Strumento inattivo

VMware, Inc.

VMW

US9285634021

VMware : Quattro problemi di sicurezza del data center che ti faranno riconsiderare il ruolo dei firewall

12 ottobre 2021 alle 17:42

Ricordi cosa stava succedendo dieci anni fa? Anche se il 2011 non è poi così lontano (non puoi aver dimenticato il Royal Wedding, il divorzio di Kim Kardashian e la morte di Steve Jobs), in 10 anni sono cambiate parecchie cose. Il percorso di virtualizzazione era appena all'inizio per la maggior parte dei data center. Ricordi quando si pensava che fosse sicuro virtualizzare solo una manciata di carichi di lavoro non essenziali? Ebbene, oggi circa la metà dei server di tutto il mondo è virtualizzata e ci siamo spinti ben al di là della semplice virtualizzazione. Quasi tutti i data center aziendali sono diventati ambienti ibridi, dove risorse di elaborazione e storage virtuali e fisiche convivono in armonia. La containerizzazione e le tecnologie che la supportano stanno iniziando a prendere piede. E, chiaramente, il cloud computing è ormai integrato in tutti gli aspetti dell'enterprise computing.

I vantaggi del Software-Defined Data Center per un'azienda sono tanti, specialmente in termini di efficienza delle risorse e di risparmio sui costi. Ma non possiamo certo negare che siano aumentate le complessità, perché tutte le risorse (elaborazione, storage, switching e routing) continuano a essere necessarie, con la differenza che adesso possono essere sia on-premise sia nel cloud. Tra mantenere la connettività, garantire il raggiungimento delle prestazioni aziendali richieste e tenere il passo con i cambiamenti di business e tecnologia, la gestione dei data center è oggi una vera sfida. E tutto questo prima ancora di aver preso in considerazione il fattore che preoccupa di più CdA, responsabili e professionisti IT: la sicurezza.

Analizziamo più da vicino alcune delle sfide in termini di sicurezza dei data center di oggi:

1. Non si può proteggere qualcosa che nonsi conosce

Partiamo dalla visibilità. In un recente webinar con Omdia, gli analisti hanno parlato del cosiddetto ciclo di vita delle operation di sicurezza informatica, che descrive i passaggi necessari per SecOps efficaci. In questo ciclo di vita, proprio come nel data center, tutto inizia con la visibilità. Del resto, non si può proteggere un ambiente se non lo si conosce. La visibilità sul data center richiede informazioni affidabili in tempo reale su carichi di lavoro, utenti, dispositivi e reti, ma anche consapevolezza di cambiamenti nelle condizioni, di aumento delle situazioni di rischio o dell'avvento di nuove minacce. Soprattutto in questo particolare momento storico, è probabile che un'azienda debba gestire una base di utenti altamente distribuita che accede alle risorse del data center da posizioni remote, sostanzialmente senza limiti di tempo.

Alla luce di questo, quante organizzazioni possono affermare, con una sicurezza del 100%, di avere una visibilità adeguata sul data center? Se anche tu non hai questa certezza, allora dovresti chiederti se stai attuando il tuo piano di sicurezza in modo efficace. Questo perché più bassa è la visibilità, più numerose saranno le falle della sicurezza.

2. Nonc'èun'app per questo

Passiamo poi alla questione della sicurezza delle applicazioni, un argomento che meriterebbe un blog a parte. Non puoi fare a meno di controlli di sicurezza intorno alle applicazioni e al loro interno. Questo richiede approcci diversi, a seconda che si tratti di app tradizionali on-premise o di app SaaS. Non dobbiamo poi dimenticare la necessità di tenere il passo con i requisiti delle policy delle applicazioni. Molte applicazioni stanno diventando sempre più "componentizzate", pertanto servono processi DevSecOps per garantire che la sicurezza sia integrata nelle istanze che supportano le funzioni delle applicazioni containerizzate o addirittura serverless.

3. L'unicacostante è il cambiamento, un cambiamentorapido

Un'ulteriore sfida è data dalla velocità del cambiamento. Può sembrare un'ovvietà, ma quasi tutte le organizzazioni stanno attraversando un qualche tipo di digital transformation che, a diversi livelli, presuppone una transizione significativa dell'infrastruttura IT. Tuttavia, il lato oscuro della digital transformation è che rende i cambiamenti sempre più rapidi, e lo farà in maniera permanente: più infrastruttura cloud, più SaaS e più containerizzazione. Nei prossimi dieci anni dovremo gestire anche aspetti come l'IoT e il 5G, con una crescita esponenziale dei dispositivi connessi e dei dati nei data center. Pertanto, le tecnologie di sicurezza del data center devono a loro volta essere incentrate su un approccio basato su policy e automatizzate per gestire un cambiamento sempre più rapido.

