U N CASE DI SUCCESSO NEL SETTORE ASSICURATIVO

Documenti analoghi
Progetto Firewall in alta affidabilità

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Sommario. Oggetto: Istruzioni configurazione client VPN per piattaforma Mac OSX Data: 25/01/2016 Versione: 1.0

C A S E D I S U C C E S S O N E L S E T T O R E E D U C A T I O N A L. Meru Networks

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova

AZIENDA ULSS 20 DI VERONA

Creare una Rete Locale Lezione n. 1

VoipExperts.it SkyStone - Introduzione

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

May Informatica S.r.l.

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Evoluzione della sicurezza IT

La VPN con il FRITZ!Box - parte II. La VPN con il FRITZ!Box Parte II

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

IL CENTRALINO VoIP. Schema progetto: Work-flow. Hydra Control

Simulazione seconda prova Sistemi e reti Marzo 2016

Allegato 3 Sistema per l interscambio dei dati (SID)

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Allegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio

SISTEMA INFORMATIVO AGRICOLO REGIONALE AGGIORNAMENTO PROGETTO OPERATIVO PER LA REALIZZAZIONE DELLA RETE DI COMUNICAZIONE

esales Forza Ordini per Abbigliamento

Firewall applicativo per la protezione di portali intranet/extranet

Sharpdesk V3.3. Guida all installazione Versione

La migliore soluzione per la sicurezza documentale

Installazione di GFI WebMonitor

L obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale.

Approfondimenti. Contenuti

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

Fatti Raggiungere dal tuo Computer!!

SICUREZZA INFORMATICA PER L UNIONE DI COMUNI LOMBARDA ASTA DEL SERIO

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

Guida alla registrazione on-line di un DataLogger

PAWSN. Wireless social networking

Firewall e Abilitazioni porte (Port Forwarding)

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

I livelli di Sicurezza

Dal software al CloudWare

Manuale di configurazione di Notebook, Netbook e altri dispositivi personali che accedono all Hot e di programmi per la comunicazione

Servizi. Web Solution

ARCHIVIA PLUS VERSIONE SQL SERVER

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

Linux hands-on & hands-off Workshop

CONTENT MANAGEMENT SYSTEM

Ministero dell Ambiente e della Tutela del Territorio e del Mare

Descrizione generale del sistema SGRI

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING

Sicurezza a livello IP: IPsec e le reti private virtuali

CATALOGO SERVIZI

ALYFA.NET (Company profile)

crazybrain snc Presentazione_VisualFTP.pdf Pag. 1 VisualFTP Presentazione del prodotto Web partner:

Manuale Helpdesk Ecube

WAN / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

Protezione della propria rete

Progetto Atipico. Partners

InitZero s.r.l. Via P. Calamandrei, Arezzo

Dipartimento di Scienze Applicate

I MODULI Q.A.T. PANORAMICA. La soluzione modulare di gestione del Sistema Qualità Aziendale

Specifiche tecniche e funzionali del Sistema Orchestra

CONFIGURARE IL DISPOSITIVO DI TELEASSISTENZA

È evidente dunque l'abbattimento dei costi che le soluzioni ASP permettono in quanto:

PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO

CLOUD AWS. #cloudaws. Community - Cloud AWS su Google+ Amazon Web Services. Amazon VPC (Virtual Private Cloud)

Ministero dell Ambiente e della Tutela del Territorio e del Mare

Comunichiamo ovunque.

