Sicurezza della SD-WAN
Il mese di agosto 2019 ha visto un aumento significativo nella scoperta di nuove minacce informatiche, secondo le statistiche di AV-TEST – L’istituto indipendente per la sicurezza informatica. Nel solo mese di agosto, l’istituto ha registrato 14,44 milioni di nuovi programmi dannosi, portando il numero totale di programmi malware registrati oltre i 938 milioni. L’ampiezza di questi numeri fornisce una prospettiva preoccupante e aiuta a quantificare le minacce che incombono sulle reti aziendali.
Poiché la WAN è il punto di ingresso e di uscita delle reti aziendali, la sua protezione è fondamentale per ridurre i rischi e migliorare la sicurezza. Tuttavia, i servizi cloud e gli utenti mobili rendono le reti molto più dinamiche e difficili da proteggere rispetto a un decennio fa.
Questi cambiamenti fondamentali nel modo di gestire il business richiedono un nuovo approccio alla sicurezza WAN. SD-WAN basata su appliance e MPLS (Multiprotocol Label Switching) non sono progettati per affrontare questi casi d’uso. Fortunatamente, la SD-WAN basata sul cloud offre alle aziende una soluzione WAN olistica in grado di affrontare le moderne sfide di sicurezza su scala con software cloud-native e Security as a service.
Ma cosa differenzia la sicurezza SD-WAN basata sul cloud e il modello di Security as a service? Scopriamolo.
Table of Contents
La sicurezza della WAN e le sfide per l’impresa
Un buon punto di partenza per spiegare perché la SD-WAN cloud-native è così interessante dal punto di vista della sicurezza è rappresentato dalle carenze di due vecchie soluzioni WAN: MPLS e SD-WAN basata su appliance.
MPLS è stato progettato per fornire connessioni dedicate, affidabili e ad alte prestazioni tra due endpoint prima che il cloud e la telefonia mobile conquistassero il mondo. Tuttavia, i circuiti MPLS non prevedono la crittografia e tutte le funzioni di sicurezza come l’ispezione del traffico, l’IPS (Intrusion Prevention System) e l’anti-malware devono essere integrate separatamente. Le SD-WAN basate su appliance offrono generalmente la crittografia, risolvendo uno dei problemi associati a MPLS, ma non risolvono altri problemi. Le appliance SD-WAN non sono appliance di sicurezza. Ad esempio, per ottenere le funzionalità di un firewall di nuova generazione (NGFW), occorre aggiungere una appliance discreta all’edge della rete.
Sia per MPLS che per la SD-WAN basata su appliance, l’approccio “aggiungere appliance per aggiungere sicurezza” presenta una serie di carenze, tra cui:
- Complesso e difficile da scalare.. Più appliance si aggiungono, più la rete diventa complessa. Ogni appliance aggiuntiva non solo richiede un maggiore investimento di tempo, ma introduce un numero di sviste potenzialmente maggiore che portano a costose violazioni. Una singola appliance mal configurata può creare un grave rischio per la sicurezza e la configurazione manuale favorisce sviste ed errori.
- Costoso. Ogni appliance discreta deve essere acquistata, concessa in licenza, fornita e mantenuta e i costi si accumulano rapidamente.
- Limitato per quanto riguarda cloud e mobile. Le architetture basate su appliance sono intrinsecamente incentrate sul sito. Non esiste un modo semplice per aggiungere il supporto alla maggior parte delle appliance cloud, sia dal punto di vista della sicurezza che della connettività.
Perché la sicurezza della SD-WAN con il software cloud-native e la Security as a service cambia le carte in tavola
L’infrastruttura di rete cloud-native che supporta Cato Cloud porta la sicurezza della SD-WAN a un livello superiore, integrando le funzioni di sicurezza nel tessuto WAN sottostante. Realizzata da zero pensando alle moderne reti aziendali, l’infrastruttura cloud-native di Cato elimina la necessità della maggior parte delle integrazioni hardware proprietarie inserendo funzioni di sicurezza, riduce la complessità fornendo un’unica interfaccia di gestione e riduce le competenze tecniche e l’investimento di tempo necessari per la gestione della WAN.
Inoltre, le ispezioni del traffico TLS avvengono presso i PoP (punti di presenza) sulla dorsale privata globale di Cato, contribuendo a proteggere il traffico da e verso il cloud in modo efficiente. Inoltre, con il Perimetro definito dal software di Cato, il supporto agli utenti mobili diventa semplice e scalabile.
