I prodotti multi-funzione per la sicurezza sono maturati nel corso degli ultimi anni. Questi sistemi, noti come sistemi di Unified Threat Management (UTM), rappresentano un promettente approccio per migliorare l'efficienza e la gestione della secuirty. Di seguito esamineremo alcuni temi legati all'UTM:
- Caratteristiche dei sistemi UTM
- Temi da prendere in considerazione al momento di valutare l'UTM
- Vantaggi di un approccio unificato alla gestione della sicurezza
Cominciamo parlando dei tipi di servizi di sicurezza forniti dai sistemi UTM che riuniscono differenti funzioni di sicurezza in un unico sistema. Le funzioni previste nei vari sistemi UTM possono variare, ma solitamente includono:
- I firewall, che proteggono il perimetro di una rete o di diversi segmenti di rete attraverso il filtro del traffico. I firewall possono impiegare molteplici livelli di filtering, a partire da un sistema relativamente semplice di filtro dei pacchetti in cui vengono prese le decisioni in base ai dati disponibili all'interno di un singolo pacchetto, per arrivare a filtri stateful, che utilizzano le informazioni a livello di connessione, o a filtri sulle applicazioni che tengano conto dei modelli di traffico specifici per le singole applicazioni.
- Antivirus e anti-spyware in grado di rilevare all'interno dei file sistemi binari indicativi della presenza di software maligno. Antivirus network-based e anti-spyware client-based fanno da complemento ai programmi anti-malware.
- Filtri anti-spam, che rilevano e bloccano i contenuti e le email indesiderate prima che raggiungano i server di messaggistica. Il blocco dello spam in rete prima che questo raggiunga l'infrastruttura email riduce in modo significativo il “peso” che lo spam stesso può avere sull'email server.
- Filtri dei contenuti che bloccano gli URL ad esempio per il gioco d'azzardo, lo shopping online e in genere di siti non attinenti al proprio business.
- Sistemi di prevenzione delle intrusioni (IPS) per monitorare il traffico di rete al fine di individuare i pattern identificativi di attacchi ai server o di traffico differente dal consueto per una particolare rete. Oltre a rilevare gli attacchi, gli IPS possono adottare le misure necessarie per arrestare un attacco senza intervento umano.
- I moduli di monitoraggio e di reporting, che rappresentano un altro elemento chiave per i sistemi UTM. Tali sottosistemi sono in grado di fornire informazioni generali sullo stato della rete.
Sistemi UTM diversi possono avere una serie di contromisure simili, ma ciò non significa che siano indistinguibili gli uni dagli altri. Le decisioni di progetto prese durante lo sviluppo di un UTM possono produrre risultati differenti nella fase di deployment di un dispositivo.
I sistemi UTM forniscono molteplici forme di protezione a svariati tipi di dispositivi nelle reti business
Supponendo che gli UTM considerati soddisfino i requisiti in termini di funzionalità di base, altri importanti considerazioni devono essere fatte riguardo alcune questioni operative. Queste ricadono all'interno di un ampio spettro di categorie.
Funzionalità IPS
La prima considerazione da fare è quali servizi sono necessari e dove. Per esempio, gli IPS sono particolarmente importanti su segmenti di rete in cui sono presenti server volti a supportare applicazioni critiche, mentre il filtro anti-spam è necessario nei tratti di ingresso del traffico mail. Le preoccupazioni inerenti eventuali usi impropri di informazioni riservate da parte del personale aziendale possono portare a implementare IPS su segmenti interni che ospitano database, lasciando il filtro del contenuto alle altre appliance UTM.
Performance
Quello delle performance è un altro problema da considerare quando si integrano diversi servizi in un unico apparecchio. È particolarmente importante capire i collegamenti che esistono tra i moduli implementati in uno stesso dispositivo. Per esempio, il firewall continua a funzionare se il modulo antivirus ha un sovraccarico di lavoro? Come vengono influenzate le prestazioni degli altri moduli nel momento in cui il firewall si trova a fronteggiare un attacco Denial of Service (DoS)? Problemi di performance possono insorgere anche in un normale aumento del traffico business. In queste condizioni, è meglio capire in che modo il dispositivo UTM scalerà e se un sistema consolidato è davvero la risposta giusta.
Load balancing
Un modo per gestire l'aumento del traffico è quello di distribuire il carico di lavoro su più dispositivi. Questo solleva però questioni sulla via migliore per bilanciare il carico tra gli appliance: è meglio avere molteplici dispositivi che fanno girare le stesse applicazioni o dispositivi specializzati che eseguono solo alcuni moduli di sicurezza? La configurazione ottimale dipenderà dai particolari schemi di traffico e dall'architettura di una rete.
