Meno esposizione al rischio e più agilità operativa. Come adeguare l’infrastruttura IT per rispondere alle esigenze di sicurezza, protezione e scalabilità tra lavoro ibrido, pervasive cloud e nuovi modelli di protezione degli accessi alla rete aziendale
«Li chiamavamo i router con il vestito della festa» – scherza Paolo Da Ros, membro del Direttivo di CLUSIT. Capaci di segregare le reti e di filtrare i pacchetti che le attraversavano. «Rispetto all’ACL dei router, i firewall avevano un’interfaccia grafica più accattivante. Roba arcaica dal mio punto di vista già alla fine degli anni 90. Il successo commerciale però c’è stato: una soluzione semplice per un problema che finché è rimasto tale rendeva le due cose reciprocamente legate». Rispetto ad allora però, i problemi che i firewall dovrebbero risolvere sono altri, più complessi. La forzata e rapida espansione del numero di lavoratori da remoto durante l’emergenza sanitaria ha costretto molte aziende a investire in soluzioni che rispondessero a una domanda di sicurezza diversa.
«Con lo smart working non esiste più il concetto di reti di arrivo o di partenza. Qual è la rete di partenza? Quella di quando lavoro da casa o dall’automobile o quelle a cui mi appoggio quando lavoro in qualunque altro punto del mondo?» – incalza Da Ros. Per separare i buoni dai cattivi – come si diceva una volta – bisogna considerare altri criteri. «Possibilmente a un livello di astrazione più elevato». In presenza di reti aziendali basate sul cloud, non è possibile applicare le tradizionali strategie di sicurezza per le quali il perimetro di rete incarnava il primo livello di protezione, quello da proteggere da qualsiasi accesso non autorizzato. Condizione a lungo ritenuta sufficiente per garantire un buon livello di sicurezza. I servizi cloud hanno dilatato il perimetro, cancellandone di fatto i confini. Oggi, lo scenario è differente. In molte realtà, la maggior parte delle risorse – dati e applicazioni e utenti – si trovano al di fuori del network aziendale. Endpoint e server non sono più localizzabili solo all’interno di una rete aziendale o del data center. Il controllo e la gestione degli accessi sono un compito più sfidante e impegnativo. «Con il cloud native computing, l’applicazione monolitica e localizzata ha lasciato il posto ad applicazioni disassemblate in decine o centinaia di microservizi che potrebbero girare su Google, AWS, ovunque» – spiega Da Ros. Le piattaforme di virtualizzazione consentono questa flessibilità. Uno dei loro punti di forza. Il rovescio della medaglia è l’impossibilità di stabilire a priori dove si trovi uno dei tanti microservizi che compone la mia applicazione.
Questo scenario ha reso anacronistico utilizzare origine e destinazione delle comunicazioni quali elementi utili per valutarne la potenziale pericolosità. «L’adozione sempre più rapida di servizi in cloud ha costretto le aziende a rivedere le proprie architetture di sicurezza e ha ampliato la componente NetOps in modo da includere firewall nativi all’interno dei servizi gestiti» – osserva Fabio Panada, technical security architect di Cisco Italia. L’unica garanzia è data dalla gestione efficace degli accessi ai servizi. L’uso di un Cloud Access Security Broker (CASB) permette di regolare le modalità e di monitorare tutte le attività all’interno dell’ecosistema allargato al cloud. Anche per il firewall, in questo nuovo contesto, ruolo e funzionalità diventano più liquidi. «L’archiviazione dei dati in cloud rende necessario optare per firewall che tutelino sia il dato stesso sia gli utenti che li stanno utilizzando» – afferma Daniel Cole, VP product management di Sophos. «Le aziende devono poter contare su soluzioni di sicurezza in grado di garantire standard elevati per quanto concerne la visibilità della rete, la protezione e la risposta alle minacce, al fine di garantire la sicurezza del cloud pubblico e degli ambienti ibridi. Un altro fattore chiave per le aziende è automatizzare il rilevamento e la risposta alle vulnerabilità che minacciano il public cloud, al fine di porre rimedio a eventuali errori di configurazione e ridurre così l’esposizione al rischio». Caratteristiche che appaiono subito impegnative da ricreare all’interno di un data center aziendale e che spingono a rivolgersi ai servizi forniti da provider specializzati, con piattaforme in grado di mettere a fattor comune le rare competenze disponibili – come spiega Da Ros di CLUSIT. «La strada di rendersi autonomi non credo sia percorribile, soprattutto in Italia» – considerato il livello di propensione agli investimenti e il peso di un endemico skill shortage. La carenza di competenze, malgrado una digitalizzazione sempre più diffusa, rappresenta un limite allo sviluppo e mette in luce diverse criticità a livello di formazione e di occupazione, ben lontane dall’essere risolte. Ragioni sufficienti per soffocare sul nascere qualsiasi velleità autarchica.