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

NEXT-GEN USG: Filtri Web

Telecontrollo. Come poter controllare in remoto l efficienza del vostro impianto

TeamPortal. Servizi integrati con ambienti Gestionali

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Case Study. cliente SEIEFFE & TRAVISUD. partner SWYX. soluzione SWYXWARE. dimensione azienda PMI. mercato di riferimento Telecomunicazioni

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

DINAMIC: gestione assistenza tecnica

COMUNE DI CONEGLIANO. Pagina1. Progetto donato dal Rotary Club Conegliano con la partecipazione di: SPONSOR

lem logic enterprise manager

ANALISI DELL INFRASTRUTTURA IT

UNIDATA S.P.A. Per la Pubblica Amministrazione. Compatibile con. giovedì 23 febbraio 12

ImporterOne Manuale Export Plugin Prestashop

Windows XP Istruzioni rete wired per portatili v1.0

SOMMARIO... 2 Introduzione... 3 Configurazione Microsoft ISA Server... 4 Microsoft ISA Server Microsoft ISA Server

System Integrator Networking & Communication

database Web - GIS Un esempio prototipo: Procida - Vivara

Architetture Informatiche. Dal Mainframe al Personal Computer

Architetture Informatiche. Dal Mainframe al Personal Computer

Sharpdesk V3.3. Guida all installazione Versione

La gestione integrata della sicurezza in Agenzia ANSA: dal firewalling all'utm Michelangelo Uberti, Sales Engineer Babel S.r.l.

INFORMAZIONI PER I PARTNER DI VENDITA DOMANDE E RISPOSTE CHE COSA CAMBIA CON LA NUOVA IMMAGINE DEL MARCHIO?

Infrastruttura e servizi collegati

22 Ottobre #CloudConferenceItalia

maturata precedentemente con la versione Client/Server, il nuovo applicativo Web

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Sommario. Oggetto: Istruzioni configurazione client VPN SSL per piattaforma Windows Data: 25/01/2016 Versione: 1.0

Sicurezza informatica in azienda: solo un problema di costi?

Case History Sistema di streaming in intranet aziendale Cliente: Armani.

Hardware delle reti LAN

Infrastruttura di produzione INFN-GRID

Transcript:

U N CASE DI SUCCESSO NEL SETTORE ASSICURATIVO Aditinet Consulting SpA Sede Legale: viale Odone Belluzzi, 57 00128 Roma tel. 06.45439252, fax 06.45439253 Partita IVA e Codice Fiscale: 04137280964 Capitale Sociale 300.000,00 i.v. Ufficio di Milano: Centro Direzionale Colleoni Pal. Liocorno, Ingresso 3 via Paracelso, 6 20041 Agrate Brianza (MB) tel. 039.5965582, fax 039.5965583 Ufficio di Padova: via Beato Pellegrino, 76 35137 Padova tel. 049.3006768

Riferimenti documento Description: Documento riassuntivo progetto settore Assicurativo File name: Project Manager: Phase: Startup Quality Review Method: Review Document Version No: 1.0 Prepared By: Giuseppe Letizia StartUp Date: 2013.02.06 ReviewedBy: n.a. Review Date: n.a Avvertenza Le informazioni contenute in tutte le pagine del presente documento, e negli schemi allegati, sia di tipo tecnico, sia di tipo economico, costituiscono segreto industriale e/o informazione di tipo commerciale o finanziario e sono rilasciate a titolo confidenziale o privilegiato. Esse sono fornite in confidenza, con l accordo che non potranno essere diffuse o utilizzate per altro scopo, senza l autorizzazione scritta di Aditinet Consulting S.P.A, se non esclusivamente per la valutazione da parte Vostra. Copyright 2013 Aditinet Consulting SPA 2

Sommario Riferimenti documento... 2 Avvertenza... 2 INTRODUZIONE... 4 LE COMPONENTI DELLA RETE DEL CLIENTE... 5 CONSOLIDARE MA NON SOLO: LA SCELTA PALOALTO... 6 L IMPLEMENTAZIONE... 7 CONCLUSIONI... 8 3

