Cosa si cela dietro al nuovo hype dei „Next Generation Firewalls“

Ai lettori delle testate IT di fascia alta viene proposto sempre più spesso un nuovo slogan: Next Generation Firewalls. Un concetto – una volta tanto – scelto accuratamente, perché ci troviamo effettivamente di fronte ad uno sviluppo senza precedenti delle soluzioni per la protezione del perimetro aziendale, i firewall.

Il concetto di firewall come sistema di apertura o chiusura delle porte HTTP o FTP al traffico in entrata ed in uscita dalla rete ha ormai fatto il suo tempo. Questo per diverse ragioni, tra cui soprattutto il radicale cambiamento della natura degli attacchi sferrati dai criminali informatici alle reti aziendali. Un esempio? Allo scopo di bypassare il firewall dell’utente, un computer assoggettato ad una botnet ("computer zombi") maschera il traffico in modo che la connessione web instaurata appaia generata dal browser dell’utente stesso . Un "firewall di nuova generazione" riconosce e blocca il traffico illecito in rete a livello applicativo: la comunicazione con la rete zombi viene rilevata e bloccata mentre il traffico legittimo viene mantenuto attivo. Questo è possibile solo attraverso un riconoscimento delle differenze tra le due tipologie di traffico a livello applicativo, lo stesso dove ha poi luogo il blocco.

Sebbene questo nuovo tipo di minacce colpisca aziende di qualsiasi dimensione, sono prevalentemente i produttori di firewall specializzati in soluzioni per le grandi aziende ad affrontare questa nuova sfida sviluppando una nuova generazione di dispositivi, che oltre a dover soddisfare una serie di criteri differenti rispetto alle soluzioni tradizionali, devono assolvere anche ad un numero maggiore di compiti. Tali produttori ritengono infatti opportuno integrare nella soluzione funzioni di cui le grandi aziende potevano avvalersi in precedenza solo acquistando soluzioni ad hoc da fornitori specializzati. Tra queste includiamo in particolare la capacità di esaminare il flusso di dati a livello applicativo, riconoscere le più diverse applicazioni come tali, implementare politiche di filtro a livello di applicazione per singolo utente, identificare autonomamente contenuti e comportamenti sospetti bloccando ad esempio l’accesso ai siti illeciti legati a tali contenuti o comportamenti.

Una domanda crescente
Suona rivoluzionario ed in effetti lo è – sebbene già da tempo le aziende di medie dimensioni impieghino soluzioni che non si limitano a fornire servizi di firewalling ma integrano in un solo prodotto funzionalità aggiuntive, per ridurre i tempi e costi di norma legati all’amministrazione e alla manutenzione di soluzioni multivendor. Le PMI beneficiano quindi già oggi di quanto viene definito "Unified Threat Management," in breve UTM (gestione unificata delle minacce), ossia l’ampliamento delle funzionalità di firewall tradizionali con URL filtering, antivirus, antispam e filtraggio dei contenuti.

Quindi? Sebbene appena coniato in realtà il concetto di “Next Generation Firewall” è roba vecchia? No, perché anche nell’ambito delle soluzioni UTM deve aver luogo un salto generazionale, come sta già avvenendo, per tenere il passo con le nuove minacce da un lato e l’impiego crescente di piattaforme SaaS, applicazioni Web 2.0 e servizi cloud dall’altro, nell’intento di proteggere l'utente in modo efficace.

In particolare sono tre le funzioni che i dispositivi UTM dovranno offrire in futuro per garantire il livello di protezione che il mercato si aspetta dai "firewall di nuova generazione".

- In primo luogo devono essere in grado di analizzare il traffico ed i relativi contenuti, bloccandoli ove necessario, anche attraverso connessioni crittografate (ad esempio via https). Grazie alla “Deep Packet Inspection” (analisi approfondita) le soluzioni sono in grado di riconoscere ad esempio se Skype utilizza la porta di norma assegnata al traffico cifrato. Inoltre è possibile controllare e limitare le singole funzioni di questa applicazione a livello di rete: si potrà ad esempio consentire la telefonia via Skype ma vietare il trasferimento di file attraverso questa piattaforma. Un ulteriore punto: Adware e anonimizzatori devono essere rilevati e bloccati.

- Chi è autorizzato ad utilizzare cosa, quando, come e da dove? Questo è il secondo punto: le regole definite a tale scopo devono essere applicabili per singolo utente. A tale scopo è necessaria, ad esempio, l’integrazione di Active Directory.

- In terzo luogo, il firewall dovrebbe essere in grado di gestire le singole applicazioni, in modo da riconoscerle e controllarle indipendentemente dalle porte di cui si servono per comunicare con l’esterno. Questa è certamente una delle più grandi sfide per i produttori di soluzioni UTM.

Sono le nuove minacce e l'uso di Internet come una risorsa IT ormai comune, che portano ad una fusione dei confini tra le esigenze di PMI e grandi aziende rispetto alla sicurezza informatica. Sicuramente perdureranno le differenze di prezzo e architettura delle soluzioni, ma, dal punto di vista degli utenti, le necessità in termini funzionali sono ormai sempre più simili in entrambi i mercati. Proprio gli utenti dovrebbero quindi fare attenzione all’efficacia della protezione fornita a livello applicativo per singolo utente. A livello meramente concettuale, con il termine “Next Generation Firewalls” abbiamo già trovato un denominatore comune.