Firewall e Carico di Lavoro Sicuri: La Ricetta per una solida Strategia di Sicurezza Zero Trust - Cisco Systems

Oggi si sente parlare molto di micro-segmentazione zero trust, e a ragione veduta. È maturata come una best practice di sicurezza comprovata per prevenire efficacemente i movimenti laterali non autorizzati attraverso le risorse di rete.

Si tratta di dividere la rete in segmenti isolati, o "micro-segmenti", in cui ogni segmento ha un proprio set di criteri e controlli di sicurezza. In questo modo, anche se si verifica una violazione o una potenziale minaccia ottiene l'accesso a una risorsa, il raggio d'azione è limitato.

E come per molte pratiche di sicurezza, esistono diversi modi per raggiungere l'obiettivo, e in genere molto dipende dall'ambiente unico del cliente. Per la micro-segmentazione, la chiave è avere un partner fidato che non solo fornisca una soluzione di sicurezza robusta, ma che offra la flessibilità necessaria per adattarsi alle vostre esigenze, invece di imporre un approccio "unico".

Per raggiungere gli obiettivi di micro-segmentazione si possono adottare due approcci diversi:

  • Un approccio di applicazione basato sull'host in cui i criteri vengono applicati sul carico di lavoro stesso. Ciò può essere fatto installando un agent sul carico di lavoro o sfruttando le API del cloud pubblico;
  • Un approccio all'applicazione basato sulla rete in cui i criteri vengono applicati su un dispositivo di rete come un firewall di rete est-ovest o uno switch.

Sebbene un approccio all'applicazione basato sull'host sia immensamente potente perché fornisce l'accesso a una ricca telemetria in termini di processi, pacchetti e CVE in esecuzione sui carichi di lavoro, potrebbe non essere sempre un approccio pragmatico per una miriade di motivi. Questi motivi possono essere le percezioni dei team applicativi, le preferenze dei team di sicurezza di rete o semplicemente la necessità di un approccio diverso per ottenere il consenso di tutta l'organizzazione.

Per farla breve, per rendere la micro-segmentazione pratica e realizzabile, è chiaro che una coppia dinamica di sicurezza basata su host e rete è fondamentale per una strategia di sicurezza informatica zero trust solida e resiliente.

All'inizio di quest'anno, Cisco ha completato l'integrazione nativa tra Cisco Secure Workload e Cisco Secure Firewall, realizzando questo principio e fornendo ai clienti una flessibilità senza pari e una difesa in profondità.

Diamo uno sguardo più approfondito a ciò che questa integrazione consente di ottenere e ad alcuni casi d'uso.

Caso d'Uso #1: Visibilità della Rete attraverso un Firewall di Rete Est-Ovest

Il viaggio verso la micro-segmentazione inizia con la visibilità. Questa è l'occasione perfetta per inserire un cliché: "Ciò che non si vede, non si può proteggere". Nel contesto della micro-segmentazione, la visibilità dei flussi fornisce le basi per costruire un progetto di come le applicazioni comunicano tra loro, oltre che con gli utenti e i dispositivi, sia all'interno che all'esterno del datacenter.

L'integrazione tra Secure Workload e Secure Firewall consente l'ingestione di record di flusso NSEL per fornire la visibilità del flusso di rete, come mostrato nell’immagine di seguito.

È possibile arricchire ulteriormente questi dati di flusso di rete inserendo il contesto sotto forma di etichette e tag da sistemi esterni come CMDB, IPAM, fonti di identità, ecc. Questo set di dati arricchito dal contesto consente di identificare rapidamente i modelli di comunicazione e gli eventuali indicatori di compromissione nel panorama applicativo, consentendo di migliorare immediatamente la postura di sicurezza.

Secure Workload acquisisce record di flusso NSEL da Secure Firewall | Cisco Systems

Caso d'Uso #2: Micro-Segmentazione tramite il Firewall di Rete Est-Ovest

L'integrazione di Secure Firewall e Secure Workload offre due potenti metodi complementari per scoprire, compilare e applicare i criteri di micro-segmentazione zero trust. La possibilità di utilizzare un metodo basato sull'host, sulla rete o un mix dei due metodi offre la flessibilità di implementare il metodo più adatto alle esigenze aziendali e ai ruoli del team.

