Scopri il Customer Program Archimedia
Scoprilo qui
Qual è la strategia migliore per te?
Chiedi una call

Come scegliere il miglior firewall hardware in 7 mosse

1 feb , 2017 | 5 minuti

TOPICS

miglior firewall hardware

Negli articoli precedenti abbiamo parlato delle considerazioni utili per la scelta di un antivirus e di un antispam, ora possiamo continuare trattando gli aspetti che concorrono nella scelta del miglior firewall hardware, per riuscire a trovare quello più adatto alla nostra azienda.

Anche in questo caso il confronto è solo un esercizio se prima non riusciamo ad individuare le necessità e i prodotti idonei a soddisfarle, ciò significa che dobbiamo iniziare anche questa volta da un’analisi dello stato della sicurezza della rete e di ciò che offre il mercato.

La scelta di un firewall deve passare attraverso una successione logica di valutazioni che hanno lo scopo identificare la soluzione più corretta, parliamo infatti di una tecnologia che dovrà rimanere in azienda almeno 5 anni se acquistiamo o 3 anni se optiamo per il noleggio o MSP.

 

1° - Definire i servizi di sicurezza necessari

Per servizi di sicurezza intendiamo tutte le “funzionalità” che si occupano di prevenire, indentificare e bloccare i vari tipi di minacce, a grandi linee possono essere raggruppati in 4 livelli di sicurezza. Ogni servizio è stato inventato per dare una risposta all’evoluzione degli attacchi informatici, dalla creazione del firewall ad oggi. Ecco quali sono:

  • Firewall: poco più di un normale router, si occupa del NAT, della stateful inspection e delle VPN, non applica quindi controlli di sicurezza secondo il significato attuale del termine.
  • Next Generation Firewall (NGFW): Aggiunge l’IPS, l’Application Control, la DPI e introduce il concetto di controllo basato su identità utente e non solo sulla base dell’indirizzo IP locale.
  • Unified Threat Management (UTM): Aggiunge Anti-Virus, Anti-Spam, URL Filtering, Content Filtering, Anti-Bot, DLP e Load Balancing.
  • Advanced UTM: Introduce il servizio Sandbox (Zero-Day Protection) e Threat Intelligence

Il livello “Firewall” si occupa di gestire gli aspetti di comunicazione della rete aziendale con l’esterno, mette a disposizione applicazioni e servizi interni a chi non è in azienda. Oggi non è più corretto dire che si occupa di sicurezza, perché attraverso i canali che devono restare aperti per le necessità di operatività aziendale (es. porte http, https, smtp) oggi possono transitare anche una grande varietà di minacce, bloccarle utilizzando un semplice firewall vuol dire isolare l’azienda da Internet, cosa ovviamente inaccettabile.

A questo scopo sono nati i livelli successivi, NGFW e UTM, che lavorando ad un livello superiore sono in grado di bloccare le minacce conosciute senza dover paralizzare l’azienda, ribadisco minacce conosciute.

Negli ultimi anni si è poi osservato la crescita esponenziale degli attacchi Zero-Day, ovvero quelli che essendo ancora sconosciuti non possono essere rilevati dai NGFW e UTM, è nato quindi il servizio di Sandboxing che ha dato vita all’ Advanced UTM.

Definito il livello di sicurezza che vogliamo implementare e quindi consapevoli di ciò su cui restiamo eventualmente esposti, possiamo procedere con il passo successivo.

 

2° - Definire la lista dei Vendor candidati

In questa fase dobbiamo provvedere a redigere una lista di tutti i Vendor che nei propri prodotti implementano i servizi di sicurezza che vogliamo avere.

Anche nel livello medio di mercato questi servizi sono ormai degli standard, per semplificare questo step e anche il successivo è consigliato restringere il campo di ricerca selezionando i nomi maggiormente riconosciuti, diciamo più famosi e diffusi da più tempo. Chiaramente non è una valutazione strettamente tecnica ma in ogni caso aspetti come la presenza di anni nel settore e i feedback positivi, costruiscono una reputazione che può essere sicuramente d’aiuto in questa fase. Tuttavia può essere interessante porre l’attenzione anche ai nuovi Vendor, prima di tutto perché meno ancorati a logiche Legacy, veleno per questo settore per non rischiare di trascurare possibilità veramente innovative.

A questo scopo esistono enti terzi come Gartner, creano dei quadranti nei quali posizionano graficamente i Vendor rispetto indicatori come la capacità di guardare oltre e l’abilità di arrivarci, ovviamente ci sono utili per capire quali possono essere i concorrenti e non come prova tecnica della qualità del prodotto, che saremo noi a valutare, altrimenti non saremo qui a parlarne.

 

3° - Valutare l’efficacia e la qualità dei servizi di sicurezza

Fare una POC con ognuno dei prodotti candidati non è pensabile, tuttavia ci sono alcuni indicatori che aiutano a capire la qualità dei servizi di sicurezza di ogni prodotto. Vediamoli:

  • IPS e Anti-Virus: n. di firme presenti nei relativi database
  • Application Control: n. di applicazioni riconosciute e precisione delle possibilità di intervento
  • URL Filtering: n. di URL categorizzati e diversificazione delle categorie esistenti
  • Anti-Bot: n. di indirizzi Botnet conosciute presenti nel database
  • DLP: grado di precisione con cui è possibile definire i contenuti da bloccare in uscita
  • Sandbox: tipi di emulazione eseguiti e capacità di nascondersi al malware polimorfico
  • Frequenza degli aggiornamenti dei database e dei firmware

Creare una classifica sull’ efficacia dei servizi di sicurezza viene prima di ogni altra valutazione, perché la funzione dei servizi rispecchia la motivazione stessa della presenza di un firewall, per questo attenersi ai risultati di questa valutazione è fondamentale. Possiamo selezionare le prime 4 posizioni.

