Xerox SMart esolutions White Paper sulla protezione
White Paper su Xerox SMart esolutions La protezione della rete e dei dati è una delle tante sfide che le aziende devono affrontare ogni giorno. Tenendo conto di questa esigenza, Xerox Limited ("Xerox") continua a progettare e sviluppare tutti i prodotti con l'obiettivo di garantire il più alto livello possibile di protezione. In questo White Paper vengono fornite ulteriori informazioni sulle funzioni di SMart esolutions e in particolare vengono presi in esame gli aspetti relativi alla protezione di Xerox SMart esolutions. L'obiettivo è di illustrare ai clienti Xerox in che modo vengono eseguite le funzioni di SMart esolutions e di convincerli che i dati relativi alla macchina vengono trasmessi a Xerox in modo sicuro, corretto e verificabile. Xerox consiglia ai propri clienti di leggere il documento per intero e di adottare misure appropriate in conformità ai propri criteri e procedure di protezione IT. Sono molti gli argomenti da considerare per lo sviluppo e la distribuzione di un criterio di protezione all'interno di un'organizzazione. Tali requisiti possono variare da cliente a cliente; è quindi il cliente ad avere la responsabilità finale per tutte le implementazioni, le reinstallazioni e la verifica delle configurazioni di protezione, le patch e le modifiche. 2
AVVISO: DECLINAZIONE DI RESPONSABILITÀ QUESTI DATI VENGONO FORNITI A SCOPO UNICAMENTE INFORMATIVO. XEROX LIMITED NON ASSICURA O GARANTISCE LA CORRETTEZZA, COMPLETEZZA O ADEGUATEZZA DELLE INFORMAZIONI CONTENUTE IN QUESTO WHITE PAPER E NON RICONOSCE ALCUNA RESPONSABILITÀ PER LE INFORMAZIONI E/O LE CONSEGUENZE CHE NE POSSONO DERIVARE. LE PRESTAZIONI DEI PRODOTTI DESCRITTI IN QUESTO DOCUMENTO SONO SOGGETTE IN MODO ESCLUSIVO AI TERMINI E ALLE CONDIZIONI APPLICABILI DI XEROX LIMITED RELATIVI ALLA VENDITA, LICENZA E/O LEASING. NESSUNA INFORMAZIONE RIPORTATA IN QUESTO WHITE PAPER COSTITUISCE LA CONFERMA DI ULTERIORI ACCORDI O DI OBBLIGHI VINCOLANTI TRA XEROX LIMITED E TERZI. 3
Panoramica su Xerox SMart esolutions Le funzioni di Xerox SMart esolutions si basano su una piattaforma tecnologica che costituisce un sistema end-to-end flessibile per il collegamento dei prodotti all'infrastruttura Xerox che gestisce le offerte post-vendita. Il diagramma nella Figura 1 mette in risalto i tre elementi strutturali principali del sistema, che si trovano ai vertici del triangolo. Questi tre elementi cooperano in perfetta integrazione per consentire un'ampia varietà di servizi remoti e fornire servizi aggiuntivi previsti in futuro. Infrastruttura IM Xerox Direttamente al dispositivo Xerox Communication Server Figura 1: Componenti principali dell'architettura di Xerox SMart esolutions Nell'angolo in basso a sinistra del triangolo sono riportati i dispositivi con il modulo software client di SMart esolutions integrato per fornire l'infrastruttura lato client che consente transazioni protette verso Xerox. La connessione a Xerox e ai processi back-office è illustrata nell'angolo inferiore destro del triangolo. I client SMart esolutions si connettono a Xerox attraverso un server di connettività comune definito Xerox Communication Server. Nella parte superiore del triangolo si trovano i proxy dei dispositivi. Tali proxy consentono ai dispositivi Xerox di comunicare con Xerox Communication Server attraverso un unico punto. In questo modo il cliente è in grado di consolidare la comunicazione dei dati mediante un numero ridotto di sistemi di produzione e prodotti per ufficio. In questo documento i client diretti e proxy vengono definiti in modo generico come SMart esolutions Client. 4
Obiettivi di Xerox SMart esolutions in materia di protezione Per Xerox la protezione della rete è un requisito chiave dell'intera architettura di SMart esolutions. Gli obiettivi relativi alla sicurezza derivano dalle fonti riportate di seguito: 1. Assistenza ai clienti e rete di assistenza Xerox in tutto il mondo. 2. Input e commenti derivanti da ampi studi condotti presso i clienti da XIG (Xerox Innovation Group). L'obiettivo di questi studi era di determinare le preferenze dei clienti e le relative esigenze di servizi remoti. 3. Linee guida sulla sicurezza pubblicate dall'organizzazione XIM (Xerox Information Management). 