FIREWALL IN EVOLUZIONE
I firewall diventeranno una funzione interna a un’applicazione, un workload o un container? Il problema di connettere le sedi remote dell’azienda alle risorse erogate a livello centrale precede il boom dello smart working. Utenti e macchine erano serviti – e in buona parte lo sono ancora oggi – da un coacervo di frustranti soluzioni VPN e in qualche caso da strumenti CASB che regolano le modalità di accesso ai servizi e monitorano le attività all’interno dell’ecosistema allargato al cloud. «Aziende e organizzazioni si rendono conto delle sfide che presenta questo approccio legacy» – ci dice Daniela Rao, senior research and consulting director di IDC Italia. «Ed è per questo che sono più attente ad assegnare priorità ai software client solo per le funzioni essenziali. Probabilmente, questo cambio di rotta porta dritto alla convergenza, poiché un minor numero di agenti endpoint che occupano memoria e richiedono aggiornamenti è generalmente considerato più efficiente. Ancora più importante è l’architettura Secure Access Service Edge (SASE), perché supporta i lavoratori remoti senza che si renda necessario il backhauling del traffico dalla tratta che collega le centrali alle dorsali verso un punto di controllo centralizzato». Il ruolo dei firewall in questa transizione è in rapida evoluzione. Secondo i dati IDC, in Italia il mercato enterprise (hardware e software) nel 2021 ha raggiunto il valore di 60 milioni di euro. «Secondo le nostre previsioni – anticipa Daniela Rao – potrebbe crescere sino a superare i 70 milioni di euro nel 2025, con un incremento medio annuo intorno al 6%, allineato alle crescite del mercato europeo».
Ma già oggi il mercato dei firewall software vale circa il doppio di quello dei firewall hardware che tenderà a rappresentare una quota inferiore a un terzo del valore totale entro il 2025. Le aziende hanno investito parecchio in queste tecnologie e non possono certo permettersi di dismettere in fretta i loro investimenti. Tuttavia, la necessità di adeguare la propria infrastruttura IT sta cambiando le esigenze del mercato nel campo della network security. Per esempio, cresce la domanda di integrazione di soluzioni Firewall as a Service (FWaaS) tanto che alcuni esperti prevedono che già a partire dai prossimi mesi – in ragione della maggiore adozione del modello Zero Trust Network Access (ZTNA) – la spesa per nuovi firewall diventerà una componente inclusa nell’acquisto di una qualche piattaforma più ampia di security. Lungo questo solco, qualcuno si spinge a sostenere che i firewall siano destinati a trasformarsi da appliance virtuali e fisiche progettate per raggiungere certi obiettivi in una funzione all’interno di un’applicazione, un carico di lavoro o un container. Previsione che non convince del tutto. Secondo l’esperto di CLUSIT, una sicurezza delegata allo strato applicativo – «genererebbe decine di sistemi di sicurezza disomogenei, con criteri non riconducibili a uno standard, e di conseguenza alla loro sostanziale non gestibilità. Una esperienza già fatta in passato e sostanzialmente fallita. Con meccanismi di sicurezza eterogenei e anormalizzati che si traducono in gap, ovvero porte spalancate per i malintenzionati».
