Gartner e altri analisti di mercato hanno parlato molto del mercato “Next Generation Firewall” o NGFW in breve. Non si tratta però solo di pubblicità. Le minacce che le aziende di tutte le dimensioni devono affrontare sono così sofisticate, varie e, soprattutto, pericolose che i firewall tradizionali semplicemente non sono adeguati per proteggere utenti e risorse di rete. I next gen firewall indirizzano sia le minacce emergenti sia quelle più comuni senza impattare troppo sulle performance. O, almeno, questa è l’idea. In pratica non è sempre così facile.
Ma che cosa sono i NGFW? Partiamo dai firewall tradizionali. Queste soluzioni si affidano a porte, protocolli e indirizzi IP per bloccare applicazioni indesiderate o potenzialmente pericolose. Se si escludono tutte le porte di cui gli utenti non hanno bisogno attivamente si vanno a eliminare molti dei varchi che i ‘cattivi’ utilizzano per accedere alla rete. Bloccando i protocolli associati ad applicazioni non necessarie come BitTorrent si risparmia banda e si contiene il malware. Mantenendo risorse forward-facing come i web server in una DMZ e tutto il resto dietro al firewall, si ottiene una protezione aggiuntiva dagli hacker. Sto semplificando, ma quello che intendo è che i firewall tradizionali si affidano alla natura relativamente statica di minacce con caratteristiche abbastanza semplici per bloccarle.
I NGFW, d’altro canto, guardano molto più in profondità il traffico effettivo che si muove all’interno e all’esterno della rete – la cosiddetta deep packet inspection. Non esaminano semplicemente sorgente, destinazione o protocollo dei pacchetti, ma anche i loro payload. I next gen firewall vengono spesso definiti “application aware” perché in grado di gestire traffico basato sulle effettive applicazioni che spesso si avvalgono di molteplici porte e protocolli. Questa ispezione più sofisticata del traffico significa che i NGFW sono in grado di implementare svariate funzioni di sicurezza e gateway tra cui content filtering, anti-malware, ecc. (Vale la pena segnalare che i NGFW vengono spesso integrati nel più ampio mercato delle appliance unified threat management (UTM) e dei firewall enterprise network.)
E’ evidente quindi che i NGFW offrono vantaggi significativi rispetto ai loro predecessori, ma tutte le aziende ne hanno bisogno?
La risposta più immediata è “probabilmente”. La possibilità di attivare svariate funzioni di sicurezza di rete, così come di protezioni (e restrizioni) per gli utenti da un’unica appliance è il massimo dal punto di vista amministrativo. I NGFW offrono infatti potenti strumenti per implementare policy e identificare e mitigare emergenti minacce dinamiche in un modo impareggiabile da parte dei firewall tradizionali. Se aggiungiamo le funzionalità QoS, la protezione da malware web-based, il content filtering, e tutto il resto sembra evidente che i dipartimenti IT dovrebbero correre, non camminare, verso il più vicino vendor di soluzioni NGFW.
Spesso ciò è vero, e l’adozione di tecnologie NGFW è stata molto elevata. Non tutti i next gen firewall sono uguali però. Alcuni sono molto costosi – in maniera proibitiva a volte per le aziende più piccole o per quelle che non hanno un’infrastruttura IT così estesa da proteggere. Altri risentono da problemi di performance a mano a mano che vengono abilitate nuove funzionalità di protezione. Ci sono però sul mercato soluzioni estremamente valide a costi contenuti.
A mano a mano che un numero sempre più elevato di aziende viene attaccato, sia da parte di malware automatico sia da hacker motivati dalla prospettiva di lauti guadagni, i NGFW stanno diventando una necessità. C’è un motivo se le aziende più ‘in’ scelgono tecnologie NGFW per i loro prodotti UTM ed enterprise network firewall – nessuno è immune da questi attacchi e i rischi sono semplicemente troppo elevati per affidarsi esclusivamente ai firewall legacy e agli antivirus client-side. Il giusto prodotto NGFW può assicurare una protezione migliorata per la maggior parte delle minacce a un costo equo per quella determinata organizzazione, con un impatto minimo sulle prestazioni di rete (e a volte miglioramenti nella QoS e altri controlli application-level).
A cura di Antonio Madoglio, SE Manager, Fortinet Italia