4. Alcuni addetti ai reclami dei clienti di unità interne a Xerox. Xerox SMart esolutions comprende funzioni progettate per affrontare i seguenti problemi di protezione: 1. Identificazione e autenticazione. Il processo di identificazione univoca e affidabile di un dispositivo. 2. Autorizzazione. Il processo di garantire servizi di accesso remoto ai dispositivi in base alle esigenze di protezione e alle decisioni di acquisizione di prodotti di un cliente. 3. Integrità dei dati. La capacità di verificare che i dati non siano soggetti a modifiche non autorizzate. 4. Capacità di verifica. La capacità di tenere traccia di tutte le comunicazioni tra l'utente finale e Xerox, affinché il cliente possa controllare il numero e i tipi di comunicazione. 5. Riservatezza del cliente. Evitare l'accesso di utenti non autorizzati utilizzando tecniche di crittografia (https). All'interno del sistema end-to-end SMart esolutions, gli obiettivi di progettazione del sistema rispondono alle esigenze di protezione della rete in due categorie principali: 5
1. Ambiente di rete del cliente La prima categoria riguarda la protezione relativa alla connessione del software client alla rete dell'utente finale e alla trasmissione dati su Internet verso Xerox. In Xerox SMart esolutions sono integrati i seguenti controlli: o Il cliente deve autorizzare le comunicazioni tra il dispositivo e Xerox. o Le comunicazioni provenienti dal dispositivo non dovranno includere informazioni sull'identità del cliente o dei suoi dipendenti. o SMart esolutions Client consente una connessione unidirezionale dal dispositivo a Xerox. Non è possibile utilizzare questa connessione per accedere alla rete o ai dati del cliente oltre a quanto inviato a Xerox dal cliente. o L'integrità e l'autenticazione delle informazioni (dati o codice) scaricate da SMart esolutions Client viene verificata prima dell'installazione. 2. Protezione delle transazioni La seconda categoria riguarda la sicurezza della rete relativamente allo scambio di informazioni tra cliente e Xerox durante le transazioni. Sono stati definiti i seguenti controlli: o Xerox Communication Server e gli SMart esolutions Client si autenticano reciprocamente. o Tutto il contenuto delle transazioni tra SMart esolutions Client e Xerox Communication Server è verificabile (mediante la cronologia delle transazioni dei dispositivi) sia da parte del cliente che di Xerox. o Un file di registro transazioni consultabile consente agli utenti finali di controllare le informazioni condivise con Xerox. Xerox Communication Server registra tutte le transazioni in entrata e in uscita. 6
Architettura della tecnologia Xerox SMart esolutions Nella Figura 2 è rappresentata una vista di livello superiore di una struttura end-to-end SMart esolutions. Si evidenzia il flusso di comunicazione tra SMart esolutions Client (direttamente al dispositivo e/o tramite proxy-host) e Xerox Communication Server. Come indicato nel diagramma, gli SMart esolutions Client sono integrati nei dispositivi Xerox o in un'applicazione hosted (ad esempio, CentreWare Web). I client sono configurati per la connessione e l'invio di messaggi a Xerox Communication Server. Figura 2: Comunicazioni dati di Xerox SMart esolutions Xerox SMart esolutions utilizza protocolli di servizi Web standard per tutte le comunicazioni tra gli SMart esolutions Client e Xerox Communication Server (Figura 3). È possibile accedere ai servizi Web attraverso HTTP con socket protetti (HTTPS) comuni a tutti i browser e i server Web. L'utilizzo di servizi Web come meccanismo di base per tutte le transazioni SMart esolutions garantisce interoperabilità e compatibilità con i firewall. Figura 3: Stack di protocolli dei servizi Web 7