Nel nuovo contesto – come spiega Da Ros – la gestione efficace degli accessi ai servizi passa attraverso lo spostamento dei meccanismi di sicurezza all’esterno, grazie a un sistema di Identity and Access Management (IAM) che pilota tutti gli applicativi e al quale tutti gli applicativi fanno riferimento. Normalizzando – rendendo cioè confrontabili e omogenee anche dal punto di vista semantico una serie di informazioni – l’ambiente in cui il sistema opera. «In questo modo – continua Da Ros – posso ottenere maggiore sicurezza, maggiore economicità nella gestione e posso delegare a qualcun altro il compito di occuparsi di una serie di aspetti di sicurezza che nel tempo potrebbero cambiare». L’esigenza è quella di raggiungere scalabilità e tempi di reazione rapidi in caso di cambiamenti architetturali, difficili da distribuire su un numero elevato di applicazioni simultaneamente. Parliamo di sistemi in grado di presidiare tutto il processo di gestione utenze e autenticazione sugli applicativi. E di strumenti CASB, progettati per regolare le modalità di accesso ai servizi e monitorare tutte le attività interne all’ecosistema allargato al cloud. Anche se non necessariamente in cloud, perché potrebbero essere anche on premise – come spiega Da Ros. «L’importante – rileva l’esperto di CLUSIT – è che siano in grado di gestire ambienti cloud eterogenei in maniera semplice. Non posso pensare di avere un sensore atomico. Semplicemente perché non ci sono abbastanza scienziati atomici in circolazione».
SEGMENTAZIONE E CONTROLLO
L’indirizzamento IP per segmentare o microsegmentare oggi non ha più senso. Affinché queste soluzioni possano attecchire in maniera efficace è importante che trovino un terreno nel quale le architetture siano state ripensate tenendo presente criteri come semplicità, omogeneità, normalizzazione e sicurezza. «Quando si parla di firewall si parla del bastion host, del gateway che separa una rete dall’altra» – spiega Da Ros. «Il concetto di microsegmentazione è quello in cui io proteggo una funzionalità endpoint o server da altre funzionalità endpoint o server. Non una rete da un’altra rete. Con la segmentazione separo una rete da un’altra, stabilendo che chi si trova su questa rete non può andare su quell’altra. Ma la rete di partenza può contenere 50, 100 macchine tutte accomunate dall’avere un indirizzamento 192.68.1 punto qualcosa. Questo va bene se io sono all’interno di una rete aziendale. Ma se, per esempio, l’attività di contabilità viene erogata da uno o più smart worker, quello stesso indirizzo non è nemmeno un indirizzo pubblico ammesso. Perciò dovrò avere un indirizzamento diverso: omogeneo per tutti coloro che lavorano in quella funzione. Di conseguenza, il meccanismo per segmentare o microsegmentare non potrà più essere quello dell’indirizzamento IP. Non avrebbe più senso». Il controllo degli accessi deve perciò spostarsi altrove. Vale a dire sul ruolo (Role-Based Access Control) che quel dispositivo o quell’utenza ricoprono in un certo ambiente. Per esempio, con la regola che “tutti quelli della contabilità” – a prescindere da quale sia il punto di partenza della loro connessione alle applicazioni – hanno il diritto di accedere ai “sistemi della contabilità”.
