I pilastri di un’architettura Byod

Li illustra in sequenza Ivan Straniero di Arbor Networks: wireless, policy, sicurezza, gestione, visibilità applicativa e di rete.

I dispositivi personali che vengono utilizzati dal possessore per accedere ad alcune risorse aziendali devono essere resi sicuri e controllati, anche se l’It non ne detiene la proprietà.

Per Ivan Straniero di Arbor Networks, come ogni complessa estensione della rete, la pianificazione un’implementazione di Bring your own device si dovrebbe basare su una solida infrastruttura e richiederebbe attenzione verso vari elementi.

Reti wireless e gestione policy

Le policy possono essere molto varie, ma in ambiente Byod è importante prevederle in base al luogo da cui ci si connette.
In particolare ci sarebbe bisogno di una policy di rete in aggiunta alla policy legata al dispositivo.
Solo allora si potrà rispondere alle domanda chiave: a quali risorse e dati aziendali possono i dispositivi mobili accedere da luoghi differenti? Come applicare limiti di accesso ai dati durante orari specifici del giorno? E come controllare i dati che vanno dalla rete ai dispositivi mobili, siano essi entro la rete aziendale o connessi da remoto?

Sicurezza

Le misure di sicurezza possono raggrupparsi in tre categorie: integrità, confidenzialità e disponibilità.
Per assicurare l’integrità l’It deve creare varie zone di sicurezza utilizzando firewall stateful per filtrare il traffico indesiderato e permettere solo traffico specifico all’applicazione.
La confidenzialità si ottiene criptando il traffico che passa attraverso le reti pubbliche (non sicure). Le connessioni criptate provenienti da reti pubbliche dovrebbero essere terminate su hardware molto performanti, quindi filtrate ed ispezionate dal firewall e da Ids/Ips specifici.
La disponibilità delle risorse dovrebbe essere garantita durante tutte le situazioni di cui sopra implementando un Intelligent DDoS Mitigation System (Idms).
L’obiettivo di un attacco DDoS è di impedire l’utilizzo della risorsa sotto attacco da parte degli utenti legittimi.
Gli attacchi DDoS richiedono un differente approccio alla difesa, che dovrebbe avere l’obiettivo di mitigare, piuttosto che di isolare; infatti il blocco totale del traffico spesso completa l’obiettivo dell’attacco di creare isolamento di una particolare risorsa aziendale, non rendendola più disponibile per niente agli utenti autorizzati.

Gestione dei dispositivi mobili

L’It dovrebbe essere in grado di controllare quale dispositivo mobile accede alla rete ed autenticarlo opportunamente.
Varie tecnologie di Network Access Control (Nac) vengono utilizzate per questa fase. Nel mondo Byod la soluzione deve poter funzionare con successo pur senza installare alcun client agent sul dispositivo mobile.
La policy deve essere applicata al dispositivo, indipendentemente dal sistema operativo o dalla titolarità dello stesso. Diversamente il dispositivo dovrebbe essere identificato e messo in quarantena.

Visibilità applicativa e di rete

I dipartimenti It hanno bisogno di visibilità dei flussi di traffico e dell’utilizzo delle applicazioni, e dovrebbero stabilire delle baseline di traffico di rete interna in modo da capire l’utilizzo normale o atipico delle stesse.
Il flusso dei dati su base del singolo dispositivo consente di analizzare se per esempio un particolare oggetto mobile accede ad un’applicazione autorizzata, o se sta diffondendo informazioni interne verso entità esterne all’azienda.
Queste tecnologie si basano sulla lettura dei dati Netflow dei router, oppure su tecniche di Dpi (Deep Packet Inspection) di dispositivi dedicati.

In sintesi

Per Straniero, quindi, costruire un ambiente Byod presenta varie insidie: per esempio estendere le policy aziendali ad un dispositivo remoto sulla base del tipo di dispositivo, oppure luogo di connessione, o ancora titolarità del dispositivo. L’utilizzo di una robusta infrastruttura permette alle aziende che utilizzano molti strumenti mobili di gestire l’accesso dei dispositivi e la localizzazione degli stessi.
Arbor Networks, sottolinea dispone delle soluzioni per accrescere l’infrastruttura con strumenti di protezione dei dispositivi critici contro attacchi DDoS che hanno l’obiettivo di isolare particolari risorse aziendali; inoltre dispone di soluzioni in grado di monitorare la rete interna, di individuare eventuali attacchi interni o bot su dispositivi interni, e di aiutare nella prevenzione contro il furto di dati aziendali verso destinazioni non autorizzate.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome