Cinque requisiti critici per i firewall interni nel data center
Perché i tradizionali firewall perimetrali stanno
diventando obsoleti per proteggere il traffico
est-ovest
Sommario
Introduzione 3 Lo stato sconfortante della sicurezza di rete 3
Il volume crescente del traffico est-ovest 3
Il firewall adatto al giusto tipo di traffico 4
Applicazione distribuita e granulare . . . . 4
Scalabilità e throughput . . . . 5
Impatto sull'infrastruttura . . . . 5
Visibilità all'interno dell'applicazione . . . . 6
Gestione della mobility e del ciclo di vita delle policy . . . . 6
Elementi essenziali dei firewall interni 6
Casi d'uso importanti per i firewall interni 7
Conclusioni 8
W H I T E PA P E R | 2
Introduzione
Nessuna organizzazione vorrebbe mai vedere il proprio nome associato alla notizia di una
"violazione massiccia dei dati". Eppure, giorno dopo giorno, aziende di tutte le dimensioni, così come organizzazioni no-profit ed enti della pubblica amministrazione, continuano a fare notizia poiché criminali informatici e malintenzionati interni ne violano le difese per sottrarre dati sensibili. La società di ricerca Forrester Consulting riferisce che nel 2019 il 58% delle aziende ha dovuto affrontare un incidente significativo in relazione alla sicurezza, nonostante l'aumento della spesa per proteggere le proprie reti.1
Chiaramente, le difese tradizionali, come i firewall perimetrali, non sono sufficienti a contrastare adeguatamente gli attacchi. Infatti, secondo un sondaggio commissionato da VMware a Forrester, sette aziende su 10 sono svantaggiate a causa di un'eccessiva dipendenza dai firewall perimetrali.2
Il perimetro è diventato altamente permeabile e, una volta violato, le difese perimetrali non possono impedire a un pirata informatico di spostarsi lateralmente all'interno della rete aziendale per raggiungere e sottrarre i dati. Allo stesso tempo, gli attacchi che
coinvolgono gli addetti ai lavori, che si trovano già all'interno del perimetro, rappresentano una percentuale crescente di violazioni.
Invece di affidarsi alla sicurezza basata sul perimetro, le organizzazioni dovrebbero concentrarsi sulle azioni di monitoraggio, rilevamento e blocco del traffico interno dannoso come componente fondamentale della propria strategia di sicurezza IT. Ciò richiede un approccio con un firewall interno appositamente progettato per proteggere grandi volumi di traffico interno del data center senza sacrificare la copertura di sicurezza, le prestazioni della rete o l'agilità operativa.
Questo white paper illustra la differenza tra i firewall perimetrali tradizionali e i firewall interni basati sul software e appositamente progettati, spiegando i motivi per cui questi ultimi sono più adatti a proteggere gli attuali carichi di lavoro moderni.
Lo stato sconfortante della sicurezza di rete
Nel 2019, sono state segnalate pubblicamente 7.000 violazioni che hanno esposto 15,1 miliardi di dati, facendo segnare un altro anno da record. Ciò ha rappresentato un aumento dei dati esposti di oltre il 284% rispetto al 2018.3
Nel report sulla violazione dei dati di Verizon relativo al 2019, il 69% delle violazioni nel set di dati erano commesse da esterni.4 Gli autori di questi attacchi informatici esterni spesso utilizzano tattiche come il phishing per aggirare i firewall perimetrali e accedere alla rete interna. Una volta entrati, si spostano lateralmente per trovare e sottrarre i dati sensibili.
I criminali informatici esterni traggono vantaggio da una maggiore superficie di attacco, grazie ai moderni ambienti informatici e applicativi. Poiché le reti di microservizi e carichi di lavoro hanno sostituito le applicazioni monolitiche e a tre livelli, la superficie di attacco, insieme alla complessità della sicurezza, si espande in modo esponenziale.
