Cloud Firewall: introduzione generale

I firewall sono probabilmente noti a tutti: si tratta di servizi che cercano di evitare che eventuali minacce creino danni ai sistemi posti sotto la loro protezione. Queste “dogane” analizzano e filtrano il traffico in entrata ed uscita bloccando attività potenzialmente pericolose e sospette. I cloud firewall, servizi messi a disposizione via Internet dai provider, sono un’evoluzione dei classici rack firewall resasi necessaria a seguito dei rapidi cambiamenti ai quali è andato incontro il mondo IT: la definizione di “perimetro da difendere” è infatti notevolmente mutata nel tempo.

In passato tanto i pochi utenti autorizzati quanto i workload, le applicazioni ed i server operavano/risiedevano unicamente all’interno di un ambiente ben definito e sicuro (infrastruttura aziendale). E sull’uscio che conduceva al mondo esterno, bollato genericamente come insicuro, trovava posto il rack firewall – che controllava il flusso in entrata ed uscita. Una situazione abbastanza facile da gestire: dentro ciò che è sicuro, fuori quello che non lo è, sul confine il firewall.

Il cloud ed altre nuove tecnologie hanno complicato la situazione: tanto gli utenti autorizzati quanto le applicazioni possono trovarsi teoricamente in ogni luogo, dal classico data center on premise all’ambiente cloud IaaS/PaaS privato o pubblico, senza dimenticare app SaaS di terze parti. E’ chiaro che rispetto allo scenario “dentro/fuori” descritto precedentemente la situazione è molto più delicata e complessa.

Ed è qui che entrano in gioco i cloud firewall, pensati generalmente per occuparsi di due specifici casi di utilizzo: nell’approfondimento di oggi avremo modo di conoscere entrambe le tipologie (per comodità A e B).

Tecnologie simili, obiettivi differenti

I firewall A sono soluzioni studiate per presevare una rete (network) e i suoi utilizzatori, un obiettivo identico ai classici rack firewall. I provider sono soliti definirli sotto varie sigle: SaaS firewall, SECaaS (security as a service), FWaaS (firewall as a service). Se il firewall è offerto dalla telco alla quale si affida la compagnia, il suo impiego non richiede grandi sforzi e si risolve nell’utilizzo di un’apposita dashboard da parte degli admin – grazie alla quale sarà possibile agire su tutte le impostazioni del servizio (domini in blacklist, whitelist etc.). Un servizio di terze parti implicherà invece l’intervento sui router aziendali al fine di permettere la connessione al nuovo provider che diverrà una sorta di ISP personale.

La possibilità di proteggere utenti remoti ed una migliore gestione dei costi sono i principali punti di forza dei firewall A. Per quanto riguarda il primo punto immaginiamo un qualsiasi impiegato che si trova dall’altra parte del globo per impegni di lavoro. Con un “vecchio firewall” non sarebbe stato possibile estendere la protezione anche ad un utente remoto come l’impiegato appena presentato. Ora potrà invece connettersi al firewall attraverso un canale sicuro (es: un VPN), autenticarsi via Active Directory (o altri servizi) accendendo in mobilità alle risorse aziendali che utilizza solitamente in sede o a determinati servizi cloud ma avvalendosi della protezione del firewall.

Il secondo punto rispecchia uno dei vantaggi riconosciuti universalmente al cloud, ovvero quello di adottare un più conveniente modello pay per use, ovvero calcolato in base al reale utilizzo del servizio. Ciò svincola le azienda da contratti “fissi” con i quali si rischia inevitabilmente di impiegare in modo inadeguato il budget – nel corso dell’anno si alterneranno infatti periodi di assiduo utilizzo del firewall ad altri di scarso impiego, perchè pagare una quota fissa?

Completano la rassegna dei pro un maggior livello di protezione da bug varibug zero day (falle sconosciute persino ai programmatori di un determinato software) e dagli attacchi DDoS. I team di sicurezza dei provider (attivi 24/7) ai quali ci si affida sono infatti particolarmente attenti ai”bollettini” di sicurezza e possono internevire istantaneamente. L’azienda non dovrà quindi più preoccuparsi di procedure di gestione ed aggiornamento. Gli attacchi DDoS andranno invece ad “abbattersi” sul firewall e sul perimetro di difesa allestito dal provider, il quale impiegherà i mezzi e la propria banda disponibile per contrastarli. Ciò pone sostanzialmente al sicuro la rete aziendale che non subirà alcuna ripercussione. In passato il “firewall classico” avrebbe rappresentato invece l’ultimo baluardo di difesa mettendo a dura prova la risorse della compagnia – incapaci di fronteggiare incursioni in grado di raggiungere anche flussi di mezzo terabyte al secondo (ed oltre) di “dati spazzatura”.

I firewall B agiscono invece all’interno di “data center virtuali” ed operano in ambienti PaaS o IaaS. Il servizio si occupa di proteggere il traffico diretto verso/proveniente da varie applicazioni cloud oltre a quello scambiato tra le varie app. I servizi pensati per agire in tali circostanze sono differenti da quelli concepiti per la protezione di network ed utenti. In un ambiente cloud, dove l’azienda può disporre di vari server  destinati ad una specifica task (storage, hosting di applicazioni e via dicendo), l’utilizzo di un firewall B è indispensabile.

Le modalità di fruizione dei firewall B sono più variegate rispetto alla precedente categoria. In base al fornitore del servizio possono essere infatti messi a disposizione sottoforma di app, VM preconfigurate da adoperare come front end di un’infrastruttura cloud, servizi installabili ed eseguibili all’interno di VM già esistenti (web server etc.).

Tra i punti di forza della soluzione l’estrema configurabilità delle p0licy di sicurezza e la possibilità di apportare modifiche in pochi clic – rispetto ai rack firewall. L’elevato livello di personalizzazione viene definito con il termine inglese microsegmentation: è possibile variare celermente le configurazioni del firewall (senza intervenire sui cavi fisici come avveniva con i rack firewall), stabilire specifiche regole per determinate applicazioni e/o utenti che “seguono” questi ultimi ovunque essi si spostino (es: VM che migrano da una macchina all’altra riceveranno automaticamente i set di regole precedentemente associate ad esse).

Per chi ha effettuato la migrazione di workload ed applicazioni nel cloud, l’utilizzo di un firewall di tale tipologia è fortemente consigliato. Sebbene il provider offra infatti dei servizi di protezione “base” all’utenza, è sempre dovere di quest’ultima occuparsi della sicurezza del proprio ambiente cloud.

Fonte: 1