Le minacce informatiche pongono il business e la reputazione delle aziende più a rischio che mai e rimanere flessibili rappresenta oggi una delle più grandi sfide per le organizzazioni.
Per questo motivo il tema della sicurezza, che è spesso limitato strettamente al campo dell’IT e della tecnologia, dovrebbe essere portato all’attenzione dei vertici delle aziende.
Prendiamo ad esempio la micro-segmentazione, forse il più importante sviluppo nella sicurezza aziendale del nostro tempo. Rappresenta un approccio più sofisticato alla sicurezza del data center, una volta assodato che le minacce sussistono e possono essere ovunque e che è necessario agire di conseguenza. La micro-segmentazione inverte il concetto obsoleto di difesa perimetrale da un punto centrale, che protegge solo le comunicazioni da ciò che proviene dall’esterno del data center, rispetto a un modello di fiducia pari a zero, dove si costruisce la sicurezza dall’interno e anche il cosiddetto traffico affidabile interno al data center è soggetto a verifica e regolamentazione.
Ma come possiamo affrontare questo tema in modo che raggiunga i responsabili del business attualmente meno coinvolti (e meno interessati) agli aspetti tecnici della sicurezza? In buona parte si tratterà di comunicare i principi chiave su cui si basa la micro-segmentazione e l’impatto più ampio sul business con un linguaggio universale che possa essere compreso a tutti i livelli.
Per fare capire perché questa tecnologia è interessante per un’organizzazione moderna, abbiamo realizzato dei paralleli con alcune pellicole cinematografiche di successo presentando i principi della moderna sicurezza. Quindi, senza ulteriori indugi, luci, camera, azione!
La classica sfida dei film: “Violare l’inviolabile”
Un’immagine ricorre spesso nei film: il sistema di sicurezza completamente protetto e inattaccabile viene violato. Da Ocean’s Eleven a Mission Impossible, gli eroi del grande schermo hanno un talento speciale per penetrare nelle strutture più protette. In realtà, questo vale spesso anche per i data center tradizionali – la cui resilienza poggiava un tempo su un “perimetro fisico” che manteneva fuori le minacce provenienti dall’esterno, come le fortificazioni di un castello medioevale. Quando però un cyber-criminale riesce a sfruttare una crepa in questa difesa può entrare nel sistema e scatenarsi in piena libertà – passando da uno qualsiasi a tutti i server.
Pensate al sistema informatico di Jurassic Park: una rete apparentemente protetta, sicuramente da ciò che viene dall’esterno, ma messa in crisi dal dipendente corrotto Dennis Nedry, che disattiva da solo tutto il sistema di sicurezza, ottiene l’accesso a tutti gli ambienti e toglie la corrente al parco (disattivando le recinzioni di sicurezza e bloccando i veicoli dei turisti).
La micro-segmentazione ha lo scopo di prevenire questo tipo di scenario, offrendo una nuova soluzione per una generazione altrettanto nuova di sfide di sicurezza. E lo fa nei modi seguenti:
Sicurezza individuale
Harry Potter e i doni della morte – Parte II
Piuttosto che affidarsi al solo perimetro di difesa, la micro-segmentazione consente di proteggere i singoli carichi di lavoro. Le organizzazioni possono suddividere il data center in segmenti di sicurezza distinti e definire i controlli e i servizi di sicurezza per ciascuno di essi. Con la micro-segmentazione, il movimento laterale non autorizzato tra i server viene controllato, il che significa che anche se gli hacker violano il perimetro fisico non possono muoversi liberamente tra gli stack dei server.
Accade una cosa simile alla Gringott, la banca dei maghi,descritta in Harry Potter e i doni della morte, quando Harry e i suoi alleati riescono a penetrare nell’edificio della banca: superando la sicurezza iniziale, ogni singola camera blindata viene bloccata individualmente – le camere più piccole richiedono delle chiavi e sono più vicine alla superficie, mentre quelle più grandi richiedono l’identificazione da parte dei maghi e si trovano in profondità nel sottosuolo. Una è addirittura custodita da un drago per tenere fuori gli intrusi.
