25/10/2011 di Redazione

La sicurezza del data center in cinque mosse

La principale minaccia per i sistemi aziendali sono gli attacchi Distributed Denial of Service, che mettono a repentaglio servizi di e-commerce Web based, posta elettronica e online banking. Serve quindi intervenire con soluzioni di protezione adeguate e

immagine.jpg

Sin dagli albori dell'era informatica, hacker e professionisti della sicurezza sono stati costantemente impegnati in un tiro alla fune tra progressi e innovazioni, successi e battute d'arresto. Oggi gran parte dei decisori IT cita sicurezza e disponibilità quali maggiori impedimenti all'adozione del cloud computing.

Successivamente ad una serie di attacchi di alto profilo sferrati ai danni di società di servizi finanziari e retailer online, i data center Internet sono sempre più spesso bersaglio di hacker e cybercriminali che li considerano particolarmente vulnerabili da diverse tipologie di violazione. Non sorprende dunque che gli operatori di data center pubblici e privati debbano ora ripensare le loro tecniche di difesa per tutelarsi dalla principale minaccia: gli attacchi Distributed Denial of Service (DDoS). 


La natura delle minacce si sta evolvendo: l'approccio volumetrico, mirato sostanzialmente a sopraffare la connessione con enormi quantità di dati, sta infatti lasciando spazio a metodi più sofisticati, diretti al livello applicativo, con l'obiettivo di violare determinati servizi. Si tratta di attacchi che non richiedono una elevata banda, risultando quindi difficili da identificare. Le nuove minacce di tipo DDoS mettono a repentaglio una miriade di servizi, dal Web commerce ai DNS, dalla posta elettronica all'online banking.

Di seguito cinque utili indicazioni per garantire la sicurezza del data center:

Proteggere il data center da minacce che non possono essere bloccate da altri dispositivi di sicurezza
I responsabili dei data center tendono generalmente a implementare firewall e sistemi IPS (Intrusion Prevention System) in difesa delle risorse presenti. Questi due strumenti sono di certo importanti per una strategia di difesa complessiva, ma non sono soluzioni efficaci contro gli attacchi DDoS. Si tratta di prodotti che mantengono costantemente le informazioni di stato di ciascuna sessione che si instaura tra un client Internet e il corrispondente server all'interno del data center (Stateful Inspection); per questo, sono essi stessi facili bersagli di attacchi DDoS. Secondo quanto emerso dallo studio “Worldwide Infrastructure Security Report 2010” realizzato da Arbor, la grande maggioranza di coloro che hanno implementato questo tipo di dispositivi ha subito disservizi a livello di firewall e/o IPS proprio per via di attacchi DDoS.

Di recente gli NSS Labs hanno presentato lo studio “Network Firewall Comparative Group Test Report”, mettendo in luce due problematiche principali. La prima riguarda la stabilità: test in questo ambito hanno rivelato come tre prodotti firewall su sei abbiano registrato un blocco del funzionamento. La seconda sfida riguarda la capacità degli hacker esterni di ingannare i firewall riuscendo a scavalcare le difese di un client sicuro. In conclusione è plausibile affermare che firewall e IPS non sono soluzioni efficaci contro attacchi di tipo DDoS.

Proteggere la disponibilità della risorsa principale: i servizi del data center
La disponibilità dovrebbe essere considerata l'elemento imprescindibile, questo perché se i servizi non risultano disponibili tutti gli altri aspetti del data center perdono di rilevanza. Se gli utenti non riescono ad accedere ai servizi offerti od ospitati, allora tutte le altre problematiche inerenti la sicurezza, come l'integrità e la confidenzialità dei dati, non hanno più importanza. I service provider devono quindi tenere in seria considerazione la tutela di questo aspetto nel momento in cui progettano le loro policy di sicurezza; dal canto loro le imprese devono invece valutare le minacce alla disponibilità nel momento in cui selezionano i cloud provider.

Se i servizi Internet risultano inaccessibili per via di un attacco alla disponibilità, l'impatto che ne deriva può avere conseguenze alquanto serie per l'azienda. Anche pochi minuti di downtime possono tradursi in rilevanti perdite economiche. Per non parlare dell'immagine del brand, della riduzione della produttività dei dipendenti, dei Service Level Agreement disattesi, delle possibili sanzioni.

Proteggere la connettività e l'infrastruttura del data center, oltre ai servizi e ai dati dei clienti
Oltre a difendere i servizi critici, gli operatori devono essere consapevoli delle minacce che vengono dirette contro l'infrastruttura e i collegamenti in entrata e in uscita dal data center. Un attacco DDoS su vasta scala ai danni dell'infrastruttura può essere bloccato on-premise, ma nel momento in cui la minaccia cresce di volume è necessaria la collaborazione tra l'operatore del data center e gli Internet Service Provider (ISP) o i Managed Security Service Provider (MSSP) al fine di poter effettivamente neutralizzare l'attacco.

Gli operatori devono poter contare su procedure predefinite che regolino le modalità di comunicazione con i fornitori di banda. Fare leva sulla tecnologia per razionalizzare le comunicazioni tra il perimetro del data center e il provider è un altro elemento essenziale. Ciò nonostante, aver bisogno di definire un piano ad hoc può essere scoraggiante, soprattutto se l'attacco è già in corso.

Garantire tutta la visibilità necessaria, lungo il perimetro e internamente ai data center
Un buon livello di sicurezza richiede un buon livello di visibilità. Gli operatori devono investire in quest'ultimo elemento e negli strumenti operativi necessari per disporre della consapevolezza situazionale che consente di fare fronte alle minacce con efficacia. Dall'utilizzo di soluzioni SIEM all'impiego delle tecnologie NetFlow, è necessario comprendere sia da dove provengano gli attacchi esterni, sia quale tipo di traffico si snodi all'interno del data center. Possedere questa visibilità significa garantire che i dati non vengano consultati né rimossi dal data center da parte di utenti non autorizzati. E significa anche riuscire a rilevare le minacce alla disponibilità prima che possano avere conseguenze sui clienti.

Identificare le minacce emergenti guardando oltre il perimetro del data center
L'incessante evoluzione del panorama delle minacce impone una visione a 360° finalizzata all'identificazione dei trend emergenti e al blocco di nuovi attacchi. Tale capacità di analisi contribuisce al rilevamento di minacce e tendenze emergenti portando alla definizione di policy integrabili nei prodotti per la sicurezza dei data center. Gli operatori devono essere pertanto in grado di vedere oltre i confini del data center per garantirne la sicurezza.


Rakesh Shah è Director of Product Marketing and Strategy di Arbor Networks

ARTICOLI CORRELATI