La sicurezza di un aeroporto e la protezione di applicazioni cloud native hanno più caratteristiche in comune di quanto si possa immaginare e due elementi essenziali della prevenzione delle minacce aeroportuali illustrano molto bene perché i firewall di nuova generazione (Next Generation Firewall - NGFW) sono fondamentali per la sicurezza nel cloud.
Poiché la trasformazione digitale porta alla migrazione delle applicazioni principali su cloud e container pubblici, è necessario utilizzare lo stesso approccio di sicurezza a più livelli, cosa che gli aeroporti in genere forniscono.
Le App Cloud Native Devono Spostarsi Attraverso Molteplici Ambienti
Prima di passare all'analogia con l’aeroporto, è importante capire che la maggior parte delle aziende oggi utilizza molteplici data center e cloud pubblici.
Inoltre, eseguono workflow, alcuni dei quali possono essere containerizzati e serverless, ma la maggior parte delle organizzazioni ha ancora molti server bare metal, macchine virtuali e persino mainframe.
Ma indipendentemente da dove vengono eseguiti i workflow, ciò a cui tengono particolarmente le aziende sono le applicazioni eseguite sulle infrastrutture ibride.
Tali applicazioni aziendali sono altamente interconnesse. Molteplici applicazioni si connettono ai servizi principali – servizi come Active Directory, amministrazione, monitoraggio e infrastruttura di registrazione.
Molte di queste app si collegano anche a database critici in esecuzione su sistemi legacy come Solaris. Poiché è la rete che collega queste app, la sicurezza deve estendersi all'intera infrastruttura.
Ecco perché la protezione della rete per le applicazioni cloud native deve essere affrontata in modo olistico. La protezione completa della rete richiede firewall di nuova generazione (NGFW) e microsegmentazione basata sull'identità.
Analisi e Rilevamento Sono Fondamentali per le Zone Aeroportuali
Una visibilità completa di tutto l’ambiente è il primo passo per far fronte alle minacce informatiche. Gli aeroporti hanno due livelli di sicurezza più profondi, fondamentali quando si tratta di proteggere applicazioni native in cloud.
1. Controllo Scanner per Persone e Bagagli
L’obiettivo è quello di assicurarsi che le persone non stiano trasportando materiale pericoloso. Gli agenti di sicurezza (come la TSA negli Stati Uniti) svolgono questo compito tramite apparecchiature per la scansione.
Alcuni aeroporti hanno solo una postazione per la scansione all’ingresso, mentre gli aeroporti più grandi solitamente hanno più di un punto di controllo ad ogni terminal.
Ed è qui che entrano in gioco i firewall di nuova generazione (NGFW). Proprio come i dispositivi per il controllo di sicurezza vengono implementati sui perimetri scelti strategicamente in aeroporto, anche i firewall di nuova generazione devono essere implementati sui perimetri o confini adeguati.
2. Scanner per Carte d’Imbarco
L’obiettivo di questo livello è ridurre la superficie di attacco minimizzando il movimento delle persone in luoghi in cui non dovrebbero andare. Gli scanner delle carte d'imbarco sono distribuiti ad ogni gate, generalmente il più vicino possibile all’imbarco.
In maniera similare, la microsegmentazione è un’altra forma di controllo di accesso che riduce la superficie di attacco minimizzando le connessioni consentite tra workload.
Consentendo solo le connessioni assolutamente necessarie per il funzionamento delle applicazioni, il rischio di attacco è ridotto al minimo perché la violazione sarebbe comunque contenuta nella posizione in cui si verifica.
All’interno di ambienti cloud-nativi, dove i workload sono molto dinamici e gli indirizzi IP sono privi di significato, le policy di microsegmentazione devono essere applicate utilizzando l'identità dei workload.
La piattaforma Prisma Cloud di Palo Alto Networks consente una microsegmentazione scalabile, basata sull’identità che integra le funzionalità di NGFW.
Proprio come gli scanner delle carte d'imbarco sono installati in ogni gate dell'aeroporto, la microsegmentazione deve essere applicata ad ogni workload e le soluzioni basate su agent sono più adeguate ad applicare le policy di microsegmentazione a livello di workload.
Analisi e Rilevamento all’Interno di Ambienti Cloud
In che modo i firewall di nuova generazione di Palo Alto Networks proteggono gli ambienti cloud nativi?
