Perimetro definito dal software: cos’è e come funziona
Un numero crescente di organizzazioni sta tracciando una linea invisibile attorno alle proprie risorse connesse a Internet nel tentativo di tenere a bada gli aggressori. Chiamata perimetro definito dal software (Software Defined Perimeter – SDP), questa linea di difesa invisibile si basa sul concetto relativamente semplice di porre una barriera virtuale attorno a server, router, stampanti e altri componenti di rete aziendali. L’obiettivo di SDP è proteggere le reti dietro un perimetro flessibile e basato su software. “I vantaggi di questa soluzione includono una maggiore sicurezza e una maggiore flessibilità e coerenza” afferma Ron Howell, principale architetto SD-WAN e SASE presso la società di consulenza IT e aziendale Capgemini Americas.
Il perimetro definito dal software può affrontare le sfide di sicurezza diventate più complesse con l’avvento di applicazioni basate su microservizi. “Negli ultimi tempi le applicazioni sono state ulteriormente modularizzate: ora sono composte da più tipi di carichi di lavoro e microservizi nel data center dell’organizzazione o nel cloud pubblico”, afferma Chad Skipper, tecnologo della sicurezza globale per VMware.
Che cos’è un SDP?
Il framework SDP offusca server o nodi, in genere su una rete interna, afferma Chalan Aras, direttore del rischio strategico della società di consulenza aziendale Deloitte. “SDP utilizza l’identità e altri metodi di convalida per consentire visibilità e connettività ai nodi o ai server di rete in base ai privilegi minimi o alla necessità di accesso”.
Un SDP è specificamente progettato per impedire che gli elementi dell’infrastruttura vengano visualizzati esternamente. L’hardware, come ad esempio router, server, stampanti e praticamente qualsiasi altra cosa connessa alla rete aziendale che è anche collegata a Internet, è nascosto a tutti gli utenti non autenticati e non autorizzati, indipendentemente dal fatto che l’infrastruttura sia nel cloud o in locale. “Ciò impedisce agli utenti illegittimi di accedere alla rete stessa autenticandosi prima e consentendo l’accesso in secondo luogo” afferma John Henley, consulente di sicurezza informatica presso società di consulenza per la ricerca tecnologica ISG. “Un SDP non solo autentica l’utente, ma anche il dispositivo utilizzato”.
Vantaggi degli SDP
Rispetto ai tradizionali approcci a perimetro fisso come i firewall, il perimetro definito dal software offre una sicurezza migliore e più rafforzata. Poiché gli SDP limitano automaticamente l’accesso degli utenti autenticati a segmenti di rete definiti in modo più “severo”, il resto della rete è protetto nel caso in cui un’identità autorizzata venga compromessa da un utente malintenzionato. “Ciò offre anche protezione contro gli attacchi laterali, poiché anche se un utente malintenzionato ottenesse l’accesso, non sarebbe in grado di eseguire la scansione per individuare altri servizi”, afferma Skipper.
Il vantaggio principale di SDP è semplice: creare un livello più elevato di protezione della rete. “SDP è stato determinante nella protezione delle aziende da molti vettori di attacco diversi, tra cui denial-of-service, brute force, furto di credenziali, man-in-the-middle, sfruttamento del server e dirottamento delle sessioni”, afferma Henley. Altri vantaggi del SDP includono controlli di accesso rafforzati e semplificati, superfici di attacco ridotte, gestione semplificata delle policy e un’esperienza utente finale generalmente migliorata.
Inoltre, poiché un SDP può essere riconfigurato dinamicamente, è adatto a proteggere ambienti in rapida evoluzione come gli utenti aziendali che accedono alle applicazioni o gli ambienti applicativi con molti microservizi generati, ridimensionati o terminati in tempo reale.
Come funziona un SDP
Un SDP convalida gli utenti e le app autenticandoli prima di connetterli a porzioni granularmente limitate della rete. Questa microsegmentazione, creata rimappando gli spazi dns e degli indirizzi IP, fornisce agli utenti autorizzati l’accesso di cui hanno bisogno negando loro l’accesso a risorse che non richiedono. Questo crea essenzialmente reti individuali, ognuna con un numero limitato di nodi; se quindi degli utenti malintenzionati riescono a ottenere l’accesso, il danno che causano può essere limitato.
Centrale per l’architettura SDP è il controller, un software che facilita la connessione di utenti e dispositivi che cercano l’accesso (host di avvio) con le risorse che cercano come app e server (host di accetazione). Il controller autentica l’host di avvio e determina l’elenco degli host di accettazione con cui è consentito connettersi. Il controller indica quindi a tutti gli host di accettazione autorizzati di accettare comunicazioni dall’host di avvio. Questi ultimi possono quindi creare connessioni VPN dirette con gli host di accettazione.
Connettori e proxy, termini spesso usati in modo intercambiabile, possono trovarsi di fronte ai server per bloccare l’accesso ad essi. Collegano due domini di rete insieme ed eseguono funzioni di rete come il routing, la traduzione degli indirizzi di rete e il bilanciamento del carico per indirizzare il traffico da un utente o un’applicazione a un altro.
Zero Trust Network Access
A causa della sua rigorosa autenticazione e dell’accesso alla rete strettamente limitato, un SDP è una parte vitale dello Zero Trust Network Access (ZTNA), concetto che si basa sulla premessa che nessun dispositivo è mai veramente sicuro. “Non c’è più un perimetro sicuro a causa dei cambiamenti della forza lavoro, delle applicazioni basate su microservizi che possono disperdere i componenti praticamente ovunque e della natura sempre più collaborativa dei processi aziendali”, afferma Skipper. “Non esiste nemmeno un dispositivo sicuro: nessun smartphone e nessun PC è sicuro”.
Affrontare un modello come quello ZTNA richiede un accesso alla rete strettamente controllato e un’autorizzazione limitata e un perimetro definito dal software è un buon punto di partenza. “Un SDP aiuta gli utenti ad autenticarsi correttamente prima che venga fornito l’accesso e solo alle applicazioni a cui tali utenti hanno ottenuto l’accesso”, afferma Henley. Oggi oltre 20 fornitori offrono prodotti SDP, tra cui Akamai (Enterprise Application Access), Cisco (Duo Beyond), Ivanti (Ivanti Neurons for Secure Access), McAfee (MVISION Private Access), Netmotion (NetMotion SDP), Verizon (Verizon Software Defined Perimeter) e Versa (Versa Secure Access Client).
L’implementazione di un SDP inoltre non libera le aziende dalla responsabilità di mantenere le pratiche di sicurezza esistenti. “Indipendentemente dalle tecnologie di sicurezza implementate dalla vostra organizzazione o da come queste possono essere chiamate, sapere quali sono i vostri dati importanti e dove si trovano è la chiave per sapere come proteggerli”, afferma Jaworski. Bisogna infine ricordare che l’implementazione di un SDP non è un affare una tantum. “È importante che le organizzazioni monitorino e aggiornino attivamente il software SDP”, conclude Jaworski. “E dovrebbero essere condotti anche test per garantire che il software non consenta l’accesso alle risorse protette”.