TECHTARGET

Network security: come cambiano le regole nel cloud

Quando i cuochi in cucina diventano tanti, serve adattarsi: l’approccio mentale del data center non è più adatto per la sicurezza della rete se si passa al public cloud. E il firewall as a service (FWaaS) non risolve tutti i problemi. Ecco perché la prossima fase sarà quella della sicurezza di rete come servizio

Pubblicato il 09 Set 2021

Michele Ciceri - Fonte TechTarget

network security

Quando la sicurezza della rete aziendale passa dal data center al cloud pubblico, alcuni problemi scompaiono ma ne compaiono di nuovi. In questo articolo, utilizziamo i consigli degli esperti per capire come funziona la sicurezza prima (nel data center) e come funziona dopo (nel cloud pubblico).

Come funziona prima (nel data center)

Innanzitutto, per la sicurezza della rete nel data center, i responsabili IT e i CISO hanno potuto contare su alcune cose.

  1. La distribuzione delle app è sotto controllo, in particolare il controllo delle modifiche.
  2. L’infrastruttura di rete è statica.
  3. L’architettura di sicurezza della rete, l’accesso dell’amministratore strettamente controllato e il controllo delle modifiche assicurano che tutto il traffico venga incanalato attraverso punti di controllo della sicurezza della rete, in genere firewall, per l’applicazione delle policy di sicurezza. Ciò significa che i team di sicurezza possono concentrarsi sul firewall per avere la sicurezza della rete. Compreso questo, un firewall di nuova generazione è la risposta.

Come funziona dopo (nel public cloud)

La sicurezza della rete nel cloud pubblico è invece un po’ diversa.

  1. La distribuzione delle app è rapida, come del resto vuole l’azienda, e più caotica rispetto all’ambiente del data center legacy: le app si distribuiscono più velocemente; molte persone possono influenzare il cambiamento (gli sviluppatori, per esempio, possono aggiungere la propria infrastruttura); non ci sono limiti al tasso di cambiamento e pochi limiti ai tipi di cambiamenti: le app sono create utilizzando un gran numero di tecniche e architetture, quindi la rete è ancora più la lingua franca e il posto migliore/unico per fare sicurezza di quanto non fosse prima.
  2. L’infrastruttura di rete è quasi altrettanto dinamica. I cambiamenti di rete si verificano spesso, guidati da più parti: ci sono “molti cuochi in cucina”. Dal punto di vista aziendale, questa è spesso una buona cosa perché queste modifiche servono in genere a facilitare le distribuzioni di app.
  3. Da più di un anno, la spesa per il cloud ha ampiamente superato la spesa per i data center e, a differenza dei data center, c’è una nuova serie di problemi di sicurezza ancora da risolvere nel cloud. Gli attacchi vanno dove sono i soldi, quindi il grande fronte di sicurezza aperto per le aziende è il cloud.

Con un’infrastruttura di rete dinamica e molti cambiamenti repentini, è difficile avere un quadro chiaro della sicurezza guardando solo i punti di controllo (firewall). Questo problema non solo non è risolto, ma sta diventando più grande e comporta una cosa: per garantire la network security nel cloud pubblico serve essere più “adattabili”.

E allora cosa devono fare gli addetti alla sicurezza?

Il settore si è evoluto nelle soluzioni di network security e offre delle risposte, ma non esattamente a tutto e come si vorrebbe.

Per il data center, la sicurezza della rete equivale a un firewall box. Può essere fisico o virtuale. I requisiti dell’architettura di rete e della capacità di sicurezza della rete sono stabili e relativamente prevedibili. Ed esistono soluzioni mature.

Nel cloud, all’inizio, il primo pensiero era che il provisioning e la manutenzione delle virtual box fossero operazioni noiose, difficili da affrontare in modo dinamico e poco adatte al cloud e al modello basato sui servizi. E l’automazione? Sotto forma di script avvolti attorno a virtual box, era nella migliore delle ipotesi un ripiego. Così è nato il firewall as a service (FWaaS), eliminando la necessità di gestire singoli box e la necessità di tendere a soluzioni scalabili. Ma FWaaS non ha affrontato la nuova serie di esigenze di sicurezza di rete presentate dal cloud.

Quali? Nel cloud, innanzitutto, è importante disporre di una soluzione end-to-end oriented, ovvero una single session TLS come firewall tra funzioni, intrusion prevention system e firewall per applicazioni Web. Ma c’è un problema più grande: limitare la visibilità al traffico che passa attraverso il punto di controllo, quando l’app e il panorama della rete sono dinamici, crea un falso senso di sicurezza. In altre parole, se più parti stanno implementando ogni sorta di nuove app e creando nuovi percorsi in modo relativamente incontrollato, la visibilità limitata al firewall/punto di controllo non è sufficiente.

La prossima fase della network security

La sicurezza di rete deve espandersi da FWaaS a una visione globale, qualcosa come la sicurezza di rete come servizio. La sicurezza di rete come servizio deve vedere tutte le modifiche delle app e della rete e il loro impatto, identificare le lacune che tali modifiche aprono e distribuire i punti di controllo di conseguenza e automaticamente. Questa sarà la prossima fase della network security.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

Prossimo

GenAI, dalla sperimentazione alla scalabilità: al centro la gestione di costi e dati