Tutti i principali fornitori hanno sviluppato architetture che integrano la sicurezza direttamente nelle reti, per soddisfare la richiesta del mercato e, al tempo stesso, trarne vantaggio.
Un’elementare definizione di sicurezza informatica cita i quattro obiettivi fondamentali: disponibilità, integrità, confidenzialità e autenticità di dati e informazioni. Il networking si è da sempre posto un problema di sicurezza, riferendolo ai primi due obiettivi. In altre parole, lo scopo della rete era "limitato" a garantire la connessione e una corretta trasmissione del dato. Mentre dell’informazione in quanto tale, cioè del contenuto e dell’importanza che lo stesso non fosse accessibile a terzi oltre a sorgente e destinazione, le reti non si sono mai preoccupate.
Con l’avvento di Internet e con l’intensificarsi delle minacce veicolate dalla Rete, la visuale è cambiata: garantire la disponibilità, per esempio, significa anche impedire che un attacco blocchi la connessione. I fornitori di networking si sono sentiti in qualche modo responsabilizzati e, soprattutto, almeno due logiche di business hanno spinto tutti verso la definizione di nuove architetture tese alla realizzazione di reti intrisicamente sicure.
La prima questione riguarda l’utilizzo stesso della rete: perché questo si sviluppasse, con conseguente crescita del mercato e dei fatturati, era necessario fornire garanzie di sicurezza, altrimenti le Lan sarebbero rimaste per sempre chiuse e la comunicazione tra le aziende e verso i clienti avrebbe cercato canali alternativi (uno di questi, su cui sembra credano in molti, è quello della televisione digitale terrestre).
Un secondo motivo di interesse riguarda il mercato della sicurezza in sé: uno dei pochi con buone prospettive di crescita e margini ancora sostenuti.
Al principio era il firewall
Il primo approccio alla sicurezza per il vendor di networking è stato fornire uno strumento per proteggere l’accesso alla rete: un po’ la logica del castellano che mette tutte le proprie guardie a controllare e difendere il ponte levatoio. Tra l’inizio e la fine del nuovo millennio, il firewall è entrato di prepotenza nel portafoglio dei protagonisti del settore. Ben presto si è rivelato fondamentale, ma al tempo stesso insufficiente, mentre la richiesta di protezione contro attacchi sempre più sofisticati cresceva, spingendo verso la definizione di strategie più articolate, che prevedessero l’utilizzo di strumenti adeguati, come gli Intrusion detection system o i sistemi di content filtering, fino ad arrivare alla prevenzione. Le soluzioni presenti sul mercato sono molte e diverse tra loro anche nella filosofia perseguita, ma, sostanzialmente, queste ricalcano la pila Osi, considerando e controllando protocolli e pacchetti ai vari livelli della stessa per identificare gli attacchi e le minacce alla sicurezza.
Nel seguito esaminiamo le proposte di alcuni tra i principali fornitori di networking.
L’approccio "puntuale" di 3Com
Negli ultimi anni, 3Com ha investito molto nello sviluppo di reti intrinsecamente sicure, a partire dall’offerta del Security Switch, un dispositivo di rete con funzionalità multiple per il controllo dei pacchetti, fino ad arrivare alla recente acquisizione di TippingPoint, passando per il rilascio della linea Secure IX, che integra funzionalità di routing con capacità di prevenzione e protezione dalle minacce alla sicurezza.
3Com ritiene che la sicurezza debba essere pervasiva in tutta la rete e, pertanto, ha adottato un approccio olistico, inserendo elementi di security in ogni prodotto, in modo da fornire una soluzione end-to-end e al contempo garantire una difesa multilivello della rete. L’esempio, più importante, in questo senso è l’embedded firewall, che integra la funzionalità di firewalling direttamente sulla scheda di rete.
Peraltro, secondo i responsabili della società, per garantire la sicurezza della rete è necessario uno strumento che sia in grado di bloccare automaticamente gli attachi che esso stesso individua. Di qui l’acquisizione di TippingPoint, uno specialista dell’intrusion prevention, che oggi opera come divisione 3Com, mantenendo e potenziando l’organizzazione e le risorse tipiche di un’azienda dedicata alla sicurezza, soprattutto in termini di ricerca e sviluppo.
La sicurezza "cristallina" di Alcatel
La linea CrystalSec, su cui Alcatel basa la strategia per la realizzazione di reti sicure, comprende svariate applicazioni distribuibili ai diversi livelli di una rete dati locale e geografica che svolgono le funzioni di autenticazione, firewall e i servizi Vpn adeguati alle alte velocità di trasmissione.
Gli strumenti integrati in CrystalSec sono volti ad assicurare la disponibilità della rete, il controllo degli accessi basato su policy (Vlan autenticate), il funzionamento delle applicazioni di sicurezza standard (IpSec, Pkix, Radius, Ldap), la gestione centralizzata e sicura di piattaforme per l’e-business.
Tutto questo con un approccio proattivo, attraverso un controllo distribuito che comprende antivirus, intrusion detection, firewall, access control list su router e switch di rete, Vpn e Vlan, realizzato ai diversi livelli della rete aziendale, secondo una logica end-to-end, dal client alle applicazioni.