4. L'aumento incontrollato del volume deltrafficoEast-West èunparadiso per glihacker

Anche questa è una sfida specifica che necessario approfondire. Con l'evoluzione del data center, il volume del traffico East-West all'interno dei data center è aumentato in modo incontrollato. I data center più efficienti e sicuri hanno più carichi di lavoro che producono più traffico sulla rete. Per la maggior parte delle organizzazioni, il traffico East-West ha un volume di gran lunga superiore rispetto a quello North-South che entra ed esce dal data center. E sebbene il traffico East-West non lasci fisicamente il data center, questo non significa che sia affidabile.

Il traffico East-West rappresenta lo scenario perfetto per gli hacker che vogliono dissimulare spostamenti laterali dannosi, indubbiamente il problema più grande in un data center moderno. Qual è lo scenario più diffuso che in genere porta a tentativi di spostamenti laterali? Il furto di credenziali legittime. Quando un hacker viene autenticato nell'applicazione di un sistema utilizzando credenziali legittime, servono dei controlli nel layer di networking che permettano di identificare e bloccare il traffico pericoloso prima che attraversi la rete e, potenzialmente, peggiori l'intrusione. Da questo punto di vista, è evidente che il traffico East-West è diventato il nuovo perimetro di rete.

Equesto imponeun nuovo tipo di firewall

È prassi consolidata che ovunque sia presente un perimetro di rete ci sia un firewall. Per estensione, le aziende hanno adesso bisogno di un firewall all'interno del data center. Ma i firewall perimetrali tradizionali non necessariamente funzionano per il traffico East-West. Vediamo meglio.

Il primoproblema è la topologiadel data center

Spesso, dove predomina il Software-Defined Data Center, potrebbe non essere possibile inserire dei firewall virtuali tra i singoli carichi di lavoro, né potrebbe risultare efficiente indirizzare il traffico East-West all'ubicazione dei firewall dedicati. Così facendo si introducono inutili colli di bottiglia in un ambiente virtuale, vanificando tutta l'efficienza e la flessibilità del modello Software-Defined. Inoltre, occorre considerare in che modo i firewall controllano il traffico e i tipi di traffico coinvolti. A livello di perimetro, i firewall tradizionali bloccano principalmente porte e protocolli specifici e intervalli di indirizzi IP, mentre i firewall di nuova generazione possono controllare il traffico sulla base dei tipi di applicazioni e dei gruppi di utenti. Tutto questo va bene, ma con il traffico East-West, i controlli devono essere molto più granulari. Potresti avere un'unica applicazione, ma con diverse funzioni, come un livello web, un livello funzione e un livello database, ognuno dei quali richiede controlli diversi. Il firewall deve essere in grado di comprendere non solo il traffico e l'applicazione, ma anche i componenti dell'applicazione e la logica aziendale che definisce cos'è una comunicazione accettabile e cosa non lo è.

Poi c'è il traffico crittografato

Quando parliamo di traffico crittografato tra carichi di lavoro, tentare di de-crittografare, analizzare e ri-crittografare questi pacchetti richiede enormi spese, e spesso non è realizzabile. Eppure, ignorare tale traffico non è un'ottima idea, perché non sappiamo davvero cosa contiene.

Servono quindi firewall per gestire il traffico East-West, ma questo non significa dover accettare le tradizionali limitazioni dei firewall virtuali e fisici. Si può ricorrere a un approccio diverso. E arriviamo così al concetto dei perimetri virtuali o, più specificatamente, della microsegmentazione.

Il perimetro virtuale:concetto vecchio, approccio nuovo

Per microsegmentazione si intende l'utilizzo di software e policy per implementare una segmentazione della rete granulare direttamente a livello di carico di lavoro e di applicazione. Non è affatto un concetto nuovo, ma molte organizzazioni devono ancora adottarlo. Se la microsegmentazione consente di utilizzare molte delle stesse funzionalità di un firewall tradizionale, lo trasforma anche in una funzione all'interno di un'istanza virtuale. In altre parole, i controlli di sicurezza sono integrati a livello di carico di lavoro, un importantissimo passo in avanti per i firewall dei data center. Se pensiamo al futuro, i firewall continueranno sempre di più a trasformarsi da appliance virtuali e fisiche con uno scopo preciso in una funzione all'interno di un'applicazione, un carico di lavoro o un container.

