Mantenere in equilibrio la sicurezza e l’efficienza di un data center sta diventando una vera e propria sfida che richiede una speciale attenzione. Infatti, l’operatività e le prestazioni a supporto del business devono poter essere garantite a fronte di un ventaglio di minacce e rischi sempre crescente e del rispetto delle policy e politiche aziendali o normative vigenti.
I problemi dei data center
I principali problemi da affrontare nella gestione dei data center riguardano la salvaguardia dalle minacce che minano i vari livelli applicativi, la garanzia di disponibilità ed efficienza delle prestazioni e la segmentazione della rete interna per l’adeguamento verso le normative vigenti. Qualsiasi soluzione per la sicurezza deve essere di rapida applicabilità, consentire aggiornamenti immediati al fine di contrastare minacce note e di tipo 0-day, e ovviamente deve essere implementabile in modo semplice.
Nella pratica l’equilibrio di tutte queste componenti ha sempre causato compromessi irrinunciabili: prestazioni contro sicurezza, semplicità contro funzionalità ed efficienza contro visibilità.
Enterprise e Internet data center
La prima e necessaria distinzione che si deve tenere presente è quella fra Enterprise data center e Internet data center che obbliga all’implementazione di misure di sicurezza rispettivamente appropriate.
All’interno di un modello Enterprise è necessario integrare la sicurezza di rete armonizzando un parco variegato di architetture, segmentare le reti sulla base delle esigenze specifiche dell’azienda (ad esempio in base alle applicazione ed agli utenti) e tenere il passo con gli sviluppatori di applicazioni sono specifiche esigenze di sicurezza stabilite dalle policy aziendali. Gli Internet data center sono invece orientati ad una maggiore flessibilità e visibilità, integrando in modo più semplice la prevenzione delle minacce pur mantenendo un alta affidabilità.
Per proteggere questi ambiti, Palo Alto Networks ha sviluppato delle tecnologie che permettono di garantire prestazioni e affidabilità.
Tecnologie dei firewall PAN
- App-ID è la funzionalità che effettua la classificazione del traffico, requisito base di ogni policy di sicurezza. Spesso le comuni applicazioni e in particolare quelle "malevole" eludono le porte ed i protocolli standard, e per individuarle è necessario saperle riconoscere. App-ID utilizza diverse tecniche di classificazione identificando con precisione le applicazioni che attraversano la rete indipendentemente dal fatto che si tratti di un’applicazione standard, di pacchetti applicativi o di un’applicazione custom.
- User-ID è la tecnologia che collega ogni indirizzo IP all’identità specifica dell’utente, consentendo quindi la visibilità e il controllo delle attività di rete. È completamente integrata all’Active Directory, all’LDAP e permette sempre di avere la visibilità delle applicazioni preferite e o permesse ad un utente o gruppo di utenti.
- Content-ID sfrutta 4 diverse modalità per impedire la penetrazione di spyware, virus o vulnerabilità varie: l’application decoder che preprocessa e post-processa i flussi di dati per accorgersi di variazioni potenzialmente minacciose; il formato uniforme delle "threat signature" che implementa un unico motore di scansione per tutte le minacce; la protezione dalle vulnerabilità (IPS) che consiste nell’applicazione di procedure di normalizzazione e de-frammentazione del traffico unitamente a tecniche di rilevamento; l’integrated URL logging che riconosce quali elementi dell’applicazione web vengono utilizzati o attaccati nel data center.
- Single Pass, Parallel Processing Architecture è la modalità di analisi dei flussi in un unico passaggio mediante l’esecuzione di processi paralleli (SP3) ad una velocità che arriva fino a 20 Gbps. L’analisi parallela è svolta in modalità "stream based" per evitare di introdurre latenza e ritardo.
Infine i firewall PAN hanno una architettura HW basata sul concetto di resilienza assicurata dalla separazione fisica fra dati e elaborazioni di controllo. In pratica nessuna operazione di che richieda tempo CPU, interferisce o rallenta il processo di analisi del traffico.
Implementazione negli Enterprise data center (EDC)
I data center aziendali sono caratterizzati da tante applicazioni e relativamente pochi utenti ma necessitano di segmentazione. È noto che tutti i firewall oggi in commercio sono in grado di segmentare la rete basandosi su porte o su indirizzi IP, ma questo tipo di segmentazione risulta inutile per far fronte ad applicazioni e minacce che principalmente utilizzano qualsiasi porta aperta (es. IEEE OSI L4). Poiché la segmentazione è necessaria in rispondenza alle normative, sarebbe ottimale poterla implementare secondo le applicazioni e in base agli utenti e questo i firewall tradizionali non sono in grado di farlo.
Si deve anche considerare che gli EDC possono non avere una unica localizzazione e differenziano le risorse di rete in base a dove sono distribuite. Anche in questo caso le peculiarità dei Firewall PAN sono determinanti: possono infatti essere integrati nell’infrastruttura del data center a livello di protocollo OSI L1(virtual wire), L2, L3 anche operando in modalità mista attraverso un dispositivo ad alta densità di porte. L’integrabilità in qualsiasi architettura preesistente e in qualsiasi modello operativo è garantita invece dalla capacità dei Firewall di trasportare le VLANs attraverso un trunk (802.1Q), la capacità di aggregare interfacce permettendo la gestione del dispositivo in base al ruolo dell’amministratore attraverso zone di sicurezza e firewall virtuali.
Altro aspetto chiave dei firewall PAN è la capacità di controllo sulle applicazioni "rogue" cioè quelle che sono erroneamente configurate, che utilizzano porte non standard, che insomma lavorano in modo "non pulito" a causa di sviluppatori inesperti o semplicemente disattenti. I firewall PAN consentono il controllo diretto delle applicazioni e del loro codice eseguibile indipendentemente dalla porta e dal protocollo che l’applicazione utilizza, permettendo di diminuire l’area di un possibile "attacco informatico" .
Implementazione negli Internet data center (IDC)
Contrariamente ai precedenti, gli IDC sono caratterizzati da poche applicazioni e molti e variegati utenti che anzi spesso sono "untrusted" e sconosciuti all’azienda. Questo richiede di implementare sistemi di Intrusion Prevention che solitamente rallentano le prestazioni. I firewall PAN sono progettati con dispositivi IPS che raggiungono un "catch rate" quasi totale (93.4%con una resistenza all’evasione pari al 100%) e con un rendimento del 115%. La concentrazione nel firewall di diversi sistemi di contrasto (DLP, IPS, IDS etc..) permette di avere inoltre una unica console di gestione e visibilità dei log il che semplifica la "visibilità" di eventuali attacchi e ne permette un più immediato contrasto a beneficio dell’efficienza.
Ricordiamo infatti che con i firewall tradizionali la distribuzione della sicurezza su diverse macchine, richiede la ricerca delle evidenze di un attacco informatico su molteplici file di log, il che equivale a cercare un ago in un pagliaio, con evidenti rallentamenti di tempo e ovviamente di attuazione delle necessarie contromisure.