Protezione inbound – La maggior parte delle applicazioni più recenti sono esposte in HTTPS, e le connessioni inbound sono generalmente protette da web application firewall cloud-based (WAFs). Tuttavia, la maggior parte dei workload deve accettare connessioni su port MySQL da amministratori di database e su port ssh/RDP dagli amministratori dai server.
La combinazione di connessioni abilitate con vulnerabilità software e la continua lotta per distribuire patch, aumentano il rischio di attacchi informatici all’infrastruttura.
I ricercatori Palo Alto Networks hanno implementato una versione containerizzata di Drupal 8 completamente protetta grazie a strumenti di sicurezza cloud nativi all’interno di un cloud pubblico. Il container è stato compromesso in 45 minuti.
Un firewall di nuova generazione che viene continuamente aggiornato da un servizio cloud, tuttavia, può proteggere questi workload da minacce ed exploit in modo che non finiscano per essere utilizzati per il bitcoin mining o altre attività dannose.
Protezione “East-West” – L’approccio Zero Trust presume che non sia un problema il “se” ma piuttosto il “quando” qualcuno violerà l’infrastruttura. Questo è il motivo per cui è necessario avere la cosiddetta “east-west protection” per la prevenzione da minacce che si muovono lateralmente.
Non tutte le applicazioni hanno lo stesso rischio di violazione o impatto sull’attività. Alcuni hanno un rischio maggiore perché eseguono software vulnerabili o sono direttamente connessi a Internet. Altri sono solo più importanti perché hanno accesso ai dati business-critical.
L'implementazione di un firewall di nuova generazione con funzionalità di protezione dalle minacce per tutto il traffico che attraversa il perimetro (come il traffico tra staging e produzione o produzione e ambienti PCI) consente di contenere con successo una violazione e impedire che passi lateralmente ad applicazioni o dati mission-critical.
Protezione Outbound – La maggior parte dei workload deve connettersi ad Internet in uscita per attività come il download di aggiornamenti software o l'utilizzo di API pubbliche (come i requisiti di uscita per Terraform e Puppet). Ciò significa che la connettività in uscita su TCP port 80 e 443 deve essere consentita per la maggior parte dei workload con strumenti di controllo degli accessi cloud nativi come AWS Security Group o policy di rete Kubernetes.
È possibile utilizzare le funzionalità di layer-7 filtering di un firewall di nuova generazione per abilitare solo le connessioni richieste e bloccare tutto il resto. Le funzionalità di URL filtering di un NGFW possono bloccare facilmente e automaticamente le connessioni a qualsiasi sito Web dannoso.
Tre Fattori che Aiutano a Decidere Dove Posizionare i Firewall
Proprio come la sicurezza aeroportuale deve scegliere dove effettuare i controlli con i dispositivi per la scansione completa, i team di sicurezza della rete devono decidere dove implementare i firewall NGFW.
Sono tre i fattori fondamentali da non sottovalutare in questo caso:
- Requisiti di conformità per le applicazioni, come PCI DSS (Payment Card Industry Data Security Standard);
- Rischio di violazione per un’applicazione guidata da vulnerabilità senza patch, indipendentemente dal fatto che l’applicazione sia connessa direttamente a Internet (sia inbound che outbound);
- Impatto sul business di una violazione, che è guidato dal grado di importanza cruciale che ha l’applicazione per l’azienda.
La filosofia Zero Trust richiede di avvicinare il più possibile il perimetro alle applicazioni, ma la complessità operativa può allontanarlo. La maggior parte delle aziende agisce in base al budget investito nella sicurezza e alla capacità protezione delle soluzioni scelte in questi ambienti.
In Conclusione
La visibilità completa della rete, la microsegmentazione basata sull'identità dei workflow e i firewall di nuova generazione distribuiti in perimetri scelti strategicamente sono aspetti che avvicinano sempre di più alla filosofia Zero Trust per proteggere l’organizzazione da attacchi informatici sofisticati.
Oltre 85 aziende della classifica Fortune 100 utilizzano la suite di Next-Generation Security di Palo Alto Networks (Firewalls, Network Security, Security Subscriptions, Advanced Endpoint Protection e SaaS Security) per la protezione a 360 gradi dalle minacce informatiche.
Se vuoi avere maggiori informazioni sulle soluzioni NGFW di Palo Alto Networks invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita della soluzione.
In alternativa, puoi compilare il form sottostante con la tua domanda.
