare in sicurezza nuove applicazioni, dispositivi e business case. Il riconoscimento completo dei contenuti include anche filtri URL di classe enterprise, reputazione Web dinamica, riconoscimento dei dispositivi e individuazione della posizione di utenti e dispositivi. Visibilità e controllo delle applicazioni Come accennato in precedenza, il riconoscimento delle applicazioni è un requisito fondamentale per qualsiasi firewall di nuova generazione. Tuttavia, è fondamentale che il firewall riconosca non solo le applicazioni stesse, ma anche le microapplicazioni che possono compromettere tale applicazione e deve fornire la possibilità di bloccarle. Questo è particolarmente importante per le applicazioni dei social media come Facebook e LinkedIn. Il semplice riconoscimento di tali applicazioni fornisce solo la possibilità di bloccare o consentire l'applicazione nella sua interezza. Ad esempio, un'azienda potrebbe decidere di fornire l'accesso a Facebook per consentire al personale che si occupa di vendite e marketing di aggiungere post alla pagina Facebook aziendale e di comunicare con clienti e partner, vietando però l'accesso ai giochi di Facebook. Riconoscendo ogni microapplicazione separatamente, gli amministratori possono assegnare diversi privilegi d'accesso a ciascuna di queste. 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 3 di 6

Inoltre, riconoscendo comportamenti specifici all'interno di tali micro-applicazioni il firewall può fornire agli amministratori un controllo ancora più dettagliato. Ad esempio, i comportamenti specifici nella microapplicazione Messaggi e chat Facebook sono "caricamento allegato", "download allegato" e video chat. Sebbene la maggior parte di queste azioni possano essere considerate attività aziendali appropriate, è probabile che il comportamento "download allegato" sia visto dal personale addetto alla protezione come rischioso. Utilizzando un firewall che riconosca i comportamenti specifici all'interno di una microapplicazione, gli amministratori possono consentire l'utilizzo dell'applicazione "Messaggi e chat di Facebook", vietando però il comportamento "download allegato". Anche le applicazioni evasive come Skype possono essere controllate in modo efficace se il firewall può monitorare tutte le porte e i protocolli e consentire la definizione di policy basate solo sull'identificazione dell'applicazione stessa. Poiché le applicazioni come Skype hanno sempre lo stesso ID applicazione, indipendentemente dalla porta o dal protocollo che utilizzano per uscire dalla rete, l'aggiunta di una policy per il blocco di Skype può essere più efficace e richiedere un numero di policy inferiore rispetto alla compilazione di decine di policy di firewall stateful per bloccare tutte le combinazioni possibili. In questo modo, gli amministratori risparmiano tempo durante lo sviluppo iniziale e durante la gestione continua delle policy, con una conseguente maggiore efficienza operativa per l'azienda. Infine, controllando chi ha accesso alle applicazioni di condivisione dei file, nonché i comportamenti delle applicazioni di cui è consentito l'utilizzo, gli amministratori possono proteggere i dati critici dell'azienda, consentendo al contempo ai dipendenti di fare uso di strumenti aziendali importanti. Identificazione avanzata degli utenti Il riconoscimento degli utenti è un altro componente fondamentale di qualunque firewall di nuova generazione; la maggior parte fornisce un'autenticazione passiva tramite un servizio di directory aziendale come Active Directory (AD). Questa funzionalità consente agli amministratori di mettere in pratica policy basate sull'identità dell'utente o sul gruppo o sui gruppi a cui appartiene. Sebbene tale identificazione in sé abbia un valore limitato o nullo, quando è abbinata al riconoscimento delle applicazioni di cui si è parlato in precedenza, può essere utilizzato dagli amministratori per consentire un accesso differenziato a certe applicazioni. Ad esempio, il personale addetto a marketing e vendite può avere un'ammissibile esigenza lavorativa di accedere agli strumenti dei social media, non condivisa dal reparto contabilità. Oltre all'autenticazione passiva, alcuni firewall di nuova generazione hanno esteso tale funzionalità includendo il supporto per l'autenticazione attiva per casi di utilizzo aziendale che richiedono misure di protezione più rigide. Mentre l'autenticazione passiva si basa su una semplice ricerca del servizio directory e si affida al fatto che questo abbia identificato nel modo appropriato l'utente tramite la mappatura del nome utente e dell'indirizzo IP, l'autenticazione attiva richiede un livello aggiuntivo di protezione che utilizza meccanismi come Kerberos e NT LAN Manager (NTLM). Questa funzionalità può essere eseguita con una richiesta al browser, che a