Dal distanziamento sociale al “distanziamento digitale”. Con una similitudine, che richiama la ben nota esigenza attuale di limitare i contagi del coronavirus, si potrebbe spiegare come rendere più sicure le reti informatiche. Anche al loro interno, così come nella società popolata di persone, è opportuno ridurre al minimo i contatti, evitando quelli non necessari e isolando le “famiglie” di risorse IT all’interno di ambienti protetti. Ce ne parla Trevor Pott, technical security lead di Juniper Networks.
Trevor Pott, technical security lead di Juniper Networks
Distanziamento sociale: due parole alle quali ci siamo abituati e tutti ormai abbiamo familiarità con l’idea di mantenere una distanza di sicurezza con gli altri per minimizzare il rischio di contagio. Ci sono molteplici analogie tra l’epidemiologia e la sicurezza delle informazioni e l’idea di “distanziamento digitale” come livello di protezione è chiaramente equivalente al mantenimento della distanza di sicurezza con le persone. La microsegmentazione è un approccio al distanziamento digitale sempre più popolare. Come nel distanziamento sociale, il concetto fondamentale alla base della microsegmentazione è di limitare il più possibile i contatti non necessari. La maggior parte dei computer ha in effetti necessità di comunicare con un insieme molto limitato di altri computer e la microsegmentazione è proprio il mezzo per mantenere il distanziamento tra i sistemi.
Il “guscio d’uovo” non funziona più
La microsegmentazione è in effetti una whitelist del traffico di rete: in pratica, i sistemi di una data rete possono comunicare solo con i sistemi con cui devono farlo, nel modo in cui devono farlo e null’altro. Ciò migliora la sicurezza del data center mediante il controllo del traffico di rete da e verso una certa connessione di rete. In definitiva, l’obiettivo della microsegmentazione è di implementare il cosiddetto “zero trust”. In altre parole, la microsegmentazione è una tra le migliori tecniche di protezione oggi a disposizione dei professionisti IT contro la diffusione laterale (est-ovest) delle compromissioni, al fine di difendere il patrimonio di dati di un’organizzazione. Limitando la capacità di ciascun sistema di comunicare con gli altri viene minimizzata la possibilità di propagazione della compromissione. Tale compromissione può essere ulteriormente limitata mediante l’uso selettivo della quarantena, chiudendo completamente alcuni segmenti di rete e prevenendone così la diffusione.
Si tratta di un enorme cambiamento rispetto al modello di eggshell computing in cui tutte le difese sono concentrate sul perimetro (il guscio) ma tutto ciò che si trova dietro il perimetro è completamente aperto e non protetto (l’interno dell'uovo). L’eggshell computing non è efficace; gli hacker hanno sfruttato per anni la diffusione laterale da un punto iniziale di compromissione ed è essenziale che nei data center vi siano ldifese est-ovest insieme alle più tradizionali difese nord-sud.
L’isolamento totale è un mito
Nelle implementazioni più avanzate, la microsegmentazione va oltre ciò che sostanzialmente è un altro firewall gestito da un altro team, e aggiunge overlay di rete. Con una combinazione di overlay e Access Control List (Acl) è possibile restringere tutto il traffico da e verso un dato sistema, così che solo i sistemi legittimati a riceverlo possano vedere quel traffico e rispondere. In effetti, realisticamente la maggior parte dei sistemi non può essere isolata al punto di comunicare solamente con sistemi peer in modalità est-ovest all’interno del data center. Come minimo, essi devono dialogare con qualcosa per ricevere aggiornamenti di sicurezza. Ciò può rappresentare un problema, specialmente dal punto di vista regolamentare: molti regimi regolatori richiedono l’isolamento di vari sistemi, e quindi come possiamo isolare un sistema che deve comunicare tra i segmenti?