In questo modo – sintetizza Da Ros – «il perimetro, sparito come entità fisica, viene definito a livello di software che stabilisce chi lavora nella contabilità e chi da un’altra parte. Inoltre, attraverso un insieme di regole, mi consente di microsegmentare, stabilendo in pratica che tutti quelli della contabilità abbiano accesso alle risorse dei sistemi contabili. Questo è l’obiettivo». Alcuni esperti sostengono che per segmentare in maniera corretta una rete sia necessario ricorrere a un numero elevato di firewall. Un modello complesso da distribuire e gestire, poco efficiente, raramente economico, e di ostacolo all’agilità aziendale. «Segmentazione e microsegmentazione sono estremamente complessi da gestire se vengono condotti con strumenti nati per fare altro» – osserva Da Ros. «È vero che si può segmentare una rete utilizzando le ACL di un router; ed è vero che i firewall che lavorano a livello 3 (IP) e 4 (TCP) fanno le stesse cose del router ma con una interfaccia più amichevole. Tuttavia, in presenza dell’esplosione combinatoria di porte da aprire e chiudere, legata al cloud native computing, occorre adottare altri criteri. Non solo per stabilire chi siano i bravi e i cattivi ragazzi, ma anche per stabilire quali siano i limiti a cui sottostare. Ingestibili con le tecnologia firewall di cui oggi disponiamo». Secondo Antonio Madoglio, director systems engineering – Italy & Malta di Fortinet invece non serve necessariamente un numero elevato di firewall per segmentare una rete. «Perché può essere realizzata anche in modo virtuale, integrando LAN cablata e Wi-Fi con sistemi NAC; il tutto mantenendo comunque un controllo molto granulare e senza esagerare nel distribuire un numero elevato di firewall». Di certo – come rileva Alessio Stellati, regional director Italy Zscaler – «chi si affida all’hardware per la segmentazione della rete non ha ancora adottato i principi di sicurezza dell’approccio Zero Trust». Non solo. Dal firewall stand-alone al firewall come funzione, l’evoluzione probabilmente ci sarà – riprende Madoglio di Fortinet – e vedremo i firewall distribuiti sulle varie applicazioni. «Tuttavia, molti dei sistemi rimarranno legacy on-premises. Ci saranno sempre dei sistemi fisici da proteggere, motivo per cui i firewall stand-alone rimarranno in auge ancora per molto tempo e vedremo soluzioni ibride in cui essi conviveranno con l’approccio a container».
IL FUTURO DEL FIREWALL
Firewall e Zero Trust sono incompatibili? Se organizzazioni e aziende abbandoneranno progressivamente il modello di sicurezza orientato al perimetro per abbracciare il framework Zero Trust definito dal software – quale sarà il futuro dei firewall? Da almeno un decennio, l’eco della sua imminente scomparsa si riverbera lungo le strade impervie della cybersecurity. Oggi, con l’espansione del modello Zero Trust – un’architettura che applica policy di accesso basate su un contesto specifico per bloccare qualsiasi accesso non appropriato e il movimento laterale nell’ambiente dei dati – queste voci si sono fatte ancora più insistenti. I più ottimisti affermano che il firewall continuerà a dominare la scena evolvendosi anche all’interno delle reti Zero Trust. Per altri invece, i margini di manovra concessi al firewall in questo nuovo contesto sono così limitati da comprometterne pesantemente lo sviluppo. Uno dei pilastri dell’approccio Zero Trust prevede che tutto il traffico, compreso quello già all’interno del perimetro, sia trattato come potenzialmente ostile. «Per esempio, a meno che i carichi di lavoro non siano stati identificati da un insieme di parametri, l’impronta digitale del carico di lavoro o l’identità vengono considerati non attendibili e non possono comunicare» – spiega Stellati di Zscaler.