sua volta invia una risposta ottimale basata sulle credenziali di accesso dell'utente, o presentando una richiesta di autenticazione all'utente. In entrambi i casi, è l'amministratore della protezione che autentica l'utente piuttosto che fare affidamento sulla mappatura del nome utente e dell'indirizzo IP. Questa funzionalità è importante per le aziende che devono fornire l'accesso a informazioni sensibili come i dati della carta di credito di un cliente o un database che contiene informazioni sanitarie. Sensibilità ai dispositivi Per le ditte che hanno adottato l'approccio BYOD come realtà aziendale, equilibrare produttività e protezione richiede una visibilità dettagliata dei dispositivi specifici che cercano di accedere alla rete, consentendo agli amministratori di mettere in pratica policy differenziate basate su ciascun dispositivo utilizzato. Ad esempio, un'azienda può decidere di consentire ai dispositivi iphone 4 di accedere alla maggior parte delle risorse di rete, vietando o limitando tale accesso a versioni precedenti di iphone, oppure può scegliere di consentire l'accesso a un iphone 4 ma non a un 4S. Analogamente, l'azienda può consentire l'accesso a PC Windows, vietandolo ai Mac. Inoltre, se il firewall è in grado di riconoscere la posizione, è possibile applicare policy diverse in base alla posizione del dispositivo (all'interno della LAN o accesso remoto). 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 4 di 6

Sicurezza Web Le funzionalità di filtro URL e Web consentono l'accesso alle applicazioni e ai contenuti appropriati, vietando l'utilizzo di quelli che possono aumentare il rischio, influire negativamente sulla produttività o causare la perdita di informazioni riservate. La maggior parte dei dispositivi di protezione offre filtri Web di base basati su ampie categorie, così come la possibilità di inserire specifici siti in categorie di siti appropriati o inappropriati. Molti fornitori includono anche un database di URL "negativi" conosciuti all'interno dello strumento stesso. Tuttavia, a causa della natura dinamica di Internet, tali funzionalità non sono sufficienti. Secondo l'organizzazione non profit stopbadware.org, più di un milione di siti Web distribuisce malware e altri software che agiscono senza il permesso dell'utente (detti spesso anche "greyware"). Poiché ogni settimana vengono aggiunti all'elenco migliaia di nuovi URL, una protezione Web che si limita ad elenchi statici senza modifiche non sarà mai in grado di tenere il passo. Pertanto, oltre a queste funzionalità, le aziende necessitano di filtri URL continuamente aggiornati per una protezione quasi in tempo reale dalle minacce in costante evoluzione. Inoltre, il firewall deve essere in grado di identificare e bloccare il malware che si cela dietro ad applicazioni ben note eseguite con porte aperte, senza inibire il valore commerciale degli strumenti aziendali accettabili che utilizzano tali porte. Questa funzionalità può essere ulteriormente rafforzata utilizzando il traffico di dati globali e applicazioni per offrire informazioni quasi in tempo reale sullo stato delle minacce, tra cui un'analisi della reputazione basata sul comportamento mostrato da un sito o da un'applicazione Web specifica. Se un provider riceve traffico da un alto numero di fonti in tutto il mondo e offre aggiornamenti a una frequenza sufficientemente elevata, i dati globali possono anche contribuire a proteggere l'azienda dalle minacce zero-day. Per abilitare questi scenari d'uso senza compromettere la sicurezza, alcune aziende IT hanno sostituito i firewall stateful con altri che assicurano maggiore visibilità e, di conseguenza, un controllo maggiore. Sebbene una maggiore visibilità sia raramente considerata un elemento negativo, i firewall di nuova generazione presentano dei compromessi che è importante che gli amministratori e i leader aziendali comprendano prima di prendere una decisione su un acquisto. Visibilità limitata: un problema risolto per metà Non ci sono dubbi sul fatto che aggiungere maggiore visibilità del traffico di rete apporti enormi vantaggi di protezione. Una maggiore visibilità della rete offre agli amministratori la capacità di sviluppare e mettere in pratica policy di protezione più dettagliate per una protezione maggiore delle risorse aziendali. Per questo motivo, il riconoscimento delle applicazioni e degli ID utente è fondamentale per i firewall di nuova generazione. Tuttavia, molti firewall di nuova generazione incentrano l'intera soluzione esclusivamente su questi due elementi a discapito di tutto il resto. Sicuramente qualunque grado di visibilità è migliore rispetto a una visibilità assente, ma, come già detto in precedenza, una normale rete aziendale è così complessa che il riconoscimento delle applicazioni e degli ID utente da solo