Vai al contenuto

Negli ambienti IT distribuiti e dinamici di oggi, i modelli tradizionali di sicurezza della rete non sono più sufficienti. Il perimetro si è sciolto e le organizzazioni hanno bisogno di un nuovo approccio per garantire le loro applicazioni e dati. Questo è dove entra il Perimetro Software-Defined (SDP). Un SDP fornisce un approccio moderno e identitario alla sicurezza della rete, rafforzando i principi di Zero Trust per proteggere le vostre risorse critiche.

Questa guida vi guiderà attraverso il processo di attuazione di un SDP, dalla comprensione dei concetti fondamentali per la distribuzione e la gestione della soluzione. Copriremo l'architettura, i modelli di distribuzione e le migliori pratiche per aiutarti a proteggere con successo i beni della tua organizzazione.

Cos'è un Perimetro Definito da Software?

Un Perimetro Software-Defined (SDP), noto anche come "cloud nero", è un framework di sicurezza che controlla l'accesso alle risorse basate sull'identità. Crea un confine virtuale intorno ai beni di un'azienda, che siano on-premises o nel cloud. Un SDP crea dinamicamente connessioni di rete tra utenti e risorse che sono autorizzate ad accedere, rendendo tutto il resto invisibile. Questo approccio è costruito su tre principi fondamentali:

  • Identity-Centric. Il modello SDP è incentrato sull'identità dell'utente, non sul loro indirizzo IP. Le decisioni di accesso si basano su chi è l'utente, qual è il loro ruolo e il contesto della loro richiesta di accesso.
  • **Zero Trust: Gli SDP applicano un modello di sicurezza Zero Trust, il che significa che nessun utente o dispositivo è affidabile per impostazione predefinita. Ogni richiesta di accesso deve essere autenticata e autorizzata prima che venga stabilita una connessione.
  • Cloud-Centric: I SDP sono progettati per il mondo moderno e cloud-native. Sono altamente scalabili, distribuiti e possono essere implementati in ambienti ibridi e multi-cloud.

Perché la sicurezza della rete tradizionale sta fallendo

Per decenni, le organizzazioni si affidano a modelli di sicurezza di rete tradizionali basati su un perimetro ben definito. Questo approccio, spesso indicato come modello "castle-and-moat", utilizza firewall, VPN e altri controlli di sicurezza per proteggere la rete interna da minacce esterne. Tuttavia, questo modello non è più efficace nel mondo attuale di applicazioni distribuite, utenti mobili e cloud computing.

Ecco alcuni dei motivi chiave per cui la sicurezza della rete tradizionale sta fallendo:

  • The Dissolving Perimeter # Il perimetro non è più una linea di difesa chiara. Con l'adozione di servizi cloud, dispositivi mobili e lavoro remoto, il perimetro è diventato frammentato e difficile da proteggere.

  • Implicit Trust: Le reti tradizionali si basano su un modello di fiducia implicito. Una volta che un utente è sulla rete, sono spesso concesso ampio accesso alle risorse, che può portare al movimento laterale da parte di attaccanti.
  • ** Sicurezza basata su IP:** I controlli di sicurezza tradizionali sono spesso basati su indirizzi IP, che non sono più un indicatore affidabile di identità. Gli aggressori possono facilmente spoof indirizzi IP per ottenere l'accesso non autorizzato.
  • ** Complessità: ** La gestione delle infrastrutture di sicurezza tradizionali è complessa e richiede tempo. Le regole del firewall possono essere difficili da gestire e le VPN possono essere un collo di bottiglia per le prestazioni.

L'architettura SDP

Un'architettura SDP consiste in tre componenti principali che lavorano insieme per garantire l'accesso alle risorse. Questi componenti sono il controller SDP, il client SDP e il gateway SDP.