INTRODUZIONE Mai come oggi le scelte tecnologiche affrontate dalle grandi aziende sono governate da due parole fondamentali: Consolidare e Rinnovare. Queste due parole, ben riassumono la scelta del cliente, azienda leader nel settore del car-services, che ha visto in Palo Alto network il miglior partner tecnologico per soddisfare le proprie esigenze. In questo documento sono descritti i driver che hanno portato il cliente a scegliere Palo Alto Networks come firewall perimetrale inserendolo poi al centro della propria infrastruttura informatica. 4

LE COMPONENTI DELLA RETE DEL CLIENTE Come di consueto accade, anche all interno della infrastruttura informatica del cliente erano presenti molteplici dispositivi e tecnologie preposte al controllo della security: Il Proxy, preposto al controllo della navigazione internet. L IPS si assicura che non vi sia traffico malevole in rete Il firewall perimetrale, assicura la protezione dei segmenti di rete interna Il terminatore di vpn fornisce un accesso sicuro ad utenze esterne alla rete. L insieme di tutti questi dispositivi, consentivano al cliente di erogare i propri servizi sia agli utenti interni alla rete che a quelli esterni. Tuttavia, quest assetto risultava essere ormai datato sia nei dispositivi che la componevano che nelle tecnologie utilizzate. E quindi maturata la consapevolezza e l esigenza di rinnovare le proprie piattaforme di security non tanto svecchiando semplicemente l hardware ma ammodernando le tecnologie. 5

CONSOLIDARE MA NON SOLO: LA SCELTA PALO ALTO Fin dal principio è stato subito chiaro che l obbiettivo primario del cliente non era quello di consolidare semplicemente l architettura, accorpando i dispositivi in un unico box, bensì quello di evolversi verso una infrastruttura che potesse innalzare il livello globale della security della rete. E proprio questo concetto di sicurezza globale, che ha portato il cliente a condurre uno scouting di prodotto al fine di individuare quello che meglio potesse soddisfare le proprie esigenze. Il primo requirement fondamentale preso in considerazione è stato il riconoscimento applicativo, che, integrato con la struttura di autenticazione Microsoft (già in essere presso il cliente), è in grado di identificare con certezza un utente che utilizza una determinata applicazione. La mappatura utente/applicazione consente quindi di evolvere il concetto di firewalling, che passa così da una semplice analisi di Livello 4 (ip sorgente/porta destinazione) a un analisi di livello 7 (Utente/applicazione). Fondamentale anche l analisi dei contenuti web, spesso utilizzati come veicolo trasmissivo per applicazioni malevoli. Tali controlli, oltre a verificare che l URL di destinazione sia compatibile con le policy di navigazione aziendali, doveva anche esse in grado d inibire il download di determinate categorie di file, basandosi sull analisi della loro estensione. Fondamentale anche la possibilità di accedere alla rete interna attraverso connessioni VPN sia di tipo Lan to Lan (IPSEC) che Client mode, applicando al traffico in ingresso gli stessi principi di security in uso per la rete interna. Non da ultimo, l integrazione con la rete WIFI dell azienda, la quale non disponeva di un servizio HotSpot che garantisse l accesso ai servizi di rete a fronte di un autenticazione su un portale dedicato. Anche questo servizio necessitava dell integrazione con la piattaforma di autenticazione Active Directory Microsoft, utilizzata per la validazione delle utenze e autenticate attraverso una pagina web erogata dal firewall stesso. 6