Un altro aspetto da considerare durante le valutazioni dell'UTM è se i prodotti dispongono di un'infrastruttura hardware modulare capace di distribuire la potenza di elaborazione per ottenere il miglior rendimento globale. Per esempio, alcuni dei servizi di sicurezza possono essere spostati dalla CPU ad altri elementi in modo che il core del processore possa essere usato per servizi che richiedono intensi calcoli computazionali come l'antivirus o l'IPS?
Operazioni di manutenzione
Quando si valutano gli UTM, non si devono dimenticare le operazioni di maintenance; in particolare, la manutenzione di un modulo può incidere sugli altri moduli? Una patch per il modulo antivirus potrebbe influenzare il funzionamento dell'IPS? Inoltre, i cambiamenti di configurazione potrebbero modificare il modo in cui sono forniti gli altri servizi di rete, con la necessità poi di dover contattare il servizio di assistenza. Per esempio, l'applicazione di una più restrittiva regola di prevenzione contro le intrusioni potrebbe involontariamente bloccare operazioni legittime. Come è possibile valutare facilmente l'impatto dei cambiamenti e, se necessario, correggerli?
Come dimostrano questi temi, una semplice checklist per la valutazione dei prodotti non è sufficiente quando si devono analizzare i sistemi UTM. Molti dei fattori che determinano il successo o il fallimento di un deployment dipendono da specifici requisiti di business, dalla particolare architettura di rete in cui funziona il dispositivo e dal tipo e dal volume del traffico presente in rete.
I vantaggi degli UTM
Correttamente valutato e implementato, un sistema UTM può produrre molteplici vantaggi per la sicurezza di un'organizzazione. Gli UTM consentono di avere una reportistica consolidata sullo stato di una rete e sulle relative infrastrutture.
Uno degli elementi negativi inerenti l'impiego di sistemi multi-point per affrontare specifici aspetti di sicurezza è che la reportistica non è coordinata e i dati non sono normalizzati.
Normalizzare i dati provenienti da fonti diverse è difficile; una soluzione generalizzata che lavora in una vasta gamma di ambienti non può risolvere al meglio il problema. Dal canto loro, i cruscotti di gestione possono fornire un unico punto di accesso alle informazioni raccolte da più sistemi di sicurezza. Con il filtraggio, l'aggregazione e il reporting di più fonti di dati, i cruscotti possono ridurre il tempo necessario per analizzare le informazioni sulle minacce e adottare gli opportuni provvedimenti.
Uno dei maggiori vantaggi degli UTM è che possono essere impiegati in piccole location remote che altrimenti sarebbero bloccate per la mancanza di personale di sicurezza specializzato. Gli UTM possono essere gestiti centralmente, in modo da ridurre al minimo i costi e fornire una significativo insieme di misure di sicurezza per gli uffici remoti.
Un altro vantaggio è che i controlli di sicurezza possono essere selezionati a seconda delle necessità. Gli antivirus e i sistemi per la prevenzione delle intrusioni, per esempio, possono essere utilizzati sui punti più vulnerabili della rete, mentre i firewall possono essere impiegati solo sul perimetro. Questa capacità di controllare quali moduli sono in esecuzione e di effettuare il deployment di più appliance o server UTM su tutto il network garantisce agli amministratori di essere in grado di scalare il sistema con le appropriate configurazioni hardware.
I benefici di un reporting consolidato, dei controlli di sicurezza selezionati, e della capacità di scalare hanno un impatto diretto sulle imprese. Gli amministratori di sistema lavorano in modo più efficace con meccanismi che consentono un reporting consolidato e che riducono il tempo e lo sforzo richiesto per l'eliminazione di informazioni chiave da grandi quantità di dati grezzi.
Conclusioni
I sistemi UTM rappresentano un'importante opportunità per limitare i molteplici rischi che si corrono oggi nella raccolta di informazioni volte a mantenere la consapevolezza circa le minacce emergenti o in evoluzione e i cambiamenti nei pattern di rete.
Questi sistemi comportano due notevoli vantaggi. In primo luogo, un UTM ben progettato è facile da usare, offre report e cruscotti di gestione dei sistemi che consentono agli amministratori di identificare e affrontare i problemi in modo efficiente. Secondariamente, gli UTM possono essere implementati per scalare a fronte delle mutevoli esigenze di crescita delle reti, compresa le richiesta di remote network management.
Questi benefici, a loro volta, sono di supporto alle attività necessarie per mantenere un framework di governance necessario per la conformità e la protezione dell'integrità delle attività commerciali. La selezione del corretto UTM, tuttavia, richiede di prestare attenzione a un certo numero di dettagli, come per esempio:
- Capire i servizi di sicurezza necessari e la loro locazione
- Le performance dell' UTM
- La manutenzione e la gestione, con particolare riguardo alle loction remote
A partire da criteri di valutazione adeguati basati su questi fattori, piuttosto che non su una checklist di alto livello, i clienti possono scegliere la soluzione migliore per le loro esigenze.