A peggiorare le cose, la percentuale di violazioni che coinvolgono soggetti interni è in costante crescita dal 2015. Nel 2019, circa il 34% delle violazioni segnalate da Verizon ha coinvolto soggetti interni.4 Questi soggetti possono muoversi attraverso il traffico di rete in larga parte non monitorato all'interno del data center e raggiungere i loro obiettivi.
Il volume crescente del traffico est-ovest
I controlli di sicurezza della rete creati nell'era precedente a DevOps e alle applicazioni distribuite sono semplicemente inadeguati per proteggere i carichi di lavoro e i microservizi di oggi. Le macchine virtuali (VM) si connettono ad altre macchine virtuali, i container si connettono ad altri container, i carichi di lavoro si connettono ad altri carichi di lavoro e così via. Tutto ciò crea un notevole traffico di rete all'interno dell'azienda.
1 . Forrester Research: "Forrester Analytics Global Business Technographics® Infrastructure Survey, 2019", agosto 2019 . 2 . Forrester Consulting: "To Enable Zero Trust, Rethink Your Firewall Strategy", febbraio 2020 .
3 . Risk Based Security: "Number of Records Exposed in 2019 Hits 15 .1 Billion", 10 febbraio 2020 4 . Verizon: "2019 Data Breach Investigations Report", maggio 2019 .
“"[Quando] utilizzano contemporaneamente più [tattiche, tecniche e procedure]…
i criminali informatici riescono a ottenere e mantenere l'accesso a una rete di computer,
indipendentemente dalle loro motivazioni. Una volta violata una rete, applicano quasi sempre lo stesso schema di comportamento: stabiliscono un accesso continuo, eseguono l'escalation oppure ottengono i privilegi di amministratore, si spostano lentamente e in modo silenzioso per mappare l'intera rete, cercano porte aperte, individuano i 'tesori del sistema' e sottraggono i dati il più a lungo possibile, senza essere scoperti."
4MICHAEL D'AMBROSIO DEPUTY ASSISTANT DIRECTOR UNITED STATES SECRET SERVICE
INFORMAZIONI SU INTEL E VMWARE NSX SERVICE-DEFINED FIREWALL Ottimizzato su architettura Intel®, VMware Service-defined Firewall può ridurre le spese CapEx e OpEx rispetto alle appliance firewall personalizzate che utilizzano hardware proprietario e possono essere costose da mantenere.
Posizionato all’interno dell’hypervisor, VMware Service-defined Firewall fornisce visibilità sul traffico di rete e sul comportamento delle applicazioni e offre protezione dei carichi di lavoro rilevando e mitigando le minacce del traffico est-ovest all’interno del perimetro del data center. Grazie a microsegmentazione avanzata e servizi di rilevamento e prevenzione delle intrusioni (IDS/IPS) basati su software, VMware Service-defined Firewall riduce al minimo le superfici d’attacco e consente la riduzione dei falsi positivi mediante l’impiego di firme mirate sulle applicazioni sottoposte a migrazione con vMotion tra le reti.
La crittografia di massa delle VPN tramite tecnologia Intel® QuickAssist Technology (Intel® QAT) è ora supportata nel framework VMware NSX-T e viene pertanto demandata a Bare Metal Edge per offrire una maggiore protezione e una migliore User Experience.
APPROFONDIMENTO
Per ulteriori informazioni sui tipi di traffico dei data center e per alcuni esempi, consultare il white paper La domanda è: l’attuale livello di sicurezza funziona? di SANS.
Per capire il motivo per cui la maggiore quantità di traffico interno è un fattore importante per la sicurezza, iniziamo a differenziare i due principali tipi di traffico della rete moderna (vedere la Figura 1):
FIGURA 1: Modelli di traffico del data center .
• Traffico nord-sud: questo traffico di rete si sposta all'interno e all'esterno della rete di un'organizzazione, ad esempio da e verso Internet. Il traffico nord-sud rappresenta in genere una percentuale molto contenuta del traffico complessivo sulla rete.