Sicurezza del data center: migliorare la semplicità e l'efficienza

Per la maggior parte delle organizzazioni, la sicurezza informatica rappresenta una priorità aziendale, ma la sicurezza deve essere un elemento propulsivo per il business. I responsabili della sicurezza che lavorano da tempo in questo settore sanno che i dirigenti non vogliono che la sicurezza sia messa in pericolo, ma non vogliono neppure che l'attività venga compromessa da architetture di sicurezza che rallentano i dipendenti, i processi o la tecnologia e l'innovazione.

La cosa più straordinaria dei microservizi e dei firewall basati sulle funzioni è che diventa molto più facile includere la sicurezza nei processi aziendali in modo flessibile, anche quando i processi cambiano e si adattano rapidamente. Sulla sinistra nell'immagine in basso è rappresentato un modello di firewall virtuale tradizionale, dove l'unico approccio praticabile consiste nell'inserire le istanze del firewall virtuale tra i diversi carichi di lavoro e gruppi di carichi di lavoro. I vendor di firewall sosterranno che per una corretta segmentazione della rete serve un numero elevato di firewall, e questa non è certo una sorpresa. Eppure questo è un modello complicato da distribuire e gestire. Non è efficiente, raramente è economico e, sicuramente, non migliora l'agilità aziendale.

Sulla destra dell'immagine in alto è rappresentato invece cosa avviene con la microsegmentazione, dove troviamo comunque le stesse funzioni del firewall, ma questa volta integrate all'interno di ciascun carico di lavoro, a cui corrisponde una policy che definisce le impostazioni del firewall e di altre funzioni di sicurezza della rete, in modo che la policy di sicurezza venga implementata non appena viene creato un carico di lavoro.

Dal punto di vista dell'azienda, integrare la sicurezza direttamente nelle risorse fondamentali del data center è molto vantaggioso. Con questo tipo di microsegmentazione basata su policy, non appena un carico di lavoro viene distribuito gli esatti controlli di sicurezza che richiede saranno immediatamente disponibili. Potrai prevenire le minacce con spostamento laterale, limitare il traffico delle applicazioni e cogliere tutti i vantaggi di un accesso Zero-trust . Potrai perfino usufruire di quelle funzionalità di sicurezza ulteriori che l'uso di firewall consente, come IDS/IPS,analisideltraffico di rete e installazione di patch virtuali.

Ricapitoliamo: il firewall non sta scomparendo

Non credere a chi dice che i firewall sono una tecnologia del passato, soprattutto quando si tratta del data center. I controlli resi possibili da un firewall sono quanto mai necessari. Quello che è cambiato è che le istanze firewall standalone tradizionali lasceranno il campo al firewall come funzione. È arrivato il momento di iniziare a capire come funzionano queste tecnologie e quali vantaggi possono riservare all'organizzazione.

Se ti interessa approfondire questo argomento, segui il webinar on demandQual èilfuturo dei firewall del data center?

Vai al webinar

Scopri di più su VMware NSX Service-defined Firewall.

Categoria:News & Highlights

Tag:data center, Firewall, Security, Software defined Data Center

Attachments

Original document
Permalink

Disclaimer

VMware Inc. published this content on 12 October 2021 and is solely responsible for the information contained therein. Distributed by Public, unedited and unaltered, on 12 October 2021 15:41:04 UTC.

Ultime notizie su VMware, Inc.