«Le policy basate sull’identità si traducono in una sicurezza più efficace che viaggia con il carico di lavoro in qualsiasi ambiente: in un cloud pubblico, un ambiente ibrido, un container o un’architettura di rete locale. Poiché la protezione è indipendente dall’ambiente, le applicazioni e i servizi sono protetti grazie a un approccio Zero Trust anche se comunicano attraverso ambienti di rete, senza richiedere modifiche architettoniche o aggiornamenti delle policy. Zero Trust insomma connette in modo sicuro utenti, dispositivi e applicazioni utilizzando policy aziendali su qualsiasi rete». L’accesso alle applicazioni è consentito tramite un trust broker che verifica l’identità, il contesto e l’aderenza alle policy stabilite, supponendo che le minacce esistano sia all’interno che all’esterno di una rete. «Niente o nessuno è considerato attendibile in modo implicito» – sintetizza Salvatore Marcis, technical director Italy di Trend Micro. «Le autorizzazioni vengono concesse a ogni account utente, dispositivo, applicazione o servizio solo una volta effettuata la validazione, al fine di impedire il movimento laterale di potenziali aggressori. “Trust” che deve essere continuamente rivalutata, altrimenti la fiducia potrebbe non essere più valida. Visibilità, postura e rischi sono fondamentali per stabilire il trust e devono essere continuamente monitorati, sia durante la richiesta di connessione iniziale sia nel caso in cui il livello di rischio cambi per ridurre al minimo la superficie di attacco». All’interno di questi paletti, il firewall diventa così un punto di applicazione delle policy in base alla quale filtrare il traffico. Il che si traduce in più firewall su più network invece di un dispositivo solo sul perimetro.
In altre parole in un ambiente Zero Trust, i firewall filtrano a più livelli: un primo setaccio a grana grossa per ridurre notevolmente la quantità di traffico, proseguendo con il livello successivo di instradamento e gestione. E poi via via filtri sempre più granulari. Un po’ come avviene con la distribuzione dell’acqua potabile. Che non viene pescata dagli impianti domestici direttamente dal serbatoio principale fuori città. Ma ci arriva passando attraverso una serie di filtri che dall’impianto idrico principale sono distribuiti lungo la rete distributiva. Così dopo il primo filtro nell’impianto di depurazione, l’acqua passa attraverso un secondo filtro che la ripulisce prima che entri in uno stabile per poi essere filtrata una terza volta prima di uscire dal rubinetto o dal frigorifero. Interpretazione questa che però non mette tutti d’accordo. «Pur essendo il firewall uno strumento che negli anni ha inglobato nuove funzionalità, per sua natura rimane un elemento fisso che riduce flessibilità e agilità dell’infrastruttura» – afferma Marcis di Trend Micro.
«Inoltre non è in grado di garantire una idonea protezione su tutte le applicazioni aziendali proprio per via della loro flessibilità e locazione. Le applicazioni sono sempre più veloci nell’evolversi e un firewall fatica a seguire questa evoluzione con la stessa dinamicità». «l firewall come tecnologia, così come lo conosciamo – il bastion host tra una rete aziendale da proteggere e una rete Internet da cui arrivano le minacce – è un concetto che non c’è più» – rincara la dose Da Ros. «Questa è la linea di tendenza. Poi serviranno anni per arrivare a un’architettura – ammesso che ci si arrivi – “pulita” in un modo o in un altro. La tendenza però è questa». D’altra parte, la fine del perimetro aziendale non avverrà così rapidamente. «Il firewall continuerà ad abilitare importanti funzioni di sicurezza aziendali, come la visibilità, la protezione a livello applicativo, la threat Intelligence e molto altro» – afferma Fabio Panada di Cisco Italia. «Il firewall del futuro potrebbe cambiare e diventare qualcosa di diverso, ma sarà ancora lì, anche se nascosto dietro alcuni livelli di astrazione delle policy o gestito interamente attraverso nuovi strumenti».
Una radicale differenza di vedute che – secondo alcuni osservatori – potrebbe ridursi tuttavia a una mera questione semantica. In un ambiente Zero Trust, il firewall è sparito o semplicemente le funzioni del firewall sono ridistribuite in maniera più capillare? E i sostenitori della scomparsa del firewall dalla rete, in che misura si affidano completamente agli endpoint per filtrare ogni pacchetto? La discussione rimane aperta. Se come è probabile utilizzeremo ancora a lungo il termine firewall, la nostra comprensione del suo utilizzo e del contesto continuerà invece a cambiare.