U N CASE DI SUCCESSO NEL SETTORE ASSICURATIVO Aditinet Consulting SpA Sede Legale: viale Odone Belluzzi, 57 00128 Roma tel. 06.45439252, fax 06.45439253 Partita IVA e Codice Fiscale: 04137280964 Capitale Sociale 300.000,00 i.v. Ufficio di Milano: Centro Direzionale Colleoni Pal. Liocorno, Ingresso 3 via Paracelso, 6 20041 Agrate Brianza (MB) tel. 039.5965582, fax 039.5965583 Ufficio di Padova: via Beato Pellegrino, 76 35137 Padova tel. 049.3006768
Riferimenti documento Description: Documento riassuntivo progetto settore Assicurativo File name: Project Manager: Phase: Startup Quality Review Method: Review Document Version No: 1.0 Prepared By: Giuseppe Letizia StartUp Date: 2013.02.06 ReviewedBy: n.a. Review Date: n.a Avvertenza Le informazioni contenute in tutte le pagine del presente documento, e negli schemi allegati, sia di tipo tecnico, sia di tipo economico, costituiscono segreto industriale e/o informazione di tipo commerciale o finanziario e sono rilasciate a titolo confidenziale o privilegiato. Esse sono fornite in confidenza, con l accordo che non potranno essere diffuse o utilizzate per altro scopo, senza l autorizzazione scritta di Aditinet Consulting S.P.A, se non esclusivamente per la valutazione da parte Vostra. Copyright 2013 Aditinet Consulting SPA 2
Sommario Riferimenti documento... 2 Avvertenza... 2 INTRODUZIONE... 4 LE COMPONENTI DELLA RETE DEL CLIENTE... 5 CONSOLIDARE MA NON SOLO: LA SCELTA PALOALTO... 6 L IMPLEMENTAZIONE... 7 CONCLUSIONI... 8 3
INTRODUZIONE Mai come oggi le scelte tecnologiche affrontate dalle grandi aziende sono governate da due parole fondamentali: Consolidare e Rinnovare. Queste due parole, ben riassumono la scelta del cliente, azienda leader nel settore del car-services, che ha visto in Palo Alto network il miglior partner tecnologico per soddisfare le proprie esigenze. In questo documento sono descritti i driver che hanno portato il cliente a scegliere Palo Alto Networks come firewall perimetrale inserendolo poi al centro della propria infrastruttura informatica. 4
LE COMPONENTI DELLA RETE DEL CLIENTE Come di consueto accade, anche all interno della infrastruttura informatica del cliente erano presenti molteplici dispositivi e tecnologie preposte al controllo della security: Il Proxy, preposto al controllo della navigazione internet. L IPS si assicura che non vi sia traffico malevole in rete Il firewall perimetrale, assicura la protezione dei segmenti di rete interna Il terminatore di vpn fornisce un accesso sicuro ad utenze esterne alla rete. L insieme di tutti questi dispositivi, consentivano al cliente di erogare i propri servizi sia agli utenti interni alla rete che a quelli esterni. Tuttavia, quest assetto risultava essere ormai datato sia nei dispositivi che la componevano che nelle tecnologie utilizzate. E quindi maturata la consapevolezza e l esigenza di rinnovare le proprie piattaforme di security non tanto svecchiando semplicemente l hardware ma ammodernando le tecnologie. 5
CONSOLIDARE MA NON SOLO: LA SCELTA PALO ALTO Fin dal principio è stato subito chiaro che l obbiettivo primario del cliente non era quello di consolidare semplicemente l architettura, accorpando i dispositivi in un unico box, bensì quello di evolversi verso una infrastruttura che potesse innalzare il livello globale della security della rete. E proprio questo concetto di sicurezza globale, che ha portato il cliente a condurre uno scouting di prodotto al fine di individuare quello che meglio potesse soddisfare le proprie esigenze. Il primo requirement fondamentale preso in considerazione è stato il riconoscimento applicativo, che, integrato con la struttura di autenticazione Microsoft (già in essere presso il cliente), è in grado di identificare con certezza un utente che utilizza una determinata applicazione. La mappatura utente/applicazione consente quindi di evolvere il concetto di firewalling, che passa così da una semplice analisi di Livello 4 (ip sorgente/porta destinazione) a un analisi di livello 7 (Utente/applicazione). Fondamentale anche l analisi dei contenuti web, spesso utilizzati come veicolo trasmissivo per applicazioni malevoli. Tali controlli, oltre a verificare che l URL di destinazione sia compatibile con le policy di navigazione aziendali, doveva anche esse in grado d inibire il download di determinate categorie di file, basandosi sull analisi della loro estensione. Fondamentale anche la possibilità di accedere alla rete interna attraverso connessioni VPN sia di tipo Lan to Lan (IPSEC) che Client mode, applicando al traffico in ingresso gli stessi principi di security in uso per la rete interna. Non da ultimo, l integrazione con la rete WIFI dell azienda, la quale non disponeva di un servizio HotSpot che garantisse l accesso ai servizi di rete a fronte di un autenticazione su un portale dedicato. Anche questo servizio necessitava dell integrazione con la piattaforma di autenticazione Active Directory Microsoft, utilizzata per la validazione delle utenze e autenticate attraverso una pagina web erogata dal firewall stesso. 6
