Miglior Firewall aziendale: i consigli per fare la scelta giusta

Prestazioni, fattori di forma e capacità di automazione sono considerazioni chiave nella scelta di un firewall aziendale di prossima generazione (NGFW).

firewall

I firewall esistono da anni, ma la tecnologia si evolve man mano che il panorama delle minacce cambia. Ecco allora alcuni suggerimenti su cosa cercare in un firewall aziendale di nuova generazione (NGFW) in grado di soddisfare le esigenze aziendali attuali e future.

Non fidatevi delle statistiche sul rendimento del firewall

Capire come funziona un NGFW richiede più che guardare le specifiche di un fornitore o eseguire un po’ di traffico rete attraverso esso. La maggior parte dei firewall funzionerà bene quando i carichi del traffico sono leggeri, ma è importante vedere come un firewall risponde scalando, in particolare quando la crittografia è attivata. Circa l’80% del traffico viene crittografato oggi e la capacità di mantenere livelli di prestazioni con elevati volumi di traffico crittografato è fondamentale.

Inoltre, assicuratevi di attivare durante i test tutte le principali funzioni (identificazione di applicazioni e utenti, IPS, anti-malware, filtraggio e registrazione degli URL) per vedere come un firewall reggerà in un ambiente di produzione. I fornitori di firewall spesso vantano un unico numero di prestazioni ottenuto con le funzionalità principali disattivate. I dati di ZK Research mostrano che molti professionisti IT apprendono questa lezione nel modo più duro: il 58% dei professionisti della sicurezza intervistati ha infatti dichiarato di essere stato costretto a disattivare diverse funzionalità per mantenere le prestazioni.

Prima di impegnarsi con un fornitore, assicuratevi di eseguire test con il maggior numero possibile di tipi di traffico e con vari tipi di applicazioni. Le metriche importanti da considerare includono il throughput dell’applicazione, le connessioni al secondo, le sessioni massime per IPv4 e IPv6 e le prestazioni SSL.

Il NGFW deve adattarsi a una più ampia piattaforma di sicurezza

È meglio avere una strategia “best-of-breed” o scegliere un singolo fornitore per sicurezza? La questione è stata discussa per anni, ma il fatto è che nessuno dei due approcci funziona in modo impeccabile. È importante capire che il best-of-breed non garantisce la sicurezza migliore della categoria. In realtà, può essere vero il contrario; appoggiarsi a troppi fornitori può portare a una complessità che può non essere gestita al meglio, il che mette a rischio un’azienda. Un approccio migliore è una piattaforma di sicurezza che possa essere pensata come un’architettura aperta, in cui è possibile collegare prodotti di terze parti.

Traffico di rete

Qualsiasi NGFW deve essere in grado di collegarsi a una piattaforma in modo che possa “vedere” qualsiasi cosa, dagli endpoint IoT al traffico cloud ai dispositivi degli utenti finali. Inoltre, una volta che un NGFW ha aggregato i dati, dovrebbe essere in grado di eseguire analisi per fornire approfondimenti. Ciò consentirà all’NGFW di agire e applicare le politiche attraverso la rete.

Form factor multipli e caratteristiche di sicurezza coerenti

I firewall erano relegati ai data center aziendali. Oggi le reti si sono aperte e i clienti hanno bisogno di un set di funzionalità coerente in ogni punto della rete. I fornitori di NGFW dovrebbero quindi avere i seguenti form factor disponibili per ottimizzare il rapporto prezzi/prestazioni:

  • Data Center
  • Internet Edge
  • Filiale di medie dimensioni
  • Piccola filiale
  • Cloud
  • Macchine virtuali che possono essere eseguite in cloud pubblici e privati

Inoltre, i fornitori di NGFW dovrebbero avere una roadmap per un form factor containerizzato e questo certamente non è un obiettivo banale. La maggior parte dei fornitori non ha ancora un prodotto pronto per il container, ma dovrebbero iniziare a dire come intendono affrontare il problema.

Gestione del firewall a singola dashboard

Avere un’ampia gamma di prodotti non conta se i prodotti devono essere gestiti individualmente. Ciò rende difficile mantenere aggiornati i criteri e le regole e porta a incongruenze nelle caratteristiche e nelle funzionalità. Un fornitore di firewall deve disporre di un unico strumento di gestione che fornisca visibilità end-to-end e consenta all’amministratore di apportare modifiche e di inviarle contemporaneamente attraverso la rete.

La visibilità deve estendersi ovunque, inclusi il cloud, l’IoT edge, gli ambienti operativi (OT) e le filiali. Una singola dashboard è anche il posto giusto per implementare e mantenere la segmentazione basata sul software invece di dover configurare ciascun dispositivo.

Funzionalità di automazione del firewall

L’obiettivo dell’automazione è quello di aiutare a rimuovere molti dei passaggi manuali che creano “latenza umana” nel processo di sicurezza. Quasi tutti i fornitori propongono alcune funzionalità di automazione come un modo per risparmiare sull’organico, ma l’automazione va ben oltre questo aspetto. L’automazione infatti può anche essere utilizzata per proteggere meglio l’organizzazione prevedendo i comportamenti ed eseguendo la protezione più rapidamente. Se usata correttamente, l’automazione può ridurre il carico umano e prevenire attacchi informatici. Di seguito sono riportati tre casi d’uso per l’automazione con un NGFW:

  • L’automazione del flusso di lavoro semplifica il lavoro dell’ingegnere della sicurezza facendosi carico di molte delle attività quotidiane più banali e semplici. La gestione di più dispositivi su più ambienti può aumentare la complessità e introdurre rischi da errori di configurazione. L’automazione del flusso di lavoro può essere considerata come la gestione del ciclo di vita delle regole per automatizzare ogni fase del processo di gestione del cambiamento. I flussi di lavoro devono inoltre essere personalizzabili per adattarsi agli obiettivi e agli standard di sicurezza e l’automazione può farsi carico di alcune “noiose” attività, come nel caso dell’identificazione di applicazioni e dispositivi. Se un NGFW ha un database abbastanza grande, verranno identificate quasi tutte le app e gli endpoint. Senza l’automazione invece l’amministratore deve passare attraverso una lunga lista di incognite e identificarle manualmente.
  • L’automazione delle policy rende la sicurezza molto più agile. Il cambiamento è la norma poiché le aziende stanno diventando sempre più dinamiche e distribuite. Ciò rende quasi impossibile mantenere le policy aggiornate utilizzando metodi manuali. L’automazione delle policy garantisce che le policy vengano costantemente rispettate, anche quando le cose cambiano. Ad esempio, se tutti i dispositivi IoT devono rimanere in un segmento sicuro e un dispositivo si sposta, la policy deve seguire automaticamente il dispositivo anziché dover riconfigurare la rete.
  • L’identificazione della sicurezza e l’automazione del suo rafforzamento possono aiutare a trovare le minacce più velocemente, reagendo quasi in tempo reale. Le minacce spesso persistono nelle aziende per giorni, settimane o addirittura mesi prima che vengano identificate, il che causa un danno significativo. L’automazione può essere utilizzata per trovare un’anomalia e mettere in quarantena l’endpoint in un segmento sicuro. Idealmente le funzionalità di automazione si estenderebbero all’applicazione e alla “bonifica”, in modo che la minaccia possa essere rimossa e il dispositivo riposto nella rete.

Infine, l’automazione ha bisogno di un’interfaccia facile da capire. Una regola generale per tutti i progetti IT è che la soluzione deve essere più semplice del problema originale. Molti strumenti di automazione hanno curve di apprendimento ripide che ne limitano l’utilità. Le aziende dovrebbero essere in grado di far crescere l’uso dell’automazione senza dover aggiungere più persone.

Funzionalità avanzate di un NGFW

Oltre al blocco e alla gestione di base per un NGFW, il set di caratteristiche dovrebbe includere feature avanzate per ottimizzare le prestazioni e offrire nuove funzionalità. L’elenco di funzionalità avanzate disponibili è estremamente lungo; qui ne riportiamo alcune in grado di poter affrontare i principali punti dolenti aziendali.

  • Servizi di ottimizzazione, che consentono ai clienti di massimizzare il ROI dagli investimenti in sicurezza. Ciò avverrebbe da una serie di strumenti e risorse forniti dal vendor per aiutare i clienti ad adottare le migliori pratiche per garantire che le cose siano configurate e distribuite correttamente.
  • Ottimizzazione delle policy, che consente di analizzare le regole e quindi determina quali tenere, eliminare o ripulire. I firewall tradizionali utilizzavano regole basate sulle porte e gli NGFW operano su regole di whitelist basate su applicazioni. Una delle sfide che le aziende hanno con la migrazione da port-based ad app-based è che il set di regole può diventare cospicuo e difficile da controllare. Molte aziende hanno milioni di regole del firewall e non c’è modo di ripulirle prima di migrare. L’ottimizzazione delle policy può aiutare a rimuovere le regole inutilizzate e ciò mantiene pulito il set di regole set e riduce la superficie di attacco complessiva.
  • Sicurezza DNS, che utilizza capacità di machine learning per bloccare gli attacchi che utilizzano DNS. L’uso del DNS come vettore di attacco continua a crescere, poiché è facile indirizzare gli utenti verso domini errati tramite il phishing. Esistono strumenti di sicurezza DNS, ma sono separati dal firewall. L’integrazione con un NGFW consente di automatizzare la protezione e ovvia alla necessità di strumenti standalone. Ciò porta a una più rapida identificazione dei domini maligni unita alla capacità di neutralizzare la minaccia nascosta nel tunnel DNS.
  • La protezione dai furti di credenziali protegge la società dalle password rubate. Questo è il modo più vecchio e più semplice per accedere a una rete. Una volta che un hacker ha accesso alle credenziali rubate, può ignorare tutti gli strumenti di sicurezza fingendo di essere quell’utente fidato, potendo così muoversi liberamente all’interno dell’azienda, scegliendo quali dati rubare o quali danni causare. Un NGFW che fa parte di una piattaforma può identificare e impedire tentativi di sottrazione di credenziali impedendo l’accesso a credenziali valide in un sito web illegittimo. L’NGFW può quindi automatizzare le regole per impedire spostamenti a sistemi diversi, dando all’azienda il tempo di informare l’utente e modificare le password. Inoltre, le aziende devono essere protette contro l’uso improprio di credenziali già sottratte. Per proteggersi da questo, il fornitore NGFW dovrebbe collaborare con i principali fornitori di autenticazione a più fattori (MFW).

Nonostante i NGFW siano disponibili da diverso tempo, sono ben lungi dall’essere una commodity. Devono essere considerati il fondamento di una strategia di piattaforma di sicurezza che consente una maggiore sicurezza in ogni parte della rete. Non fatevi ingannare dal marketing e dai foglietti illustrativi patinati. Invece, fate tutti i test del caso e assicuratevi che le esigenze della vostra azienda vengano soddisfatte in tutti gli scenari. Perché con gli NGFW piccole variazioni nelle prestazioni possono avere un grande impatto sulla protezione dalle minacce.