o Quando si utilizza HTTP, i servizi Web possono anche sfruttare il protocollo SSL (Secure Socket Layer) per le funzioni di protezione e gestione della connessione HTTPS, in modo da evitare che i dati dei clienti vengano diffusi su Internet. o Un server proxy viene in genere utilizzato in ambienti di rete per definire un sistema firewall tra l'utente finale e Internet. La maggior parte dei firewall/proxy viene configurata per bloccare le richieste su quasi tutte le porte della rete. I firewall, tuttavia, abilitano il traffico sulla porta 80 per HTTP e 443 (HTTP o HTTPS protetti) in modo che i browser possano accedere a Internet. Utilizzando HTTP o HTTPS su porte standard, gli SMart esolutions Client sono in grado di comunicare attraverso il firewall. Gli SMart esolutions Client funzionano come un qualsiasi browser Web (su porte standard) e non richiedono "buchi nel firewall del cliente" o modifiche ad altre attrezzature del cliente. Gli SMart esolutions Client supportano la codifica SSL a 128 bit o Come illustrato nella Figura 2, lo SMart esolutions Client avvia tutte le interazioni tra il client e Xerox Communication Server. o Per ottenere l'effetto della connettività a due vie, gli SMart esolutions Client eseguono periodicamente un controllo con Xerox Communication Server per ricevere eventuali "istruzioni". Tale controllo non è frequente ed è molto leggero, per evitare congestioni sulla intranet del cliente. o Xerox Communication Server firma in digitale tutto il software scaricato da uno SMart esolutions Client. Il cliente può beneficiare dell'integrità di questo software in quanto affronta le seguenti problematiche: - Fonte del contenuto: questa funzione certifica che il software proviene realmente da Xerox. - Integrità del contenuto: questa funzione conferma che il software non è stato alterato o danneggiato da quando è stato firmato. 8
Domande frequenti Di seguito è riportato un elenco di domande frequenti (FAQ) che possono risultare utili per l'utente finale di Xerox SMart esolutions. 1. L'attivazione di Xerox SMart esolutions Client rende la rete più vulnerabile a virus o attacchi da parte di hacker? No. L'infrastruttura di protezione dei clienti non subisce alcuna modifica, pertanto non è necessario aprire porte aggiuntive nel firewall del cliente. Xerox SMart esolutions comunica solo con uno specifico server protetto Xerox e i servizi sono stati progettati in modo da impedire i trasferimenti di dati non autorizzati. Il server protetto Xerox viene tenuto sotto costante controllo con gli strumenti più aggiornati per verificare l'assoluta assenza di virus. 2. È possibile verificare che Xerox non acceda ai dati aziendali riservati dal disco del sistema? È possibile esaminare i dati inviati a Xerox utilizzando l'interfaccia utente del dispositivo per visualizzare i dettagli della transazione. SMart esolutions consente solo l'accesso ai dati relativi al sistema e non immagini o altri dati dei clienti. 3. È possibile verificare che i dati vengano inviati solo a Xerox? Durante il processo di trasmissione protetta vengono utilizzati i certificati firmati HTTPS e VeriSign per garantire e verificare che il dispositivo invii dati solo a Xerox. Inoltre tutti i dati di trasmissione vengono inviati su una connessione SSL (Secure Socket Layer) con crittografia a 128 bit e possono essere decrittati unicamente con la chiave in possesso di Xerox. 4. Il sistema del cliente può interagire o ricevere dati da sistemi "non Xerox"? No. L'attività di trasferimento per i servizi remoti viene sempre avviata dal dispositivo e viene stabilito un percorso di comunicazione con Xerox esclusivo e non invasivo. Il dispositivo esegue sempre l'autenticazione dell'utente con cui sta comunicando convalidando il certificato Verisign. 5. Come vengono utilizzati i dati? a. Dati di lettura - utilizzati per fornire fatturazioni accurate a fronte del contratto di assistenza "basato sul clic" per il dispositivo. Vengono inoltre utilizzati per disattivare eventuali requisiti di trasmissione manuale dei dati di lettura. b. Dati di utilizzo materiali di consumo - utilizzati per eseguire in futuro la sostituzione automatica dei materiali di consumo. In questo modo Xerox potrà soddisfare al meglio le esigenze di toner del dispositivo garantendo la presenza costante della giusta quantità di toner. 9
Riepilogando, Xerox è pronta a soddisfare le esigenze di protezione dei clienti. Xerox SMart esolutions non rende le reti più vulnerabili ai virus. Le transazioni SMart esolutions partono sempre dal dispositivo, in base alle autorizzazioni del cliente. I servizi possono comunicare solo con un server protetto Xerox che sia conforme ai rigorosi requisiti dell'infrastruttura di gestione delle informazioni interna di Xerox Limited. I clienti non devono apportare alcuna modifica a firewall Internet, server proxy o altre infrastrutture di protezione. 10