In breve, spostando le funzioni di sicurezza nel cloud, Cato offre un modello di Security as a service che porta la scalabilità del cloud, le economie di scala e l’agilità alla sicurezza della SD-WAN.
Caratteristiche di sicurezza della SD-WAN basate sul cloud di livello aziendale
Ora che abbiamo compreso i vantaggi architettonici della sicurezza della SD-WAN basata sul cloud, esploriamo alcune delle caratteristiche specifiche che distinguono Cato Cloud.
- NGFW. L’NGFW di Cato ispeziona il traffico WAN e Internet e consente l’implementazione di criteri di sicurezza granulari basati su entità di rete, tempo e tipo di traffico. Il motore di Deep Packet Inspection dell’NGFW classifica le applicazioni o i servizi relativi a un determinato flusso di traffico senza decifrare i payload. Ciò consente all’NGFW di ottenere la piena consapevolezza delle applicazioni e di contestualizzare il traffico per un’applicazione più granulare dei criteri.
- Secure Web Gateway (SWG). Malware, phishing e attacchi simili che hanno origine su Internet rappresentano una minaccia reale per le WAN aziendali. SWG si concentra sul controllo dell’accesso al Web per impedire il download di software sospetti o dannosi. Esistono criteri predefiniti per una serie di categorie di siti web e le aziende possono inserire le proprie regole personalizzate per ottimizzare ulteriormente la sicurezza Web all’interno della WAN.
- Anti-malware. Per offrire funzionalità anti-malware di livello aziendale, Cato Cloud adotta un duplice approccio. In primo luogo, un motore basato sulle firme e sull’euristica, aggiornato con le informazioni più recenti provenienti dai database delle minacce globali, analizza il traffico alla ricerca di malware. In secondo luogo, Cato ha stretto una partnership con SentinalOne, leader del settore dell’infosecurity, per incorporare l’intelligenza artificiale e l’apprendimento automatico al fine di identificare le minacce informatiche sconosciute che potrebbero eludere i controlli basati sulle firme.
- IPS. Il sistema di prevenzione delle intrusioni di Cato offre una sicurezza della SD-WAN consapevole del contesto. I clienti beneficiano della scala della rete Cato sotto forma di un IPS più solido. I Cato Research Labs utilizzano i big data per ottimizzare le prestazioni degli IPS e ridurre i falsi positivi e i falsi negativi.
- Servizio di rilevamento e risposta alle minacce gestite (MDR). Con MDR, le aziende possono scaricare il rilevamento degli endpoint compromessi al centro operativo di sicurezza (SOC) di Cato. Con MDR, le aziende non solo riducono l’onere dell’assistenza per il personale interno, ma minimizzano anche uno dei fattori chiave dei danni creati dalle minacce informatiche: il tempo di permanenza (dwell time). Con MDR, il SOC di Cato lavora per identificare e contenere rapidamente le minacce e consigliare la riparazione. Il team SOC fornisce anche report mensili che aiutano a quantificare gli incidenti di sicurezza della rete (ecco un esempio di rapporto generalizzato come riferimento (PDF)).
Cato offre una sicurezza della SD-WAN moderna e scalabile
Come visto in precedenza, le complessità e i costi legati all’approvvigionamento, al provisioning, all’applicazione di patch e alla manutenzione di una flotta di appliance sono eliminati con Security as a service. La SD-WAN basata sul cloud offre una serie di vantaggi intrinseci che la SD-WAN basata su appliance e MPLS non possono offrire. Questo perché il software cloud-native e il modello di Security as a service consentono a Cato di adottare un approccio convergente alla gestione delle reti e alla sicurezza. Di conseguenza, gli utenti ne traggono vantaggio dal punto di vista della sicurezza delle informazioni, delle operazioni e del business.
Questo punto è stato sottolineato da Jeroen Keet, cliente Cato, Senior Network and System Architect di Kyocera Senco: “Le aziende che passano al cloud dovrebbero dare un’occhiata più da vicino a Cato. La connettività, la sicurezza e l’intelligenza integrate fanno un passo avanti verso l’evoluzione per tutte le attività. Se si è disposti a utilizzare tutte le funzionalità che Cato Networks ha da offrire, si otterranno notevoli vantaggi finanziari, funzionali e di gestione IT”.
Per saperne di più su come Cato sta rivoluzionando la sicurezza SD-WAN o se avete bisogno di aiuto per scegliere una soluzione di connettività WAN che soddisfi le vostre esigenze, contattateci. Se non siete ancora convinti e volete vedere Cato Cloud in azione, prenotate una demo .