• Traffico est-ovest: questo traffico si sposta lateralmente (da qui l'espressione est- ovest) attraverso il data center e include il traffico da un carico di lavoro a un altro, tra data center, all'interno del data center stesso, dal data center al public cloud o dal public cloud al data center. Poiché le applicazioni monolitiche vengono sempre più spesso sostituite o riprogettate in applicazioni distribuite, la quantità di traffico est- ovest, noto anche come traffico interno, ha superato di gran lunga quella del traffico nord-sud.
Il firewall perimetrale monitora solo il traffico nord-sud. Eppure, le violazioni dei dati perpetrate nell'ultimo decennio ci hanno insegnato che le organizzazioni non possono ritenere affidabile il traffico est-ovest. Fidarsi completamente di tutto il traffico est- ovest significa permettere a un pirata informatico che riesce a superare il firewall perimetrale di spostarsi lateralmente all'interno della rete senza essere scoperto.
Per difendersi in modo adeguato dalle minacce informatiche che violano il perimetro, così come dagli utenti interni malintenzionati, le organizzazioni devono implementare una strategia che preveda un firewall interno distribuito. I firewall interni forniscono in modo proattivo visibilità e protezione dalle minacce interne e riducono al minimo i danni causati dagli attacchi informatici che superano il tradizionale perimetro della rete.
Il firewall adatto al giusto tipo di traffico
Le organizzazioni si rendono conto di dover dedicare maggiore attenzione, budget e sforzi al miglioramento della sicurezza della rete, ma molte di esse commettono l'errore di utilizzare firewall perimetrali tradizionali, progettati per monitorare il traffico nord- sud, per proteggere le proprie reti interne. Anche se può sembrare una soluzione allettante, il provisioning dei firewall perimetrali per il monitoraggio del traffico est- ovest non è solo costoso, ma anche altamente inefficace nel fornire il livello di controllo e le prestazioni necessari per proteggere un gran numero di carichi di lavoro dinamici.
Applicazione distribuita e granulare
Mentre sia i firewall perimetrali che quelli interni applicano le policy di sicurezza monitorando e bloccando le potenziali minacce, le caratteristiche del traffico est-ovest e la topologia di rete fanno sì che l'approccio di applicazione sia diverso per un firewall interno.
vm
vm vm
vm vm
vm vm
vm
vm
vm vm
vm vm
vm vm
vm
Data center Data center
Nord-sud
Est-ovest
W H I T E PA P E R | 4
Per un firewall perimetrale, è accettabile bloccare il traffico in base a porte, protocolli e indirizzi IP o identificare il traffico proveniente da o diretto verso una specifica applicazione, come Skype.
D'altro canto, un firewall interno deve operare a un livello più granulare, quello dei singoli carichi di lavoro all'interno di un'applicazione. Prendiamo come esempio un'applicazione a tre livelli: un firewall interno consente il traffico tra il livello web e il livello app dell'applicazione e tra il livello app e il livello database della stessa applicazione. Tuttavia, blocca il traffico dal livello web al livello del database perché questo traffico non dovrebbe esistere nel normale svolgimento delle operazioni.
Pertanto, la granularità dell'applicazione richiesta da un firewall interno è decisamente superiore rispetto a quella di un firewall perimetrale. Riprendendo l'esempio del paragrafo precedente, un tipico firewall perimetrale non sa che i tre livelli appartengono alla stessa applicazione, ma che un certo tipo di traffico è consentito mentre un altro tipo non è proprio di tale applicazione.
Scalabilità e throughput
In genere, il monitoraggio centralizzato del traffico nord-sud tramite un firewall perimetrale non crea colli di bottiglia delle prestazioni, poiché il volume non è quantitativamente paragonabile a quello del traffico est-ovest. Tuttavia, la maggior parte delle aziende registra un traffico est-ovest significativamente maggiore rispetto a quello nord-sud.