 

4° - Valutare la facilità d’uso e gestione

Questo punto assume un certo spessore quando la gestione e l’utilizzo del prodotto viene affidata al reparto IT aziendale, al di là del periodo iniziale di formazione sulla nuova tecnologia, la facilità d’uso è un requisito importante, quanto è intuitiva l’interfaccia di configurazione, quanto è immediato creare una regola o trovare un record nei log, sono tutti aspetti che rendono più veloce ogni attività.

A questo scopo è necessario prendere visione delle interfacce dei prodotti identificati precedentemente e comporre anche questa classifica, sulla base delle considerazioni di chi andrà poi ad utilizzare il prodotto.

Se invece optiamo per un contratto MSP questo punto non ci interessa direttamente perché di fatto non saremo noi a “utilizzarlo” ma assume comunque un’importanza riflessa, perché sarà il provider ad essere più reattivo e noi ne avremo comunque il beneficio.

 

 5° - Identificare i modelli idonei

Per un approccio corretto questa valutazione deve partire da un contesto e sulla base di questo determinare i requisiti di throughtput necessari ad ogni servizio di sicurezza, perché dato che stiamo parlando di elaborazioni “inline” non devono influenzare il traffico di rete.

I parametri che dobbiamo fornire ai Vendor nella nostra lista sono:

  • di utenti in rete
  • di server in rete
  • di connettività verso Internet
  • Banda Internet di picco disponibile su ciascuna connettività
  • di VPN site-to-site da gestire
  • e tipo di VPN client-to-site contemporanee da gestire
  • Larghezza di banda su rete interna se vogliamo segmentare
  • Servizi di sicurezza da attivare (punto 1°)

 Sulla base di queste informazioni i fornitori dovranno desumere i throughput necessari e ci indicheranno i modelli della appliance adatte, che avranno determinate caratteristiche soprattutto in termini di CPU e RAM.

In questa fase iniziamo ad accorgerci di come a parità performances possiamo avere quote di CPU e RAM diverse, questo ci indica il grado di ottimizzazione del firmware, dei motori di controllo e più in generale come è stata pensata la tecnologia.

Possiamo così evitare di dover spendere inutilmente su un hardware sovradimensionato semplicemente perché il software potrebbe lavorare meglio.

In ogni caso regola generale vuole che la scelta sia sovrastimata almeno del 30% per prevedere l’aumento del traffico che si può generare in futuro, oppure per riservare la possibilità di attivazione di ulteriori servizi di sicurezza.

Potrebbe essere significativo, ma non è detto, ordinare le appliance sulla base delle risorse hardware ed analizzare con il passo successivo se l’andamento dei prezzi è coerente con le caratteristiche, potrebbe non essere così perché trattandosi di Vendor diversi siamo in presenza di politiche diverse.

 

6° - Valutare il budget necessario

Siamo arrivati ad avere una lista di modelli di varie marche tutti definiti idonei, a questo punto dobbiamo farci comunicare i prezzi per:

  • Appliance Naked: ovvero il valore dell’hardware
  • Costo annuale e triennale per i servizi di sicurezza, supporto e garanzia

 Ora è necessario valutare la graduatoria dei costi per il primo anno mettendoli in relazione anche con quelli dei rinnovi successivi per identificare la soluzione economica più vantaggiosa.

A volte troviamo una lieve differenza sulla macchina ma una differenza considerevole sulle annualità, quindi potrebbe essere vantaggioso scegliere un’appliance che costa un po’ di più per risparmiare in misura maggiore sui rinnovi di anno in anno.

 

 7° - Trarre la conclusione

Con questa procedura siamo arrivati ad avere in mano una graduatoria “tecnica” ed una “economica” che ora dobbiamo incrociare per scegliere la soluzione.

Sarà sempre un compromesso, tra le possibilità di budget e la qualità del prodotto.

Il rapporto tra i due termini di paragone tende sempre ad essere inversamente proporzionale, in parole povere nessuno regala niente, ma affiancare queste due classifiche in certi casi mette in evidenza soluzioni veramente interessanti.

C’è da dire che arrivati a questo punto, a prescindere dalla scelta, le necessità tecniche sono state tutelate e questa è la cosa più importante. Per cui potremmo essere tranquilli nel scegliere anche la tecnologia più economica seppur non sia la migliore tra quelle selezionate, oppure potremmo scegliere la migliore, perché sappiamo che correre ai ripari quando il danno è fatto costerebbe comunque molto di più.

Possiamo concludere che la cosa fondamentale da cui partire è la consapevolezza di quello a cui siamo esposti, perché ci chiarisce le necessità dalle quali partire. Il guaio è che troppo spesso questa matura solo quando succede qualcosa perché così lo tocchiamo con mano, allora non riusciamo a capire perché non ci abbiamo pensato prima.

Ma questo si può evitare, basta fare un’analisi!

Scarica il fac-simile del Report "Security Check Up", è il risultato di un monitoraggio della durata di 2 settimane che raccoglie tutti i dati specifici sulla tua rete, dandoti tutta la consapevolezza necessaria per fare le scelte più adeguate.

 

 

Cristiano Pastorello

DPO & Amazon Web Service Specialist
Scroll