L IMPLEMENTAZIONE Anche la fase implementativa così come quella dello scouting è stata fondamentale per l individuazione del prodotto che meglio potesse soddisfare l esigenze del cliente. Data la particolarità dei servizi erogati ci si è posti come obbiettivo primario la messa in servizio delle componenti Palo Alto a disservizio zero. E stato subito chiaro che l obbiettivo disservizio zero poteva solo essere raggiunto inserendo in parallelo le nuove componenti e migrando i servizi in finestre manutentive programmate. Questo approccio, ci ha permesso di pianificare eventuali rollback nel caso in cui si fossero manifestate problematiche non prevedibili e non risolvibili in tempi brevi. L inserimento dei dispositivi in parallelo a quelli esistenti, ha visto come prima fase l analisi dei segmenti di rete per i quali il Palo Alto ne avrebbe protetto l accesso. L analisi ha prodotto quindi uno schema di rete qui di fianco rappresentato, nel quale si evidenzia la necessità di gestire due interfacce fisiche collocate all interno della stessa subnet. L utilizzo di queste due interfacce deriva dalla necessità di: 1. Terminare le vpn IPSEC/Client Base, dismettendo il vecchio concentratore vpn senza modificare la configurazione dei peer remoti. 2. Erogare i servizi di connettività Internet, compresa la pubblicazione di Server applicativi interni alla rete attraverso delle regole di NAT. L implementazione di quanto sopra è stata possibile grazie al potente motore di routing dell dispositivo Palo Alto, che, attraverso il concetto di virtual-router ha consentito la separazione delle due interfacce garantendone sempre la loro raggiungibilità. Per quanto concerne le terminazione delle VPN-Client Base, poiché gli utenti remoti disponevano di un client proprietario (cisco), è stata di fondamentale importanza la possibilità di utilizzare questo loro client sui nuovi apparati Palo Alto per il tempo necessario alla loro sostituzione. La segregazione in zone dell infrastruttura, ha richiesto la ricompilazione delle regole di security, che come detto in precedenza, integrandosi con l infrastruttura Microsoft sono in grado di identificare un utente che utilizza una data applicazione. La ricompilazione delle regole di security inizialmente prevedeva la conversione della configurazione in uso dal vecchio firewall attraverso l utilizzo di un tool proprietario Palo Alto. Dall analisi delle policy convertite, ci si è accorti che molte di queste risultavano essere obsolete, optando quindi per una loro nuova ricompilazione. Questa ricompilazione, ha visto l introduzione di regole applicative al posto di quelle tradizionali, permettendo o negando l utilizzo sulla rete di applicazioni non conformi alle policy aziendali. 7
Lo stesso approccio è stato scelto per regolare l acceso ai siti Internet, non importando quindi le regole di navigazione dal vecchio proxy. La tecnologia Palo Alto, prevede la creazione dei profili di navigazione Internet, mediante l abilitazione di security profile abbinati poi alle regole che consentono l uscita Internet per applicazioni di tipo web browser. In questo modo si è centralizzata la gestione della navigazione Internet (regola di security + security profile) consentendo così la dismissione del server Proxy. I security profile offrono quindi la possibilità di abilitare le varie feature che Palo Alto possiede sulle singole regole, tra le quali anche quelle inerti alle threat prevention, ossia la possibilità di individuare minacce all interno della rete. Questa funzionalità, abilitata ad hoc sulle regole di security, è in grado d individuare comportamenti malevoli da parte di software che utilizzano ad esempio le vulnerabilità dei sistemi operativi per carpire informazioni o creare volutamente attacchi di tipo DoS (denial of service). Infine il sistema wifi, è stato integrato con la funzionalità captive portal erogata dal Palo Alto stesso, che integrandosi anch essa con la piattaforma di autenticazione Microsoft, è in grado di autenticare e quindi identificare utenti esterni che normalmente non appartengono al dominio del cliente. CONCLUSIONI L implementazione del progetto presso il cliente ha evidenziato alcuni plus del prodotto Palo Alto che vanno ben oltre il semplice riconoscimento applicativo. In particolare, il cliente non ha semplicemente consolidato la propria architettura dismettendo apparati ormai giudicati obsoleti, ma ha creato un vero e proprio security center all interno della infrastruttura di rete implementando politiche di sicurezza che interessano tutti gli aspetti del proprio network: 1. Gestione Wifi utenze ospiti 2. Connettività vpn 3. Gestione della connessione Internet 4. Determinare la presenza di comportamenti malevoli 5. Gestione centralizzata dei log di traffico 8