Sistemi di microsegmentazione ben progettati offrono la possibilità di collocare firewall virtuali - o, sempre più spesso, containerizzati - al margine di un dato microsegmento, in modo che tutto il traffico che entra o esce dal segmento attraversi quel firewall. Questo approccio permette che un sistema sia isolato quanto più possibile (solo i sistemi che devono assolutamente comunicare tra loro sono collegati a un dato segmento di rete), mentre il firewall offre l’instradamento oltre quel segmento.
Far passare il traffico da e verso quel segmento attraverso un firewall (compreso l’esame e/o il filtraggio di tutte le altre funzioni di sicurezza di rete incluse per assistere con l’analisi del traffico che entra o lascia quel segmento) offre un livello di protezione aggiuntivo, sempre più necessario, che non può essere ottenuto facilmente con le sole Acl abbinate all’overlay di rete. È la combinazione di questi due approcci - il perimetro dell’eggshell e ACL accuratamente congegnate - ciò che garantisce il massimo livello di protezione dei workload.
Le ACL restringono la comunicazione da e per un singolo workload. Il firewall e i servizi di sicurezza avanzati associati al margine del segmento analizzano e limitano il traffico che entra ed esce dal segmento. Ognuno dei flussi di dati che lasciano il data center può essere ulteriormente esaminato dalle difese perimetrali del data center stesso. Ciò crea un approccio “a livelli”, che difende i workload dalle minacce che hanno origine esterna all’interno del data center (difese al margine del data center) , ma all’esterno del segmento di rete del workload (difese al margine del segmento) e dall’interno del segmento di rete stesso (Acl). Se i controlli di sicurezza sono troppo rigidi, questi livelli multipli di sicurezza possono rendere complicato capire quale livello di sicurezza impedisca a un’applicazione di lavorare, ma rappresentano un miglioramento significativo rispetto all’approccio “hard shell with soft inside” (rigido al perimetro, morbido all’interno) tipico dell’eggshell computing e basato esclusivamente sulle difese al margine del data center.
Il vantaggio dell’agilità
La combinazione di Acl e overlay di rete consente maggiore agilità nell’attivazione dei workload. Gli overlay di rete permettono ai carichi di lavoro di esistere in ogni punto della rete che possa essere raggiunto dagli overlay. Se tutte le porte dello switch sono in grado di permettere a un workload di partecipare alla rete overlay, allora quel carico di lavoro può esistere fisicamente in ogni punto che la rete estende, semplificando l’aggiunta di workload quando necessario e senza necessità di pianificazione significativa.
La capacità di aggiungere in modo sicuro un server o una macchina virtuale alla rete aumenta enormemente la flessibilità dell’attivazione dei workload. L’esperienza comune con la microsegmentazione indica che l’adozione è spesso legata alla popolarità delle applicazioni distribuite. In alcuni casi è la domanda di applicazioni distribuite che genera la necessità di implementare la microsegmentazione. In altri casi, la disponibilità della microsegmentazione apre la porta ad applicazioni distribuite che non erano propriamente popolari a causa del rischio percepito. Le applicazioni distribuite, come tutte le applicazioni, hanno diversi livelli di resilienza all’errore. L’adozione su vasta scala di soluzioni distribuite può amplificare gli effetti di un malfunzionamento dello switch, in quanto tale switch può potenzialmente ospitare parti di molteplici applicazioni o servizi. Per questo motivo, se la ridondanza è sempre una buona cosa nell’IT, a maggior ragione lo è quando si adotta la microsegmentazione con saggezza.
Questo genere di agilità nell’attivazione dei workload richiede un’adeguata progettazione della rete. A differenza di una rete strettamente gerarchica, progettata per interazioni nord-sud, il traffico est-ovest acquisisce maggiore importanza e le reti simil mesh acquistano popolarità. Se, da un lato, la transizione tra queste due filosofie di progettazione spesso richiede un periodo di aggiustamento, dall’altro le reti mesh possono ridurre i costi, permettendo di aggiungere capacità in modo più organico e senza bisogno di switch core in grado di gestire praticamente tutto il traffico est ovest totalmente da soli.
