Come si protegge il cuore di un data center cloud

La società garantisce la sicurezza e la disponibilità di applicazioni business-critical per il gruppo Ferrovie dello Stato e altri clienti di medie e grandi dimensioni. Tra i punti di forza più apprezzati la gestione centralizzata e la disponibilità di servizi gestiti sulla “nube”.

Pubblicato il 17 Feb 2014

6194 AlmavivA 150
Biglietteria elettronica self service, composizione dei treni, gestione dei turni del personale viaggiante, cedolini paga sul web. Sono solo alcuni esempi dei servizi business-critical che il Gruppo AlmavivA fornisce al Gruppo Ferrovie dello Stato Italiane. A garantire che questi e molti altri servizi – forniti sia a Fs sia ad altri clienti pubblici e privati solitamente di medie e grandi dimensioni – non vengano compromessi e mandati fuori uso da attacchi informatici di diversa natura, sono avanzati sistemi e servizi di security – sia on-premise sia cloud – forniti ad AlmavivA da Check Point.

AlmavivA è oggi uno dei più importanti fornitori italiani di servizi Ict basati sul paradigma del cloud computing. Accanto a questi offre anche outsourcing di servizi Crm e soluzioni per l’analisi dei big data nonché advanced analytics per la gestione e la valorizzazione delle informazioni. Nel corso degli ultimi anni, grazie alle evoluzioni e alla diffusione delle tecnologie di virtualizzazione, l’infrastruttura del Gruppo (che conta 35 sedi, 27mila dipendenti ed è presente anche in Brasile, Tunisia e Cina) è cambiata in modo radicale. Dai 120 server fisici del 2000 si è passati a oltre 4.200 host nel 2013 – in massima parte virtuali – sui quali girano oltre 420 applicazioni, utilizzate da un numero di utenti variabile, ma comunque superiori ai 50.000. Dal 2010, l’infrastruttura di AlmavivA è evoluta nel modello HyperCed e si caratterizza per la capacità di adattarsi in modo dinamico alle esigenze mutevoli dei clienti a fronte di costi di servizio flessibili e basati su componenti a prezzo definito.

Dai cancelli ai firewall virtuali

“Nel corso degli anni – spiega Marco Barbalinardo, Network Manager di AlmavivA – l’ambiente di sicurezza It si è evoluto sia per fare fronte all’aumento delle macchine installate nelle server farm [AlmavivA ha due data center a Roma, connessi in modalità business continuity, e un terzo sito con funzioni di disaster recovery, ndr] sia per affrontare nuove tipologie di attacchi informatici”. Data l’estensione e l’eterogeneità della rete che interconnette le infrastrutture dei clienti con quella di AlmavivA, sono presenti a livello perimetrale anche sistemi di security di altri vendor, ma sono targati Check Point quelli situati al “core” dei data center.

Marco Barbalinardo, Network Manager di AlmavivA

In particolare, per la protezione della parte d’infrastruttura riservata all’area produzione del Gruppo Ferrovie dello Stato è stato installato un cluster a due nodi di appliance Check Point 21400. Un cluster a tre nodi di appliance Check Point 9070 (dispositivi ad alte prestazioni e funzionalità ad ampio spettro di sicurezza grazie all’abbinamento di firewall, Ipsec Vpn e intrusion prevention con avanzate tecnologie di accelerazione e ottimizzazione della rete) presidia invece la parte d’infrastruttura che serve le altre realtà. Sono presenti anche ulteriori sistemi Vsx-1 e la soluzione di gestione centralizzata Check Point Provider-1, che virtualizza fino a 250 console di gestione singole e indipendenti in un unico server, con funzionalità di segregazione e delega dei diritti di amministrazione. “Così come nel corso degli anni si è passati a una virtualizzazione sempre più spinta dei server, con la progressiva eliminazione dei server fisici dedicati alle singole applicazioni e contrassegnati da etichette – fa notare Barbalinardo –, così anche le tecnologie di security si sono progressivamente virtualizzate”.

Analizzando la strategia e i sistemi di security adottati in AlmavivA si può avere un esempio di come si è evoluta la sicurezza in ambienti mission-critical nel corso degli ultimi decenni. “Fino alla fine degli anni Ottanta – racconta il Network Manager del gruppo – per proteggere i data center era sufficiente la sicurezza fisica, in altre parole il controllo degli accessi tramite cancelli e guardiani. Poi, verso la fine degli anni Novanta, le minacce hanno iniziato ad arrivare per via informatica e si è iniziato a segmentare i data center in ‘zone demilitarizzate’ (Dmz) o Virtual Lan (Vlan), concentrando le applicazioni più critiche in certe zone della rete e quelle meno delicate in altre”. Il controllo dei confini tra queste zone avveniva attraverso switch e firewall fisici. “Con gli anni Duemila, quando i data center hanno iniziato a fare girare soprattutto Virtual machine, si è iniziato a virtualizzare anche i firewall, al punto che oggi possiamo avere un unico apparato di sicurezza fisico che può agire come più apparati virtuali dedicati a singoli clienti e classi di applicazioni”, continua Barbalinardo.

La security al passo coi tempi

Nel frattempo gli attacchi alla sicurezza si sono diversificati sia come bersagli sia come modalità di conduzione. “Oggi – sottolinea il Network Manager di AlmavivA – un attacco può essere una falsa notizia capace di fare crollare il titolo di un’azienda in Borsa anche per un solo giorno. Per questo motivo è necessario proteggere i dati a trecentosessanta gradi, non solo quelli che si riferiscono alle carte di credito. Occorre essere in grado di scoprire quali dati confidenziali possono finire sui social network e impedirlo. A livello di sicurezza infrastrutturale, per esempio, possiamo configurare i firewall per bloccare traffici peer-to-peer che possono permettere ad alcuni malware, come i Bot, di sfruttare vulnerabilità delle applicazioni presenti sui client, accedere e fare fuoriuscire dati critici. Si può impedire l’uso di anonymizer [anonymus proxy, server utilizzati come ‘ponte’ per il lancio di attacchi sulla rete ndr]. In generale, nel controllo della navigazione su Internet, si deve adottare un approccio di identity awareness, che permette di definire policy diversificate in base a utenti, gruppi e singole macchine”.

Un ambito dell’offerta di Check Point che AlmavivA ha iniziato ad apprezzare e su cui conta di investire maggiormente in futuro, per sé e i propri clienti, è la cloud security. “La diversificazione delle minacce – spiega il Network Manager di AlmavivA – fa sì che le migliori tecnologie per proteggersi abbiano costi sempre più elevati. I fornitori di cloud security possono offrire soluzioni potenti i cui costi vengono ripartiti fra più clienti”. AlmavivA, in quanto Cloud Security Provider, cita i Check Point ThreatCloud Managed Services. Il servizio ThreatCloud Emulation Service, per esempio, analizza gli allegati dei messaggi di posta prima che arrivino agli utenti. Poiché integra le informazioni raccolte da una rete globale di dispositivi, questa soluzione è ideale anche per prevenire attacchi cosiddetti zero-day. “Check Point – conclude Barbalinardo – è una fonte autorevole di informazioni e ed è anche grazie alle sue soluzioni che AlmavivA mantiene, con efficacia, il controllo della sua infrastruttura, chiave per il Sistema Paese”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4