Sicurezza per il data center Cos'è la sicurezza per il data center?
La sicurezza dei dati è il processo di protezione dei dati digitali da accessi non autorizzati, danneggiamenti o furti a seguito di una violazione della sicurezza fisica o dei dati o di un cyberattacco.
La crescente ondata di traffico di data center east-west (da server a server) sta ridefinendo i requisiti di sicurezza. La velocità e il volume del traffico east-west negli ambienti applicativi virtualizzati e containerizzati richiedono nuove soluzioni di sicurezza, soprattutto negli scenari multitenant dove l’approccio Zero Trust Security è fondamentale.
- Sicurezza per il data center e zero trust
- Componenti di un data center sicuro
- Principi fondamentali dell’approccio zero trust
- Cos'è la sicurezza degli endpoint?
- Perché la sicurezza dell'infrastruttura è importante?
- Una nuova generazione di fabric di data center sicuri
- Migrazione del fabric di data center
Sicurezza per il data center e zero trust
Il panorama delle minacce alla cybersicurezza è cambiato radicalmente negli ultimi anni. Oggi, gli autori degli attacchi sono più motivati che mai a penetrare nei data center aziendali e sottrarre preziose informazioni. Per il data center, questo significa non considerare attendibile alcuna entità sulla rete per impostazione predefinita e diffidare di tutto il traffico, salvo autorizzazione esplicita in base a una policy di sicurezza.
Con le applicazioni basate su microservizi, è possibile che il traffico delle applicazioni non venga mai ispezionato da un firewall hardware, un IPS o un altro dispositivo di sicurezza, lasciando le aziende vulnerabili agli attacchi provenienti dal loro stesso interno.
Secondo NIST SP 800-207, "i modelli di sicurezza zero trust presuppongono che un utente malintenzionato sia presente nell'ambiente" e che un'architettura zero trust sia "progettata per prevenire le violazioni dei dati e limitare i movimenti laterali interni".
I data center si confrontano con due grandi minacce.
- Attacchi all'infrastruttura: l’operatività aziendale dipende dagli asset tecnologici, quindi proteggere l'infrastruttura significa proteggere l'organizzazione stessa. Gli exploit contro la funzionalità dei componenti del data center (storage, elaborazione e rete) comportano una perdita di prestazioni, disponibilità, dati proprietari e proprietà intellettuale, con un impatto negativo sui profitti.
- Cyberattacchi; le minacce all'infrastruttura tecnologica vanno dai tentativi di phishing agli attacchi ransomware, fino agli exploit DDoS (Distributed Denial of Service) e alle botnet Internet of Things (IoT). I sistemi di sicurezza dedicati con monitoraggio avanzato, l’applicazione di policy basate sulle applicazioni e il rilevamento delle minacce garantiscono il funzionamento senza problemi delle applicazioni business-critical e rivolte ai clienti.
I componenti di un data center sicuro
La sicurezza moderna per i data center richiede visibilità granulare, controllo delle policy e rilevamento e attenuazione automatizzati delle minacce, senza ulteriore complessità.
1. Visibilità completa
Le reti di data center cambiano rapidamente. La problematica più urgente è mantenere la stabilità operativa e la visibilità per gli utenti durante lo spostamento o l'upgrade delle risorse di storage ed elaborazione.
Sebbene sia possibile aggregare i dati di telemetria provenienti da numerosi tipi di infrastrutture di sicurezza, questa operazione richiede spesso molto tempo e individua i problemi solo dopo che si sono verificati.
2. Segmentazione
Per definire correttamente le policy e stabilire quali connessioni consentire e quali negare, è necessario comprendere i vari profili utente associati ai dati e alle applicazioni. Determinando i requisiti, è possibile sviluppare profili di accesso appropriati al data center. La segmentazione è una separazione logica degli host del data center tra cui è possibile applicare una policy di sicurezza.
Previene gli spostamenti laterali indesiderati ispezionando in modalità stateful tutto il traffico east-west nel data center e applicando le policy per impedire agli utenti malintenzionati di spostarsi attraverso la rete interna. La microsegmentazione fornisce segmentazione senza richiedere una nuova progettazione architettonica.
Può essere applicata a un sottoinsieme di host che richiedono un elevato livello di controllo o, più in generale, per massimizzare il livello di sicurezza di un data center.
3. Attenuazione delle minacce
È fondamentale che le moderne infrastrutture dei data center siano in grado di rilevare in anticipo le minacce e limitare gli attacchi. Un singolo punto di gestione centralizzato per la gestione dei criteri contribuisce ad attenuare e bloccare le minacce sconosciute.
Sono necessarie una segmentazione e una microsegmentazione di rete automatizzate e basate su policy, e le appliance di sicurezza centralizzate sono inefficienti per espandere i flussi di traffico. Il processo di hairpinning del traffico verso le appliance hardware all’edge del data center compromette le prestazioni delle applicazioni, limita la scalabilità, aumenta i costi e aggiunge latenza.
Principi fondamentali di zero trust
Con la verifica e la conferma costanti, le architetture di sicurezza zero trust consentono il rilevamento rapido di numerosi tipi di cyberattacchi e spesso bloccano le intrusioni prima ancora che si verifichino. Un modello zero trust supporta la microsegmentazione, consentendo all'IT di separare le risorse di rete in modo da contenere facilmente le potenziali minacce.
Visibilità completa
Con la crescente adozione dell'IoT, la visibilità totale dei dispositivi e degli utenti sulla rete è diventata un'attività sempre più importante e problematica. Senza visibilità, è difficile applicare controlli di sicurezza essenziali che supportino il modello zero trust. L’automazione, il machine learning basato sull'AI e la capacità di identificare rapidamente i tipi di dispositivi sono fattori determinanti.
