SARA potenzia la sua sicurezza con il cloud
BENEFICI
AT A GLANCE
Adozione di una gestione olistica della sicurezza
Protezione perimetrale
Analisi di comportamenti di rete anomali del PC
Gestione centralizzata e automatica dalla piattaforma con policy di dominio
Intrusion Prevention System
Regole dei firewall configurate su base utenza di active directory
Analisi dei file con la piattaforma ThreatGrid
Web Security Appliance
Umbrella come DNS
SOLUZIONE
Un progetto fortemente innovativo sia per i prodotti cloud-based utilizzati sia per le modalità contrattuali che, a fronte di una subscription mensile per utente, garantisce a SARA tutta la suite di sicurezza offerta dal catalogo Cisco con le personalizzazioni adatte sulla sua specifica realtà. Italtel realizza i servizi di progettazione, di configurazione e personalizzazione della soluzione.
DESCRIZIONE TECNICA
La soluzione di cyber security realizzata per la rete di SARA spazia a tutto tondo.
L’approccio scelto da SARA e realizzato da Italtel grazie alle soluzioni Cisco è di superare l’idea di una sicurezza decentralizzata, in cui ogni elemento attua contromisure ad eventuali attacchi o situazioni anomali, in favore di una gestione olistica della sicurezza, dove ogni elemento attua le contromisure e comunica agli altri sistemi ciò che ha trovato affinchè tutti gli altri sistemi in rete applichino le contromisure relative ad una segnalazione non diretta di quell’elemento ma ottenuta da un altro elemento di rete, e quindi distribuita.
La soluzione si articola infatti su più livelli, a partire dalla sicurezza dei PC (i client fisici o end point) su cui viene installato l’agent AMP (Advanced Malware Protection) for Endpoint come evoluzione dell’antivirus. Oltre alle classiche funzionalità dell’antivirus, l’AMP for Endpoint, integrato con altri elementi di Cisco, verifica comportamenti di rete anomali del PC, e mette in atto operazioni che possono variare dall’eliminazione di un allegato pericolo fino all’isolamento del PC stesso in casi estremi.
La logica con cui SARA distribuisce l’AMP for Endpoint sui PC del personale è mediante una piattaforma in cloud, sulla quale realizzare le customizzazioni dei client (specifici per sistema operativo) che verranno poi installati sui PC, generalmente attraverso una gestione centralizzata e automatica dalla piattaforma con policy di dominio.
E’ implementata anche la parte di IPS (Intrusion Prevention System), sempre inclusa negli apparati Cisco Firepower 2130 con software FTD, aggiunta su richiesta di SARA e in precedenza implementata da un’altra funzione. In particolare, dal vecchio deployment è stata fatta la migrazione su un’unica piattaforma centralizzata, che semplifica le attività di gestione dei firewall su cui configurare le regole.
SARA è passata da una struttura di configurazione dei firewall rigida (ad esempio al cambio di una rete era necessario aggiornare tutte le regole che interessavano quella rete) ad una più dinamica. Una ulteriore evoluzione infatti è stato aggiungere alle regole su base networking (IP sorgente/IP destinatario) anche le regole su base utenza di active directory. Una persona che lavora nella sede di Milano passando nella sede di Roma, ora non ha più la necessità di integrare come sorgente la rete di Roma, ma viene gestita solo sulle basi delle credenziali, ottenendo così semplicità e versatilità nell’agire sul gruppo di Active Directory senza modificare l’intera infrastruttura.
La configurabilità su base utenza è resa possibile grazie all’ISE (Identity Services Engine), un Network Access Control, che si integra con l’Active Directory e i Firepower. In particolare, ISE è stato integrato per permettere al Firepower di configurare le regole su base utenza anziché su base IP. ISE offre anche molte altre funzionalità, essendo un NAC (Network Access Control) controlla gli accessi alla rete, sia che siano accessi di tipo wireless, sia che siano accessi di tipo wired. SARA ha optato per ampliare il deployment ISE, per distribuirla (essendo un controllo dell’accesso di una rete geograficamente vasta con un gran numero di utenze), affinchè ci sia prossimità verso l’utente finale.
Il Cisco WSA (Web Security Appliance) funge da proxy evoluto, in sostituzione del precedente Web Gateway di McAfee, integrandosi perfettamente nella soluzione con gli altri elementi Cisco. Il WSA è l’elemento che invia le richieste DNS. Sempre nell’ambito security, a integrazione di WSA, SARA ha anche ampliato di 2100 unità le licenze di Cisco Umbrella per integrare le agenzie, ottenendo una maggiore sicurezza perché di fatto il primo livello di sicurezza che si va ad applicare su una rete è proprio quello del DNS, tramite l’individuazione di url/ip malevoli. In altri termini, l’infrastruttura di SARA utilizza Umbrella come DNS.
Infine, la piattaforma ThreatGrid analizza i file, ricevuti via mail o scaricati da un utente, per i quali non esiste ancora una documentazione a livello di minacce, emulando sistemi operativi, comportamenti di rete e comportamenti di utente, per verificare come agisce il file (ad esempio se esso modifica le chiavi di registro), in una cosiddetta sandbox, cioè una sorta di bolla chiusa sicura. Sulla base del report, il file viene classificato come malevolo o meno. Questa informazione viene poi propagata a tutto il sistema mondiale di Cisco. Questa piattaforma è di grande valore a protezione dai cosiddetti zero-day, cioè quei virus talmente recenti da non essere ancora stati identificati.