Se un'azienda utilizza un firewall perimetrale per il traffico est-ovest e desidera ispezionare tutto il traffico, o la maggior parte di esso, dovrà distribuire molti firewall perimetrali per soddisfare i requisiti di throughput. Ciò può aumentare notevolmente i costi e la complessità dell'infrastruttura di sicurezza della rete. Questo è il motivo per cui, in pratica, la maggior parte delle organizzazioni che utilizza firewall perimetrali per monitorare il traffico est-ovest non ne ispeziona gran parte: i costi e i vincoli per farlo sono semplicemente troppo elevati e rigorosi.
Per i firewall interni, è decisamente più conveniente adottare un approccio di applicazione distribuito, che offre al contempo la scalabilità e le prestazioni necessarie. Un firewall interno distribuito è elastico e supporta la scalabilità
automatica in caso di accelerazione o rallentamento dei carichi di lavoro. La capacità del firewall interno si espande automaticamente per rispondere all'aumento del numero dei carichi di lavoro. Poiché si utilizzano più server per supportare l'espansione del carico di lavoro, una piccola parte della capacità del server viene dedicata ai controlli di sicurezza, consentendo al firewall interno di scalare di conseguenza.
Impatto sull'infrastruttura
Se si implementa una soluzione con firewall perimetrale per monitorare il traffico est- ovest, il traffico viene forzato da e verso un'appliance o una funzionalità centralizzata.
In questo modo si crea un modello di hairpinning che utilizza una quantità eccessiva di risorse di rete nel processo.
Oltre ad aumentare la latenza, l'hairpinning del traffico di rete interno aggiunge complessità, sia dal punto di vista di progettazione della rete che dalla prospettiva delle operation. Le reti devono essere progettate per tenere conto del traffico aggiuntivo (hairpinning) instradato attraverso un firewall perimetrale. Dal lato operativo, il team delle operation addetto alla sicurezza deve attenersi alla progettazione della rete ed essere consapevole dei vincoli quando invia ulteriore traffico da ispezionare al firewall.
In alternativa, un approccio con firewall interno distribuito consente il monitoraggio di grandi volumi di traffico est-ovest senza creare un solo collo di bottiglia.
Un'architettura distribuita avvicina l'applicazione ai dati piuttosto che il contrario e protegge tutto il traffico est-ovest mantenendo un impatto ridotto sull'infrastruttura di rete e del server. In questo modo si evita l'hairpinning del traffico e si eliminano i problemi di complessità e latenza legati all'utilizzo di firewall perimetrali per il monitoraggio della rete interna.
Visibilità all'interno dell'applicazione
Il monitoraggio del traffico est-ovest e l'applicazione delle policy granulari richiedono visibilità fino al livello del carico di lavoro. I firewall perimetrali standard non offrono una chiara visibilità sui modelli di comunicazione tra i carichi di lavoro e i microservizi che compongono le moderne applicazioni distribuite. Questa mancanza di visibilità nei flussi delle applicazioni rende estremamente difficile creare, e applicare, le regole a livello del carico di lavoro o del flusso di traffico individuale.
In confronto, un firewall interno dovrebbe essere in grado di stabilire
automaticamente il modello di comunicazione tra i carichi di lavoro e i microservizi, formulare raccomandazioni sulle policy di sicurezza in base al modello e verificare che i flussi di traffico siano conformi alle policy distribuite (ad esempio, applicare policy granulari). Una soluzione affidabile di firewall interno è in grado di individuare e visualizzare la topologia delle applicazioni, i processi, lo stato accettabile, gli utenti delle applicazioni e i dispositivi utilizzati.
Gestione della mobility e del ciclo di vita delle policy
I piani tradizionali per la gestione dei firewall sono progettati per gestire dozzine di firewall separati, ma non sono concepiti per supportare la mobility dei carichi di lavoro con la riconfigurazione automatica delle policy di sicurezza. Pertanto, quando un firewall perimetrale viene utilizzato come firewall interno, gli operatori di rete e della sicurezza devono creare manualmente nuove policy di sicurezza ogni volta che viene creato un nuovo carico di lavoro e modificarle se questo viene spostato o dismesso.