Un ulteriore livello di sicurezza è realizzato sul traffico che attraversa la rete, che può essere organizzato in base ai profili utente ed esaminato sino al livello applicativo, per esempio il contenuto di un messaggio di posta elettronica e dei suoi allegati. Alle proprie, Alcatel aggiunge, poi, soluzioni certificate dei partner tecnologici Sygate e Fortinet.
La Self-Defending Network di Cisco
Anche Cisco Systems può vantare un ruolo pioneristico, in particolare, per quanto riguarda lo sviluppo di una strategia integrata, che vede il coinvolgimento anche di terze parti. La logica è quella di trasferire alla rete una sempre maggiore porzione d’intelligenza, secondo la logica dell’Intelligent Information Network.
In particolare, per rispondere ad attacchi che si propagano in pochi minuti o secondi, Cisco ha ideato la Self Defending Network, cioè una rete che, integrando in sé la sicurezza, è in grado di riconoscere attività sospette, identificare le minacce, reagire appropriatamente, isolare le infezioni e rispondere agli attacchi in modo coordinato.
La strategia per la Self Defending Network di Cisco è fondata su tre pilastri: le soluzioni di Secure Connectivity, che consentono di trasportare le applicazioni in maniera sicura attraverso i vari ambienti di rete; il Threat Defense System, che protegge contro minacce note e non note; le soluzioni per la Trust and Identity, che consentono la gestione delle identità e delle autorizzazioni per l’accesso sicuro alle risorse.
Le Secure Networks di Enterasys
La prima ad adottare esplicitamente il termine Secure Networks (in realtà l’unica a poterlo fare, date le leggi sui copyright) è Enterasys Networks, che rivendica un’architettura di rete intrisecamente sicura integrata nell’attuale generazione di dispositivi e compatibile con buona parte di quelli più vecchi, nonché con tutti o quasi gli apparati di concorrenti, purché conformi agli standard. La casa americana ha fatto delle Secure Networks la propria missione aziendale, forte del fatto che anche in passato, sin dai tempi di Cabletron, questo è stato l’elemento distintivo della propria offerta di reti, assieme alla robustezza e all’affidabilità.
Enterasys è convinta che le soluzioni di sicurezza tradizionali per la protezione perimetrale sono di grande importanza e che sia altrettanto fondamentale fornire tutti i nodi cruciali della rete di capacità di identificazione, automazione e risposta. Tali componenti condividono così l’interfaccia di gestione e le policy di sicurezza, aumentando, da un lato, il livello di protezione e riducendo, dall’altro, i costi operativi di installazione e monitoraggio. Accettable Use Policy, Secure Application Provisioning, Secure Guest Access, Dynamic Intrusion Response, Trusted End-System sono soluzioni pronte per essere implementate che applicano tecnologie di intrusion detection, firewalling, single sign on, identity management e così via, per realizzare le Secure Networks di Enterasys.
La Unified Security Framework di Nortel
L’approccio alla sicurezza di Nortel, che abbraccia l’infrastruttura Ict nel suo complesso e gli utilizzatori indipendentemente dalle modalità di accesso, si è formalizzato in uno specifico framework, riferito come Unified Security Framework. Questo comprende concetti, aspetti fisici e procedurali atti a permettere, nel loro insieme, la realizzazione di una rete sicura e ad alte prestazioni.
In questo framework la gestione delle policy si sviluppa nei diversi livelli della rete e si applica a tutti i tipi di utilizzatori e di applicazioni, assumendo che tutti gli elementi di un’infrastruttura It possono costituire dei potenziali punti di attacco. A questo, Unified Security Framework risponde con gli strumenti adeguati, per esempio, a partire dal firewalling alla cifratura. Alle tecnologie "classiche" per la sicurezza, Nortel aggiunge una famiglia di soluzioni che permettono di ottimizzare la gestione del traffico di rete e renderlo sicuro, con tecnologie che prevedono, per esempio, il filtraggio dei dati secondo gli standard di mercato o la gestione in modo sicuro dei flussi dati.
Le reti identity driven di ProCurve
Per garantire la sicurezza di una rete, secondo ProCurve Networking, la business unit di Hp dedita alle soluzioni infrastrutturali di rete, si deve partire dal suo disegno architetturale.
Per ottenere questo obiettivo ProCurve punta sulla propria architettura denominata Adaptive Edge, il cui elemento caratteristico è quello di esercitare il controllo dell’accesso alla periferia (il bordo o "edge", appunto) del network, ovvero nel punto di primo contatto tra un utente e la rete, sfruttando tecnologie standard, quali l’802.1x, presenti sui propri apparati. Bloccare accessi non autorizzati alla frontiera, non solo ferma utenti non autorizzati, ma evita di fornire loro qualunque tipo di informazione sulla rete come, per esempio, il sistema operativo adottato, che può esporre a un più facile sfruttamento di vulnerabilità note. Il comando e la configurazione vengono esercitati dalla parte core di rete, con la possibilità di impostare policy e diritti in base a una molteplicità di condizioni differenti. Il risultato è una rete intrinsecamente sicura e pensata per essere identity driven, potendo assegnare privilegi e diritti di accesso in base a una molteplicità di criteri quali l’appartenenza a un gruppo, l’orario di accesso e così via.