Component Description Key Functions
SDP Controller The Controller is the brain of the SDP. It is responsible for authenticating users and devices, evaluating policies, and issuing access tokens. - User and device authentication
- Policy enforcement
- Issuing access tokens
- Integrating with identity providers (IdPs) and other security tools
SDP Client The Client is a lightweight software agent that runs on each user's device (e.g., laptop, smartphone). It is responsible for establishing and maintaining the secure connection. - Single-Packet Authorization (SPA)
- Creating a secure, encrypted tunnel to the Gateway
- Enforcing device posture checks
SDP Gateway The Gateway acts as a secure access broker. It is deployed in front of the resources it protects and enforces the access policies defined in the Controller. - Cloaking protected resources
- Enforcing access policies in real-time
- Terminating the secure tunnel from the Client
- Logging all access attempts

Il seguente diagramma illustra l'interazione tra questi componenti:

Traduzione:

Come Realizzare un Perimetro Definito Software

L'implementazione di un SDP è un processo multi-step che richiede un'attenta pianificazione ed esecuzione. Ecco una panoramica di alto livello dei passi coinvolti:

  1. ** Definisci il tuo scopo e gli obiettivi: ** Prima di iniziare, è importante definire la portata della vostra implementazione SDP. Quali risorse vuoi proteggere? Quali sono i tuoi obiettivi di sicurezza? Rispondere a queste domande vi aiuterà a scegliere la soluzione SDP giusta e sviluppare un piano di implementazione di successo.

  2. Scegli un venditore SDP: Ci sono molti fornitori SDP tra cui scegliere, ciascuno con i propri punti di forza e punti deboli. Quando si valutano i fornitori, considerare fattori come modelli di distribuzione, capacità di integrazione e prezzi. È anche una buona idea leggere recensioni e studi di casi per vedere come altre organizzazioni hanno usato la soluzione.

  3. Integrare con il tuo fornitore di identità: Il controller SDP deve integrarsi con il provider di identità esistente (IdP), come Azure AD, Okta o Google Workspace. Questo vi permetterà di sfruttare le identità e i gruppi utente esistenti per definire le politiche di accesso.

  4. ** Definisci le tue politiche di accesso:** Le politiche di accesso sono il cuore della tua implementazione SDP. Definiscono chi può accedere a quali risorse, e in quali condizioni. Quando si definiscono le politiche, considerare fattori come ruoli utente, postura del dispositivo e posizione.

  5. Deploy the SDP Components: Una volta che hai definito le tue politiche, puoi iniziare a distribuire i componenti SDP. Il controller e i gateway possono essere implementati on-premises o nel cloud. Il cliente deve essere distribuito su ogni dispositivo dell'utente.

  6. Test and Validate: Prima di rilasciare il SDP agli utenti, è importante testare e convalidare l'implementazione. Questo ti aiuterà a identificare e risolvere qualsiasi problema prima che colpiscano i tuoi utenti.

  7. **A bordo dei tuoi utenti Una volta testato e convalidato l'implementazione, è possibile iniziare a salire a bordo degli utenti. Ciò può comportare la formazione e la documentazione per aiutarli a iniziare.

  8. Monitor and Maintain # Dopo aver implementato il SDP, è importante monitorare e mantenere la soluzione. Questo include il monitoraggio per gli eventi di sicurezza, l'aggiornamento del software e le modifiche alle politiche di accesso come necessario.

Conclusioni

L'implementazione di un Perimetro Software-Defined è un passo fondamentale nella modernizzazione della posizione di sicurezza della vostra organizzazione. Abbracciando un approccio identificativo-centrico, Zero Trust, puoi ridurre significativamente la superficie di attacco e proteggere le tue risorse critiche dall'accesso non autorizzato. Mentre il processo di implementazione richiede un'attenta pianificazione e esecuzione, i benefici di un SDP sono ben vale la pena di sforzo. Con un SDP correttamente implementato, è possibile ottenere un ambiente IT più sicuro, agile e conforme.

Referenze

  1. Cloud Security Alliance. (2019). SDP Architecture Guide v2. [https://cloudsecurityalliance.org/artifacts/sdp-architecture-guide-v2](https://cloudsecurityalliance.org/artifacts/sdp-architecture-guide-v2]
  2. Appgate. (2022). Guida definitiva al Perimetro Software-Definito. [https://clm.tech/wp-content/uploads/2022/09/appgate-sdp-def-guide.pdf](https://clm.tech/wp-content/uploads/2022/09/appgate-sdp-def-guide.pdf]