Liquid Web espande le soluzioni di continuità aziendale con la protezione di disaster recovery fornita da VMware	26/03	CI
VIAVI Solutions Inc. e VMware, Inc. ampliano il Testbed as a Service di RIC per far progredire gli ambienti Digital Twin	21/02	CI
Broadcom prende in prestito 28,39 miliardi di dollari per finanziare l'acquisizione di VMware	22/11	MT
Broadcom completa l'acquisizione da 69 miliardi di dollari di VMware	22/11	MT
Broadcom chiude l'affare VMware da 69 miliardi di dollari dopo l'approvazione della Cina	22/11	RE
CEO 'boomerang' di grandi aziende	22/11	RE
Broadcom Inc. (NasdaqGS:AVGO) ha completato l'acquisizione di VMware, Inc. (NYSE:VMW) da Michael S. Dell, Dodge & Cox, Silver Lake Management, L.L.C., Silver Lake Partners V DE (AIV), L.P., SL SPV-2, L.P. e altri.	22/11	CI
Broadcom e VMware ricevono l'approvazione regolamentare finale per la fusione; si prevede di chiudere l'affare entro mercoledì	21/11	MT
Broadcom prevede di chiudere l'accordo con VMWare da 69 miliardi di dollari mercoledì	21/11	RE
L'autorità di regolamentazione del mercato cinese concede l'approvazione condizionale dell'accordo Broadcom-VMware	21/11	RE
L'AUTORITÀ DI REGOLAMENTAZIONE DEL MERCATO CINESE HA DATO UN'APPROVAZIONE CONDIZIONALE...	21/11	RE
Orange Business e VMware, Inc. Trasformano Flexible Sd-Wan per semplificare l'esperienza del cliente con la digitalizzazione e l'automazione	08/11	CI
NetApp lancia un'offerta di cloud ibrido per le piccole e medie imprese	07/11	MT
IGEL annuncia l'integrazione dell'autenticazione IGEL OS 12 Single Sign-On con VMware Identity Services per VMware Workspace One	07/11	CI
VMware, Inc. annuncia una collaborazione con Intel per sbloccare l'AI privata ovunque	07/11	CI
VMware, Inc. Accelera l'innovazione guidata dai dati con nuove funzionalità di servizi dati avanzati per VMware Cloud Foundation	07/11	CI
VMware, Inc. e Google Cloud annunciano una soluzione di database compatibile con PostgreSQL per applicazioni AI tradizionali e generative su VMware Cloud Foundation	07/11	CI
VMware amplia le capacità della piattaforma Tanzu per costruire app per l'economia AI generativa	07/11	CI
VMware promuove la modernizzazione IT con funzionalità di automazione migliorate e nuove integrazioni di sicurezza	07/11	CI
Broadcom, VMware dicono che la fusione dovrebbe chiudersi "presto".	30/10/23	MT
Broadcom prevede che l'accordo con VMware da 69 miliardi di dollari si chiuderà prima della scadenza di novembre	30/10/23	RE
La FTC della Corea del Sud concede un'approvazione condizionata all'acquisto di VMware da parte di Broadcom	23/10/23	MT
La FTC della Corea del Sud concede l'approvazione condizionata all'acquisto di VMware da parte di Broadcom	23/10/23	MT
Vmware, Inc. annuncia che i servizi Cross-Cloud di VMware sono disponibili per i clienti attraverso l'Oracle Cloud Marketplace	23/10/23	CI
Aggiornamento settoriale: i titoli tecnologici scivolano nel tardo pomeriggio di giovedì	19/10/23	MT

Grafico VMware, Inc.

Durata

Periodo

Altri grafici

Profilo Società

VMware LLC, in precedenza VMware, Inc. è un fornitore di servizi multi-cloud per tutte le applicazioni che abilita il digitale con il controllo aziendale. Il suo portafoglio multi-cloud, che comprende la modernizzazione delle applicazioni, la gestione del cloud, l'infrastruttura del cloud, il networking, la sicurezza e gli spazi di lavoro ovunque, costituisce una base digitale su cui i clienti possono costruire, eseguire, gestire, connettere e proteggere i loro carichi di lavoro. I prodotti dell'azienda all'interno del suo portafoglio di modernizzazione delle applicazioni includono Tanzu Application Platform, Tanzu Operations Platform, Tanzu Application Service, Tanzu Observability, Tanzu Community Edition e Tanzu Labs. I suoi prodotti di gestione del cloud aiutano i clienti a gestire gli ambienti multi-cloud con una serie di carichi di lavoro, tra cui macchine virtuali e container. Le sue soluzioni di infrastruttura cloud comprendono prodotti e servizi di infrastruttura che consentono ai clienti di eseguire applicazioni aziendali con un'infrastruttura e un modello operativo che va dai data center on-premises al cloud e all'edge.

Settore

Software

Altre informazioni sulla società

Settore Software di sistema

	Variaz. 1 gen.	Capi.
ZSCALER, INC.	-20,13%	26,2 Mrd
MONDAY.COM LTD.	+1,38%	9,06 Mrd
WALKME LTD.	-25,30%	714 Mln
TRAFFIC CONTROL TECHNOLOGY CO., LTD.	-1,92%	486 Mln
XPERI INC.	-9,03%	443 Mln
INSYDE SOFTWARE CORP.	-9,63%	270 Mln
ZHENGZHOU TIAMAES TECHNOLOGY CO.,LTD	-28,88%	206 Mln
HANGZHOU HOPECHART IOT TECHNOLOGY CO.,LTD	-42,63%	184 Mln
ELLIPTIC LABORATORIES ASA	-6,34%	159 Mln

Software di sistema