Visibility: Vogliamo vedere cosa sta succedendo nella nostra rete
Control: vogliamo avere il controllo su chi è abilitato a fare cosa, e ovviamente vuoimo prevenire le minacce
Se diamo uno sguardo a internet di 10/20 anni fä c’erano in realtä solo due applicazioni e-mail e browersing internet, c’erano delle pagine web statiche e e-mail e per il firewall era semplice gestire le varie situazioni.
Assumiamo di fatto che PORTA = Applicazione cioè porta 25 = e-mail cioè il servizio SMTP
Porta 80 o 443 = web browsing (chrome, IE, ecc ecc)
Dopo la nuvolina:
Quindi il firewall oggi non guarda piu’ effettivamente alle porte 80 o 443 anzi Il firewall oggi sembra piu una cosa cosi’, queste porte sono abilitate a far passare il traffico e con questo firewall la visibilita’ e’ completamente persa. Perche’ non puo’ piu’ distinguere la differenza tra le applicazioni.perche’ tutte le applicazioni usano le stesse porte.
Una delle prime caratteristiche del firewall paloalto si chiama APP-ID (Identify Application) questo vuol dire che possiamo vedere quale applilcazione e’ in uso.
In altre parole dal punto di vista del firewall paloalto applicazione vuol dire tutte le comunicazioni.
Quindi tutte le comunicazioni che transitano nella rete vengono considerate come applicazioni.
Se ad esempio guardimo facebook, possiamo vedere che non e’ solo Facebook, ma anche mail,chat,app, post, quindi dal punto di vista della visibilita’ possiamo vedere cosa stanno facendo gli utenti e dal punto di vista del controllo, possiamo ad esempio bloccare l’accesso al social media, ma comunque garantire l’accesso a facebook chat al dipartimento del marketing. Ad esempio per socita’ corporate ad esempio sharepoint possiamo vedere esattamente le stesse cose
Quindi possiamo segregare le applicazioni. Non e’ solo relativo a web application ma possiamo trovare anche servizi come Microsoft SQL bittorent etc. Paloalto non puo’ identificare tutti e tutto appena preso dalla scatola ma possiamo definire applicazioni personalizzate cosi che possiamo identificare il 100% delle applicazioni.
Adesso parliamo del controllo, e ovviamente quando definiamo il controllo noi lo facciamo con le policy ed e’ la stessa cosa con il paloalto next-generation firewall
Ma il problema e’ che con le policy molte volte il dipartimento IT e’ in uan posizione difficile, prendiamo ad esempio Gmail, solitamente usata per scopi privati quindi possiamo bloccarne l’accesso, in altri casi potremmo avere il nostro direttore che dice: no, dovete darmi l’accesso a GMAIL ! Oppure ci sono dei dipendenti che lavorano molte ore e quindi vogliamo dare loro la possibilita’ di controllare la propria email durante la sera, la domanda e’: vuoi dare l’accesso alla internet (che come sappiamo e’ considerato insicuro ?) oppure blocchiamo l’accesso perche’ e-mail ovviamente e’ uno dei grandi vettori per inviare virus, quindi se abilitiamo l’accesso a gmail noi effettivamente stiamo aggirando le policy di sicurezza della nostra rete corporate implementata per la sicurezza delle email, perche’ Gmail usa SSL quindi I dati sono criptati ed entrano nella nostra rete e quindi I malware possono entrare, quindi la migliore cosa e’ bloccarne l’accesso. Si e’ vero rendiamo la nostra rete piu sicura ma in questo modo creiamo anche degli utenti scontanti, quidni cosa fare ? Non importa cosa fai e’ sempre colpa dell’ IT J perche’ se dici SI ok non ci sono problemi sai che prima o poi avrai un malware nella tua rete e prova un po a dire cosa ? E’ colpa dell’ IT dall’altra parte non puoi sempre dire no non possiamo farlo per ragioni di sicurezza e ad un certo punto ti chiederanno perche’ abbiamo bisogno di un’ IT ?
Con paloalto next-generation possiamo abilitare qualcosa o applicare qualcosa che viene chiamato application enablement perche’ ;invece di abilitare o bloccare tutto possiamo abilitare applicazioni specifiche a mitigare I rischi delle applicazioni ad esempio possiamo abiliatre Gmail e fare delle scansioni per le minacce, In questo particolare caso Gmail possiamo ovviamente anche decriptare il traffico SSL quindi vedere dentro ai pacchetti SSL e quindi scansionare il traffico per qualsiasi tipo di minaccia, di fatto abilitiamo l’applicazione ma mitighiamo I rischi associati all’applicazione, cosi non dobbiamo sempre dire NO per ragioni di sicurezza. Ci sono tante altre cose che possiamo fare possiamo impostare il QoS e dare la priorita ai servizi voce o cose del genere. Ma noi utiliaziamo next-generation firewall e possiamo applicare il QoS anche ad applicazioni come Office365 e diminure la banda di rete, ad esempio ad applicazioni come youtube, quindi non devi bloccare youtube perche’ consuma troppa banda possiamo applicare il QoS. Abbiamo anche altre funzionalita’ come ho detto prima per abilitare specifiche applicazioni, specifiche funzioni per specifici utenti e abbiamo anche funzionalita’ per I dati confidenziali, la parola chiave e’ DLP (dat loss prevention) adesso, non e’ una soluzione del tutto sviluppata ma fornisce delle funzionalita’ di base che effettivamente controllano il traffico per specifici percorsi che possiamo definire con dei certificati. Possiamo anche dare accesso ad applicazioni ad esempio facebook a specifici orari ad esempio l’ora di pranzo, quindi come puoi vedere abbiamo un controllo granulare, un concetto molto importante, non esiste visibilita’ senza controllo. Quindi noi abbiamo la visibilita’ con APP-ID e user-ID.
About Author