Contenere le minacce
Quarantena
La micro-segmentazione permette di mantenere in isolamento le reti, anche se si trovano all’interno di un singolo server o di un hypervisor, in modo che una minaccia rilevata in un carico di lavoro specifico possa essere arrestata prima di diffondersi – limitando così in modo significativo l’impatto complessivo sul sistema IT e sul business.
Il film horror Quarantena, del 2008, mostra un parallelo, quando il reporter e il suo cameraman seguono i vigili del fuoco in un condominio per indagare su una chiamata di emergenza. I condomini sono infettati da una malattia virulenta che li induce a diventare aggressivi, e nella lotta per la sopravvivenza le autorità scelgono di mettere in quarantena l’edificio (in modo efficace, ma forse crudele) per contenere e limitare la diffusione dell’infezione.
Affidarsi all’automazione
Minority Report
All’interno del futuro dispotico di Minority Report, l’automazione personalizzata è una delle tante visioni futuristiche del progresso tecnologico. Mentre cammina in un corridoio, l’occhio del protagonista, John Anderton (alias Tom Cruise), è catturato dai cartelloni pubblicitari che riconoscono la sua identità e adattano di conseguenza i messaggi. Tutto, dall’accesso alla metropolitana a quello agli edifici, si basa su policy automatizzate di questo tipo.
Nel mondo della micro-segmentazione, in modo simile, le policy di sicurezza vengono ideate mentre viene creato il carico di lavoro stesso e lo seguono in tutto il data center. Queste policy possono essere automatizzate, il che significa che le regole e la governance applicate a ogni carico di lavoro possono essere modificate con soli due clic. Tutto, dal bilanciamento del carico ai firewall e ai problemi di conformità, può essere affrontato una volta sola e poi dispiegato istantaneamente a tutta la rete, offrendo funzionalità di sicurezza maggiormente complete e correlate all’interno del data center.
Visibilità e controllo
The Truman Show
Il traffico all’interno del data center può rappresentare fino all’80% di tutto il traffico di rete, nonostante questo le difese focalizzate sul perimetro offrono poco o nessun controllo delle comunicazioni di rete. La crescita del traffico East-West (altrimenti noto come ‘server to server’) rappresenta una sfida per le organizzazioni – dato che la maggior parte di esso non passa attraverso un firewall non è ispezionabile. Il team IT potrebbe sapere di avere un problema di rete, ma non avere nessun contenuto o visibilità su quale sia il problema!
Al contrario, il mondo software-defined della micro-segmentazione offre potenzialmente una vista di tutto il traffico del data center. Una visibilità e comprensione del contesto maggiore consente di adottare una micro-segmentazione basata sulle caratteristiche di ogni diverso carico di lavoro, in modo da definire policy di sicurezza e di rete più intelligenti.
Pensate a The Truman Show, l’ultimo parallelo cinematografico che vi proponiamo. Nel film il personaggio di Ed Harris Christof esercita un controllo quasi totale sul mondo di Truman – attraverso telecamere nascoste, attori che fingono di essere suoi amici e una serie di misure di prevenzione crescenti, progettate per mantenere lo status quo. Forse non è un paragone piacevole, ma meglio di quello con 1984, e più facile da assimilare a come l’IT nel mondo della micro-segmentazione sia in grado di detenere una visibilità completa e un controllo puntuale sulla sicurezza.
Considerazioni finali
Dove ci portano tutti questi paralleli? In sintesi, c’è bisogno di professionisti dell’IT che siano capaci di promuovere la micro-segmentazione con un linguaggio in grado di propagarsi e colpire veramente, in modo che il suo valore (e la sua urgenza) vengano percepiti da tutta l’organizzazione. Non si tratta di discutere le sfumature del perché il traffico East-West rappresenti una minaccia per le difese perimetrali tradizionali e non importa se bisognerà parlare di un film di Tom Cruise o di Harry Potter. Ciò che conta è arrivare alla consapevolezza da parte del top management che esiste un’opzione comprovata per affrontare contemporaneamente le minacce alla sicurezza tradizionali e quelle di nuova generazione, e che questa sarà fondamentale per mitigare i rischi sia a livello commerciale sia di reputazione nelle organizzazioni, in un mondo dove le sfide di sicurezza aumentano e variano in continuazione.