L IMPLEMENTAZIONE Anche la fase implementativa così come quella dello scouting è stata fondamentale per l individuazione del prodotto che meglio potesse soddisfare l esigenze del cliente. Data la particolarità dei servizi erogati ci si è posti come obbiettivo primario la messa in servizio delle componenti Palo Alto a disservizio zero. E stato subito chiaro che l obbiettivo disservizio zero poteva solo essere raggiunto inserendo in parallelo le nuove componenti e migrando i servizi in finestre manutentive programmate. Questo approccio, ci ha permesso di pianificare eventuali rollback nel caso in cui si fossero manifestate problematiche non prevedibili e non risolvibili in tempi brevi. L inserimento dei dispositivi in parallelo a quelli esistenti, ha visto come prima fase l analisi dei segmenti di rete per i quali il Palo Alto ne avrebbe protetto l accesso. L analisi ha prodotto quindi uno schema di rete qui di fianco rappresentato, nel quale si evidenzia la necessità di gestire due interfacce fisiche collocate all interno della stessa subnet. L utilizzo di queste due interfacce deriva dalla necessità di: 1. Terminare le vpn IPSEC/Client Base, dismettendo il vecchio concentratore vpn senza modificare la configurazione dei peer remoti. 2. Erogare i servizi di connettività Internet, compresa la pubblicazione di Server applicativi interni alla rete attraverso delle regole di NAT. L implementazione di quanto sopra è stata possibile grazie al potente motore di routing dell dispositivo Palo Alto, che, attraverso il concetto di virtual-router ha consentito la separazione delle due interfacce garantendone sempre la loro raggiungibilità. Per quanto concerne le terminazione delle VPN-Client Base, poiché gli utenti remoti disponevano di un client proprietario (cisco), è stata di fondamentale importanza la possibilità di utilizzare questo loro client sui nuovi apparati Palo Alto per il tempo necessario alla loro sostituzione. La segregazione in zone dell infrastruttura, ha richiesto la ricompilazione delle regole di security, che come detto in precedenza, integrandosi con l infrastruttura Microsoft sono in grado di identificare un utente che utilizza una data applicazione. La ricompilazione delle regole di security inizialmente prevedeva la conversione della configurazione in uso dal vecchio firewall attraverso l utilizzo di un tool proprietario Palo Alto. Dall analisi delle policy convertite, ci si è accorti che molte di queste risultavano essere obsolete, optando quindi per una loro nuova ricompilazione. Questa ricompilazione, ha visto l introduzione di regole applicative al posto di quelle tradizionali, permettendo o negando l utilizzo sulla rete di applicazioni non conformi alle policy aziendali. 7

Lo stesso approccio è stato scelto per regolare l acceso ai siti Internet, non importando quindi le regole di navigazione dal vecchio proxy. La tecnologia Palo Alto, prevede la creazione dei profili di navigazione Internet, mediante l abilitazione di security profile abbinati poi alle regole che consentono l uscita Internet per applicazioni di tipo web browser. In questo modo si è centralizzata la gestione della navigazione Internet (regola di security + security profile) consentendo così la dismissione del server Proxy. I security profile offrono quindi la possibilità di abilitare le varie feature che Palo Alto possiede sulle singole regole, tra le quali anche quelle inerti alle threat prevention, ossia la possibilità di individuare minacce all interno della rete. Questa funzionalità, abilitata ad hoc sulle regole di security, è in grado d individuare comportamenti malevoli da parte di software che utilizzano ad esempio le vulnerabilità dei sistemi operativi per carpire informazioni o creare volutamente attacchi di tipo DoS (denial of service). Infine il sistema wifi, è stato integrato con la funzionalità captive portal erogata dal Palo Alto stesso, che integrandosi anch essa con la piattaforma di autenticazione Microsoft, è in grado di autenticare e quindi identificare utenti esterni che normalmente non appartengono al dominio del cliente. CONCLUSIONI L implementazione del progetto presso il cliente ha evidenziato alcuni plus del prodotto Palo Alto che vanno ben oltre il semplice riconoscimento applicativo. In particolare, il cliente non ha semplicemente consolidato la propria architettura dismettendo apparati ormai giudicati obsoleti, ma ha creato un vero e proprio security center all interno della infrastruttura di rete implementando politiche di sicurezza che interessano tutti gli aspetti del proprio network: 1. Gestione Wifi utenze ospiti 2. Connettività vpn 3. Gestione della connessione Internet 4. Determinare la presenza di comportamenti malevoli 5. Gestione centralizzata dei log di traffico 8

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back