Il piano di gestione per i firewall interni è progettato per gestire decine di migliaia di entità, inclusi switch virtuali e firewall distribuiti, consentendo allo stesso tempo la gestione del ciclo di vita delle policy e la mobility dei carichi di lavoro. Il firewall interno regola automaticamente le policy di sicurezza quando un carico di lavoro viene creato o dismesso, senza bisogno di intervenire manualmente. Supporta la mobility stateful dei carichi di lavoro in tutta l'infrastruttura con l'inoltro senza interruzioni del traffico alla nuova posizione e lo spostamento automatico delle policy di sicurezza insieme alla VM del carico di lavoro.
Elementi essenziali dei firewall interni
Se i firewall perimetrali tradizionali non sono adeguati o efficaci come firewall interni, quale tipo di soluzione è più adatta per il monitoraggio del traffico est-ovest?
Riassumendo i requisiti illustrati nella sezione precedente, un approccio che preveda un firewall interno deve essere in grado di supportare:
• Applicazione distribuita e granulare delle policy di sicurezza
• Scalabilità e throughput per gestire grandi volumi di traffico senza ostacolare le prestazioni
• Impatto ridotto sull'infrastruttura di rete e del server
• Visibilità all'interno dell'applicazione
• Mobility dei carichi di lavoro e gestione automatica delle policy
Un firewall perimetrale non è in grado di soddisfare questi requisiti senza incorrere in costi e complessità eccezionalmente elevati e senza determinare una compromissione della sicurezza. Al contrario, un approccio distribuito e Software-Defined è il modo più efficace per implementare firewall interni destinati al monitoraggio del traffico est- ovest. Il giusto approccio a un firewall interno Software-Defined offre la scalabilità, la convenienza e l'efficienza richieste per proteggere decine di migliaia di carichi di lavoro individuali in migliaia di applicazioni.
ECCESSIVA DIPENDENZA DAI FIREWALL PERIMETRALI
Secondo un sondaggio condotto da Forrester Consulting, oltre il 75% delle aziende dipende da firewall perimetrali fisici o virtuali per proteggere il traffico di rete interno. Tuttavia, il 72% ritiene che l'eccessiva dipendenza dai firewall perimetrali rappresenti una sfida significativa per la sicurezza della propria rete interna.2
WHITE PAPER | 6
Tuttavia, non tutti gli approcci Software-Defined possono fornire il livello di protezione della rete interna di cui le aziende hanno bisogno per tutelare i propri carichi di lavoro sensibili senza sacrificare controlli granulari, coerenza e flessibilità. Per ottenere una copertura di sicurezza, prestazioni di rete e agilità operativa ottimali, le organizzazioni devono cercare una soluzione di firewall interno appositamente progettata che offra sicurezza intrinseca e che, sia integrata nell'infrastruttura, distribuita e application- aware. Per ulteriori informazioni sulla sicurezza intrinseca, consultare il white paper
"La domanda è: l’attuale livello di sicurezza funziona?” di SANS.
Casi d'uso importanti per i firewall interni
Sempre più aziende si stanno rendendo conto dei limiti della sicurezza basata sul perimetro e della probabilità che il traffico dannoso agisca senza essere rilevato attraverso la rete interna, pertanto stanno adottando un approccio di firewall interno appositamente progettato e Software-Defined per migliorare la propria sicurezza generale e proteggersi dalle minacce informatiche. Alcuni dei casi d'uso più importanti per una strategia di firewall interno includono:
• Zone di sicurezza virtuali: i firewall interni possono essere utilizzati per supportare la macrosegmentazione di BU, partner, dell'ambiente di produzione da quello di sviluppo e di altri requisiti di sicurezza. Grazie a un approccio Software-Defined applicato ai firewall interni, le organizzazioni possono creare e gestire zone di sicurezza virtuali senza i costi e gli sforzi connessi ad acquisto, configurazione e manutenzione delle appliance fisiche.
• Rilevamento del movimento laterale: l'ispezione di tutto il traffico est-ovest
consente di individuare tempestivamente il movimento laterale e di limitarne i danni.