Autenticazione e autorizzazione
Non fidarti mai: verifica sempre. È possibile utilizzare più metodi di autenticazione per supportare contemporaneamente un'ampia gamma di casi d'uso, inclusa l'autenticazione a più fattori basata sui tempi di accesso, le verifiche degli approcci e altri contesti come nuovo utente e nuovo dispositivo.
Controllo degli accessi basato sulle identità per l'accesso con privilegi minimi
L'accesso con privilegi minimi basato sulle identità consente agli utenti e ai dispositivi di accedere solo alle risorse necessarie per svolgere le loro funzioni e solo finché si comportano in modo coerente con il loro ruolo. Una policy di controllo degli accessi limita l'accesso alle risorse, regolandolo dinamicamente quando si osserva un comportamento anomalo o si sospetta una violazione.
Cos'è la sicurezza degli endpoint?
La sicurezza degli endpoint protegge uno degli asset più preziosi delle aziende, vale a dire i dati, da vulnerabilità e minacce, mettendo al sicuro gli endpoint di rete (hardware quali desktop, laptop, tablet e altri dispositivi mobili utilizzati per accedere alla rete aziendale). I tipi di sicurezza degli endpoint sono di diverso tipo.
- Controllo accesso di rete (NAC): utilizza i firewall per controllare l'accesso dei dispositivi endpoint alla rete.
- Prevenzione della perdita di dati: protegge i file o i dati violati/esfiltrati tramite schemi di phishing o malware installati sugli endpoint.
- Classificazione dei dati: individua i dati più sensibili nell’organizzazione, attribuendo maggiore importanza alla loro vulnerabilità, in modo che l'accesso possa essere fornito di conseguenza.
- Filtraggio degli URL: limita il numero di siti web a cui gli endpoint possono connettersi e fornisce protezione dal malware.
- Sicurezza del perimetro del cloud: pone un firewall attorno ai dati e alle applicazioni sensibili basati su cloud per limitare gli endpoint che possono accedervi.
- Sandbox: configura un ambiente virtuale che imita la rete in cui opera l'endpoint dell'utente, limitando l'accesso alle informazioni sensibili.
Perché la sicurezza dell'infrastruttura è importante?
La maggiore interconnettività e l’adozione di servizi cloud, microservizi e componenti software su diverse piattaforme cloud e all’edge della rete aziendale hanno reso la protezione dell'infrastruttura tecnologica più complessa ed essenziale che mai. Le architetture di sicurezza zero trust sono un modo in cui le aziende stanno affrontando questa problematica.
Allo stesso tempo, è molto importante formare i dipendenti sulla sicurezza delle password e delle credenziali per proteggere l'infrastruttura IT, poiché l'elemento umano può rappresentare l'anello più debole nella strategia di sicurezza dell’organizzazione. La sicurezza dell'infrastruttura implementa la protezione dei dati lungo l'intero perimetro tecnologico aziendale attraverso quattro livelli.
- Fisico: protezione delle infrastrutture fisiche da furti, vandalismo ecc. Anche i piani di ripristino dei dati che incorporano backup fuori sede ubicati in aree geografiche diverse rientrano nella strategia di sicurezza fisica.
- Rete: monitoraggio del traffico di rete in entrata e in uscita, (on-premise, nel cloud tramite firewall o mediante l’autenticazione a più fattori MFA), per verificare le identità prima di consentire l'accesso alle risorse.
- Applicazione: garanzia che gli aggiornamenti software e firmware vengano distribuiti e applicati all'intera rete aziendale, poiché le applicazioni software obsolete possono contenere vulnerabilità sfruttabili dagli autori degli attacchi per accedere ai sistemi IT.
- Dati: protezione dei dati con misure di sicurezza degli endpoint aziendali comuni, tra cui filtraggio degli URL, tool anti-virus, sandbox, gateway email sicuri, tool EDR (Endpoint Detection and Response) e crittografia.
Una nuova generazione di fabric di data center sicuri
Mentre le reti di data center si sono evolute negli ultimi dieci anni, fornendo topologie leaf-spine 25/100/400G con prestazioni più elevate per far fronte al volume e alla velocità delle architetture applicative emergenti, le architetture di sicurezza e di servizi sono rimaste ferme.
A differenza dei tradizionali approcci alla sicurezza perimetrale, le moderne architetture di sicurezza zero trust riconoscono l'attendibilità come una vulnerabilità. Presuppongono che nessun utente, anche se autorizzato alla rete, debba essere considerato attendibile per definizione dato che ognuno di questi potrebbe essere compromesso. La conferma e l'autenticazione delle identità e dei dispositivi sono quindi richieste in tutta la rete. Ogni singolo componente della rete deve definire la propria attendibilità in modo indipendente ed essere autenticato da ogni altro componente con cui interagisce, incluse le misure di sicurezza dei point esistenti. I principi fondamentali della strategia di sicurezza zero trust.
- Non fidarti mai: verifica sempre
- Presupponi la violazione
- Verifica in modo esplicito
Un’architettura di servizi distribuiti estende l’appoccio zero trust più in profondità nel data center, fino all’edge dei server di rete, erogando micro-segmentazione estremamente approfondita, oltre a scalare e rafforzare drasticamente la sicurezza dei carichi di lavoro mission-critical.
Migrazione del fabric di data center
Soluzioni, prodotti o servizi correlati
Argomenti correlati
Soluzioni architettoniche incentrate sull'edge, abilitate per il cloud e basate sui dati di HPE Aruba Networking.