sabato, Dicembre 21, 2024

Fate in modo che il vostro sistema di sicurezza sia all’altezza delle aspettative – 1° parte

IP Fabric
IP Fabrichttps://ipfabric.io/
Fondata nel 2015 nel cuore d’Europa, IP Fabric è stato creata da 2 istruttori CCIE ed uno sviluppatore di talento che hanno visto l'opportunità di semplificare ed automatizzare in modo significativo una serie di attività fondamentali richieste per implementare o gestire qualsiasi progetto di rete. Oggi siamo una tecnologia leader per l’Intent-Based Networking, che aiuta clienti in tutto il mondo ad utilizzare al meglio la propria infrastruttura per raggiungere la sempre ricercata Digital Transformation.

In un mondo con esigenze di sicurezza sempre più complesse, come assicurarci che quanto facciamo ripaghi le aspettative? Una certa regola del firewall protegge davvero applicazioni o IP dal mondo esterno? Una data politica di micro-segmentation si adatta dinamicamente ai dispositivi mobili, una volta spostati i segmenti di rete fisica? E quella rete PCI è davvero separata dal resto dell’ambiente di lavoro? Se pensate che la risposta a una o a tutte queste domande sia , come potete dimostrarlo senza un audit esterno certificato?

In un mondo perfetto, la documentazione è sempre aggiornata e completa, ma il mondo non è perfetto. Anche se lo fosse, avremmo comunque bisogno di uno strumento capace di esplorare l’intera rete fisica, sovrapporvi il progetto logico (route, ACL e altri criteri di rete), confrontare le configurazioni e mostrare le discrepanze: uno strumento, insomma, in grado di testare la configurazione effettiva rispetto ai risultati attesi. In poche parole, una piattaforma di intent-based network assurance. Lo so, qualcuno dirà che strumenti simili esistono già, ma hanno grossi limiti: solitamente richiedono giorni per eseguire la discovery (ciò significa scattare snapshot molto irregolari e quindi inutili ai fini di troubleshooting e dynamic assurance), inoltre serve una laurea in fisica quantistica per farli funzionare.
In un’ottica accettabile, l’esplorazione iniziale deve richiedere al massimo alcune ore, senza che servano servizi professionali da impostare, gestire e personalizzare. Gli strumenti devono essere intuitivi e facili da usare, in breve, devono semplificarci la vita.

Nella prossima serie di articoli, esporrò scenari reali e quotidiani in cui questa tecnologia vi farà risparmiare tempo, denaro e, spesso, inutili complicazioni.

Scenario1: Network Segmentation Assurance 

La network segmentation è sempre più parte integrante nelle strategie di sicurezza delle aziende. All’apparenza, usare l’autenticazione e le Vlan per attuare una politica di segmentazione sembra semplice, ma i modi per progettarla sono troppi: protocolli, strumenti di rilevamento, dispositivi NAC, analizzatori di traffico ecc., occorrono tutti per supportare la segmentazione a livello aziendale, ma alla fine niente di tutto questo fornisce una panoramica unica che confermi che la rete è segmentata come previsto. Non ha importanza che la configurazione ideale sia stata implementata, che la Digital Network Architecture (DNA) confermi che ogni Vlan funziona correttamente con l’ICE, che l’applicazione degli endpoint operi perfettamente con AnyConnect. Nulla importa se le fondamenta sono difettose. Occorre un modo per confermare che la segmentazione è configurata in modo corretto, per stabilire a colpo d’occhio se un dispositivo che si suppone segmentato in Vlan A, non possa arrivare alla Vlan B, a meno che non lo si voglia. Se lo si vuole, occorre accertarsi che stia seguendo i protocolli di sicurezza del percorso previsto e così via.

Un concetto simile, sebbene d’uso diverso, è la network segmentation della PCI, tramite la quale le aziende limitano la spesa per la compliance e l’exposure PCI, segmentando le parti delle reti che si occupano dello storage o del transito dei dati della PCI. Il modo per accertarsi che tutto sia impostato correttamente è di solito sottoporsi a un audit certificato, ma non avrebbe più senso disporre di un’unica fonte in grado di estendersi all’intera rete, offrendo una view fisica e logica e riducendo i potenziali errori umani? Questa view unificata consentirebbe di vedere subito se le segmentazioni sono collocate correttamente, se un dispositivo può spostarsi dal punto A al punto B sulla rete o fare il bypass delle barriere.

Per la maggior parte di noi, sarebbe sufficiente un sistema che effettui un’esplorazione rapida e accurata e che garantisca visibilità della rete su livelli multipli, ma possiamo aspirare ad altro, perché nel mondo reale abbiamo bisogno di più. Abbiamo bisogno della capacità di creare modelli di modifica della rete prima e dopo. Il pre-change modelling consente di eliminare i rischi e limitare i tempi di inattività, garantendo ad un tempo l’integrità della rete e della sicurezza come si è progettato a monte. Il post-network change può aiutare a risolvere i problemi o fornire una semplice visualizzazione del design intent-based. In altre parole, il cambiamento previsto ha avuto un impatto sulla rete come ci si attendeva, nessuna supposizione, ma una semplice visualizzazione grafica per vedere i risultati della rete prima e dopo la modifica.

So che questi scenari sono di livello piuttosto elevato e semplici da capire, ma il punto è proprio questo: è così facile vedere che ci è sfuggito uno strumento di assurance affidabile e facile da usare. È un bisogno talmente ovvio che ci siamo tutti dimenticati di averlo. Tornerò tra qualche settimana con un articolo per evidenziare altri casi d’uso ovvi per uno strumento di enterprise assurance.

Come sempre, mettetevi in contatto con il team di IP fabric per qualsiasi domanda.

Leggi la 2° parte dell’articolo

Articoli correlati

Noleggia una Tesla per il tuo evento ICT!

Categorie