non è sufficiente a garantire una visibilità tale da consentire decisioni ponderate in materia di sicurezza. Oltre a queste funzionalità, una soluzione di protezione completa deve fornire agli amministratori la possibilità di controllare comportamenti specifici all'interno delle microapplicazioni consentite, di limitare l'utilizzo del Web e delle applicazioni Web in base alla reputazione del sito, di mettere in pratica attivamente una protezione contro le minacce via Internet e di applicare policy differenziate in base al tipo di utente, di dispositivo, di ruolo o di applicazione. Alla ricerca del meglio di entrambi i mondi Nonostante i numerosi vantaggi offerti dall'utilizzo di un firewall di nuova generazione, esistono anche alcuni aspetti negativi da tenere in considerazione. Pertanto, i leader aziendali devono valutare in modo completo le opzioni a loro disposizione per prendere una decisione sull'acquisto. Molti fornitori di firewall di nuova generazione obbligano i clienti ad abbandonare i firewall esistenti e tutte le policy di sicurezza a essi associate in modo da ricominciare "da capo" con tutte le nuove policy per la protezione sviluppate in modo specifico per la piattaforma del firewall di nuova generazione. Questo metodo di "cancellazione e sostituzione" è necessario poiché la maggior parte dei firewall di nuova generazione sono fondamentalmente diversi dai firewall classici o stateful esistenti e funzionano a un livello di elaborazione completamente diverso. 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 5 di 6

Mentre i firewall stateful funzionano a livello della rete e del trasporto dell'architettura di elaborazione, i firewall di nuova generazione funzionano a livello di applicazione. Di conseguenza, le policy per i firewall esistenti nell'azienda sono inutili nel nuovo paradigma e devono essere pertanto riscritte completamente. Non si tratta di un compito semplice e rapido: la maggior parte delle aziende dispone di migliaia di policy e le aziende più grandi possono averne decine di migliaia. Per completare questa operazione possono essere necessari mesi di tempo e spese significative. Inoltre, la protezione eseguita a livello di applicazione rappresenta per natura un livello di ispezione più profondo e può causare un peggioramento delle prestazioni di rete. Sostituire il firewall aziendale con filtraggio stateful con uno esclusivamente destinato al livello di applicazione può anche mettere a repentaglio la conformità dell'azienda alle norme di settore, poiché molti organismi regolatori richiedono specificamente il filtraggio stateful. Poiché le politiche di firewall basate su applicazioni e ID utente non sono deterministiche, fare affidamento esclusivamente su un firewall di nuova generazione può mettere l'azienda a rischio di non superare un audit. Tuttavia, alcuni fornitori di firewall offrono un approccio ibrido, che combina le funzionalità stateful e dei firewall di nuova generazione. Poiché questi firewall le supportano entrambe, le aziende possono continuare a utilizzare le policy esistenti mentre sviluppano regole di nuova generazione. Non essendo costrette a scegliere le une a scapito delle altre, le aziende possono sostituire le vecchie policy col tempo, in base alle proprie necessità di protezione. Inoltre, non tutto il traffico richiede un livello di ispezione più profondo da parte dei firewall di nuova generazione, perciò il modello ibrido consente alle aziende di mantenere una parte maggiore delle prestazioni di rete eseguendo l'ispezione di livello più profondo solo per traffico e casi di utilizzo che lo richiedono. In questo modo, le aziende possono raggiungere un livello superiore di sicurezza, potenziando al massimo la flessibilità aziendale. Conclusioni Le tendenze come il BYOD e l'adozione di social media e altre applicazioni "greyware" come strumenti aziendali consentiti hanno importanti conseguenze sulle aziende di qualunque dimensione. Tuttavia, i firewall di nuova generazione che offrono solo il riconoscimento delle applicazioni e dell'id utente non garantiscono il livello di visibilità della rete necessario per abilitare tali strumenti in sicurezza. Piuttosto, osservando l'intero contesto del traffico di rete, gli amministratori possono provvedere attivamente a un tipo di protezione basato su un elevato livello di intelligence e visibilità della rete. Utilizzando un firewall che unisca le funzionalità stateful a un riconoscimento completo dei contenuti, le aziende possono equilibrare l'elevato livello di protezione della rete necessario per supportare questi nuovi business case e la flessibilità di cui hanno bisogno per potenziare al massimo l'agilità aziendale. 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 6 di 6

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back