Definire un nuovo paradigma
Architettura e pianificazione sono la chiave di un’implementazione positiva della microsegmentazione. Se non avete mai implementato la microsegmentazione prima d’ora, assicuratevi che l’infrastruttura possa supportare un numero di microsegmenti significativamente superiore a quello che pensate sarà necessario, in quanto lo sviluppo e la richiesta di nuove funzionalità all’interno dell’organizzazione è imprevedibile. Ciò significa assicurarsi che tutti i componenti (e il software di gestione) possano gestire più delle necessità immediate.
Gli apparati di rete come switch, router e switch virtuali tipicamente hanno una limitata capacità di filtrare, limitare o incapsulare traffico. Deep Packet Inspection (Dpi), il proxying SSL/TLS e molte altre funzionalità per la sicurezza delle informazioni richiedono ancora che il traffico passi attraverso (o per lo meno che vi sia fatto un mirroring) sistemi di difesa più potenti, come ad esempio firewall di classe enterprise.
È necessario prestare attenzione all’overhead di gestione dello schema di microsegmentazione proposto. Questo è anche il momento giusto per iniziare a parlare col proprio fornitore di SD-LAN, perché se vi apprestate a rivoluzionare l’approccio generale alla gestione di rete ha senso affrontare insieme anche il tema dell’automazione e dell’orchestrazione. È probabile che non ci sarà per dieci anni altra occasione per fare un cambiamento di questa entità: come le società di servizi, che dovendo scavare le strade tendono quando possibile a coordinare i progetti più impegnativi, questo approccio offre la possibilità di ottenere un grande cambiamento senza troppi problemi.
Microsegmentare non è più un lusso
La microsegmentazione soffre di una nomea (a dirla tutta, meritata), quella di essere complessa da implementare, un po’ complicata da gestire e, di conseguenza, piuttosto costosa. Questa visione si è formata in un arco di tempo abbastanza lungo e rischia di essere vera ancora oggi se la microsegmentazione non viene implementata con giudizio. Un’implementazione ben pianificata, curata da professionisti esperti, non solo funzionerà a dovere ma migliorerà significativamente la capacità di un’organizzazione di rispondere a cambiamenti inattesi e porterà benefici anche sul piano finanziario.
Una considerazione sempre più importante da fare analizzando i benefici della microsegmentazione riguarda la compliance. La microsegmentazione non solo è uno strumento importante per ottenere la compliance (come regola generale, più isolato e sicuro è un worlkoad, più contenti saranno gli enti di controllo) ma richiede funzionalmente una piattaforma di gestione centralizzata. Avere una sicurezza orchestrata da una piattaforma di gestione centralizzata comporta che tutte le regole che governano la sicurezza di rete risiedano in un unico luogo. I report possono essere generati rapidamente e facilmente, rendendo gli audit meno problematici. Un unico report può bastare a dimostrare la validità dello schema di sicurezza soprattutto in caso di microsegmentazione, in quanto la lista completa delle restrizioni al traffico di rete può essere esaminata a partire dal singolo workload fino alla periferia del data center, ai carichi dell’edge computing e a tutti i cloud.
È comprensibile che chi gestisce un’imponente rete diffusa con decenni di debito tecnologico non abbia mai affrontato l’implementazione della microsegmentazione. Tuttavia, dal punto di vista della sicurezza, nessuno dovrebbe oggi pensare di costruire nuove reti senza microsegmentazione. Essa non è più una funzione di nicchia, emergente, ma dovrebbe essere considerata una funzionalità essenziale ai fini sia dell’agilità sia della sicurezza. Non c’è fine alla guerra tra attaccanti e difensori nello spazio IT: i primi, infatti, sono sempre più abili a penetrare e diffondersi nelle reti, per cui minimizzare i contatti tra i sistemi usando il distanziamento digitale è un metodo naturale per ridurre la portata delle compromissioni quando tali eventi inevitabilmente avvengono.