Prima di affrontare il tema, è necessario fare un passo indietro e spiegare la struttura della rete come sensore prima della sua evoluzione.
Concettualmente, invece di implementare un gruppo di sensori per generare telemetria, la rete stessa (router, switch, dispositivi wireless ecc.) forniva la telemetria necessaria e sufficiente a descrivere i cambiamenti che si verificano sulla rete a un collettore e quindi la soluzione Cisco Stealthwatch avrebbe avuto un senso.
L’aspetto interessante della rete come sensore è che la rete stessa è più pervasiva. Se facciamo un passo indietro e torniamo a quando è stato lanciato NetFlow, diciamo versione successiva come V9 o IPfix, era presente un ricco set di telemetria proveniente da router e switch che descrivevano tutte le attività di rete.
È possibile avere informazioni su chi ha partecipato a una determinata attività, quando questa ha avuto luogo e quanto è durata.
I dati di NetFlow possono essere utilizzati come un'origine dati di sicurezza per monitorare i comportamenti anomali e le attività di violazione della sicurezza. Forniscono una prova per ricostruire una sequenza di eventi e possono essere utilizzati per garantire la conformità normativa.
Questo modello di telemetria non consente ai criminali informatici di nascondersi al suo interno.
La Rete che Si Evolve
L’infrastruttura di rete realizzata negli anni ’90 e 2000 e i data center costruiti allora sono molto diversi da quelli che vediamo oggi.
Certamente, ad oggi è probabile che nella tua struttura siano presenti sistemi legacy o cloud o magari un’infrastruttura ibrida che comprenda entrambi.
Quando guardiamo a questo tipo di continuità temporale ritorniamo alle origini ovvero a quando il computing era molto fisico – il cosiddetto bare metal.
Abbiamo visto quindi molti hypervisor quando è nata l’era di VMware e KVM. La topologia della rete è cambiata perché il traffico da ospite a ospite non ha toccato realmente alcun filo ottico o di rame, ma essenzialmente ha attraversato la memoria presente nell’host per attraversare l’hypervisor.
Quindi la soluzione Stealthwatch è stata sviluppata per assicurarsi che ci fosse una funzionalità per osservare il comportamento e generare telemetria.
Man mano che ci avviciniamo al presente troviamo i servizi cloud nativi, in cui le persone potevano semplicemente ottenere macchine virtuali ospite dai propri hypervisor privati ed eseguirle sull’infrastruttura di rete dei fornitori di servizi.
Da qui è nato il cloud pubblico ed è da dove è iniziato il concetto di IaaS (Infrastructure-as-a-Service).
Di recente, abbiamo visto l’ascesa dei container Docker, che a loro volta hanno dato origine all’orchestrazione di Kubernetes. Adesso, in molti hanno sistemi in esecuzione su Kubernetes con container che si adattano secondo i cambiamenti del carico di lavoro.
Infine, siamo passati all’era serverless. Quando pensiamo alla rete come sensore, dobbiamo pensare alla rete in questi contesti e come può effettivamente generare telemetria.
La soluzione Stealthwatch dà un senso a quella telemetria e fornisce risultati analitici relativi alle minacce interne ed esterne scoperte. È utile pensare a Stealthwatch come un registro generale di tutte le attività svolte.
Architettura Cloud Nativa
Una delle soluzioni più conosciute nell'ambito serverless è Lambda di AWS. È una soluzione che esegue automaticamente il codice senza dover effettuare il provisioning né gestire server. È necessario scrivere semplicemente il codice e caricarlo in Lambda.
Tutto il resto, la macchina, le applicazioni di supporto e tutto ciò che esegue il codice è di proprietà ed è gestito dal fornitore di servizi. Il serverless computing è un modello di esecuzione del cloud computing in cui i fornitori di soluzioni cloud gestiscono in modo dinamico l’allocazione delle risorse della macchina (ovvero i server).
Quindi come possiamo proteggere un server quando non è presente un server?
La soluzione Stealthwatch Cloud garantisce protezione modellando dinamicamente il server (che non è presente).
In questa immagine possiamo vedere che il dispositivo modellato, in un arco temporale di 24 ore, ha cambiato indirizzo IP e persino le sue interfacce virtuali per mezzo delle quali gli indirizzi IP possono essere assegnati.
La soluzione Stealthwatch Cloud crea un modello di server per risolvere e lo considera come qualsiasi altro dispositivo gestito all'interno dell’azienda.
Questa "modellazione di entità" che Stealthwatch Cloud esegue è fondamentale per le analisi future.
In realtà esso rappresenta il traffico di un server che non è presente! La modellazione delle entità ci consente di eseguire analisi delle minacce all'interno di ambienti serverless cloud nativi come questi.
Software Defined Networks: Underlay & Overlay Networks
Quando osserviamo le reti overlay, stiamo parlando di reti definite da software e dell’incapsulamento che si verifica al di sopra di esse.
Invece di dover rinumerare la rete per rappresentare la segmentazione, è utilizzato l'incapsulamento per eseguire la policy di segmentazione desiderata dell'azienda.
La rete overlay utilizza l'incapsulamento per definire criteri che non sono basati sul destination-based routing ma sui label.
Quando parliamo di approccio alla connettività di rete SD-WAN, è facile comprendere cosa sta cambiando nei tradizionali modelli di architettura di rete.
Sono sempre presenti l’access-layer o il perimetro di rete, ma tutto il resto al centro è ora una mesh programmabile per cui puoi concentrarti solo sull'access policy e non sulla complessità dello schema di indirizzamento IP underlay.
L’underlay è ancora un dominio di osservazione per il cambiamento e la telemetria è ancora valida, ma non rappresenta ciò che sta succedendo con la rete di overlay; per questo, c'è un modo per accedere alla telemetria nativa dell'overlay oppure saranno necessari sensori che generano dati di telemetria che includano l’overlay labeling.
In questo modo, la rete aziendale è facile da configurare come la rete domestica.
In Conclusione
Basata su machine learning, la soluzione Stealthwatch consente di capire se qualcuno vìola la rete e quale sia il suo obiettivo utilizzando la telemetria dall'infrastruttura stessa.
Con Stealthwatch è possibile individuare minacce sofisticate, rispondere rapidamente e proteggere i dati importanti con una segmentazione della rete più intelligente.
Per avere maggiori informazioni sulla soluzione Stealthwatch di Cisco invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
In alternativa, puoi compilare il form sottostante con la tua domanda.