Approccio basato su Host e Rete con Secure Workload | Cisco Systems

Indipendentemente dall'approccio o dalla combinazione, l'integrazione consente di sfruttare senza problemi tutte le funzionalità di Secure Workload:

  • Individuazione e Analisi dei Criteri - Individuazione automatica di criteri personalizzati per l'ambiente analizzando i dati di flusso ingeriti dal firewall sicuro che protegge le comunicazioni est-ovest del carico di lavoro;
  • Applicazione dei Criteri - È possibile integrare più firewall est-ovest per automatizzare e applicare i criteri di micro-segmentazione su un firewall specifico o su un insieme di firewall tramite Secure Workload;
  • Monitoraggio della Conformità alle Policy - Le informazioni sul flusso di rete, se confrontate con una policy di base, forniscono una visione approfondita del comportamento delle applicazioni e della loro conformità alle politiche nel tempo.

Caso d'Uso #3: Difesa in Profondità con Patching Virtuale tramite Firewall di Rete Nord-Sud

Questo caso d'uso dimostra come l'integrazione garantisca una difesa in profondità e, in ultima analisi, migliori risultati in termini di sicurezza.

Nell'attuale panorama digitale in rapida evoluzione, le applicazioni svolgono un ruolo fondamentale in ogni aspetto della nostra vita. Tuttavia, con la maggiore dipendenza dal software, anche le minacce informatiche sono diventate più sofisticate e pervasive.

I metodi di patch tradizionali, sebbene efficaci, non sono sempre praticabili a causa dei vincoli operativi e del rischio di downtime. Quando viene scoperta una vulnerabilità zero-day, si possono verificare diversi scenari. Consideriamo due scenari comuni:

  1. Una CVE (Common Vulnerabiliy and Exposure) appena scoperta rappresenta un rischio immediato e in questo caso la correzione o la patch non è disponibile;
  2. la CVE non è altamente critica e quindi non vale la pena di applicare la patch al di fuori della consueta finestra di patch a causa dell'impatto sulla produzione o sull'azienda. In entrambi i casi, bisogna accettare il rischio intermedio e aspettare che la patch sia disponibile o che la finestra di patch sia programmata.

Il virtual patching, una forma di controllo compensativo, è una pratica di sicurezza che consente di mitigare questo rischio applicando una protezione provvisoria o una correzione "virtuale" alle vulnerabilità note del software fino a quando questo non viene patchato o aggiornato.

Il patching virtuale viene solitamente eseguito sfruttando il sistema di prevenzione delle intrusioni (IPS) di Cisco Secure Firewall. La funzionalità chiave, favorita dalla perfetta integrazione, è la capacità di Secure Workload di condividere le informazioni CVE con Secure Firewall, attivando così i criteri IPS pertinenti per tali CVE. Vediamo come nell’immagine di seguito:

  • Gli agenti Secure Workload installati sui carichi di lavoro delle applicazioni raccoglieranno la telemetria dei pacchetti software e delle CVE presenti sui carichi di lavoro delle applicazioni;
  • i dati di mappatura del carico di lavoro e delle CVE vengono quindi pubblicati su Secure Firewall Management Center. È possibile scegliere l'esatto set di CVE da pubblicare. Ad esempio, si può scegliere di pubblicare solo le CVE che sono sfruttabili in rete come vettore di attacco e che hanno un punteggio CVSS di 10. Questo consente di controllare l'eventuale impatto sulle prestazioni dell'IPS. In questo modo è possibile controllare il potenziale impatto sulle prestazioni dell'IPS;
  • infine, il Secure Firewall Management Center esegue lo strumento "firepower recommendations" per mettere a punto e attivare l'esatto set di firme necessarie a fornire protezione contro le CVE rilevate nei carichi di lavoro. Una volta creato il nuovo set di firme, è possibile distribuirlo sul perimetro nord-sud di Secure Firewall.
Patching Virtuale con Firewall e Carico di Lavoro Sicuri | Cisco Systems

Flessibilità e Difesa in Profondità sono la Chiave per una Strategia di Micro-Segmentazione Zero Trust Resiliente

Con Secure Workload e Secure Firewall, è possibile ottenere un modello di sicurezza zero trust combinando un approccio di applicazione basato su host e rete. Inoltre, grazie alla capacità di patching virtuale, si ottiene un ulteriore livello di difesa che consente di mantenere l'integrità e la disponibilità delle applicazioni senza sacrificare la sicurezza.

Con la continua evoluzione del panorama delle minacce informatiche, l'armonia tra le diverse soluzioni di sicurezza è senza dubbio la chiave per offrire soluzioni più efficaci che proteggano le preziose risorse digitali.

Se vuoi scoprire di più sulle soluzioni Cisco Systems più adatte alla tua azienda, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita il nostro sito per richiedere ulteriore materiale informativo, in alternativa puoi compilare il form sottostante con la tua domanda.