Le policy granulari a livello del carico di lavoro aiutano i firewall interni a bloccare i tentativi dei criminali informatici di spostarsi lateralmente all'interno della rete per raggiungere i propri obiettivi.
• Compliance normativa: per soddisfare i requisiti di compliance, come quelli delle norme HIPAA (Health Insurance Portability and Accountability Act), PCI DSS (Payment Card Industry Data Security Standard) e SOX (Sarbanes-Oxley Act), un approccio di firewall interno distribuito aiuta le aziende a raggiungere la compliance propagando le policy di sicurezza specifiche per le normative a tutti i carichi di lavoro pertinenti e monitorando i flussi di traffico da e verso le applicazioni sensibili.
I firewall interni basati sul software eliminano inoltre la necessità di acquistare e distribuire appliance separate per supportare la compliance.
• Approccio zero-trust attraverso la microsegmentazione: l'approccio zero-trust presuppone che tutto il traffico non sia attendibile fino a quando la policy non dimostra il contrario. La microsegmentazione è un concetto fondamentale all'interno di un approccio zero-trust per isolare i carichi di lavoro e proteggerli separatamente. A supporto di un approccio di microsegmentazione, i firewall interni consentono alle organizzazioni di suddividere logicamente il data center in segmenti di sicurezza distinti fino al livello del carico di lavoro individuale e quindi di definire i controlli per ciascun segmento specifico.
• Consolidamento degli strumenti di sicurezza: i firewall interni Software-Defined consentono alle organizzazioni di eliminare le molteplici appliance di sicurezza e limitarne la proliferazione man mano che le applicazioni diventano più distribuite.
L'acquisto e la gestione di un numero inferiore di appliance riducono i costi di proprietà e semplificano le operazioni di sicurezza.
• Visibilità: i team delle operation di Network e Security hanno bisogno di
informazioni e di contestualizzare tutto il traffico dei carichi di lavoro per eliminare i punti ciechi della sicurezza e accelerare l'indagine e la correzione degli incidenti. La giusta soluzione di firewall interno offre una visibilità a 360 gradi su ciascun carico di lavoro, utilizza questa visibilità per determinare il comportamento previsto delle applicazioni e genera automaticamente policy di sicurezza per applicare un comportamento corretto noto.
Conclusione
Per invertire il ritmo e il volume delle violazioni dei dati, le aziende devono concentrarsi sulla protezione di tutto il traffico est-ovest. Non possono più permettersi di supporre che le difese perimetrali siano sufficienti e che il traffico all'interno della rete possa essere considerato attendibile.
Una soluzione Software-Defined integrata nell'infrastruttura, distribuita e application- aware è il modo più efficace per migliorare la sicurezza, ridurre i costi e semplificare le operation. L'unica soluzione integrata nell'infrastruttura, VMware Service-defined Firewall, è progettata per proteggere il traffico est-ovest della rete negli ambienti multi-cloud. Rendendo la sicurezza intrinseca all'infrastruttura e virtualizzando l'intero stack di sicurezza, la soluzione Service-defined Firewall consente ai team della sicurezza di mitigare i rischi, garantire la compliance e semplificare il modello operativo del firewall per ciascun carico di lavoro.
Informazioni sulle soluzioni Intel e VMware per il cloud networking virtuale
VMware e Intel stanno trasformando networking e sicurezza con Virtual Cloud Network, una visione di networking dell’era digitale. La Virtual Cloud Network, integrata nella tecnologia VMware NSX ed eseguita su architettura Intel® Architecture con Intel® QuickAssist Technology (Intel® QAT), fornisce un layer software diffuso per data center, cloud, edge e altre infrastrutture hardware, fornendo connettività e sicurezza pervasive per applicazioni e dati, ovunque risiedano. Intel QAT accelera le applicazioni Open SSL e Network Edge per offrire risultati ad alte prestazioni con la distribuzione di VMware Service-defined Firewalls.
WHITE PAPER | 8
