La sicurezza dei dati

• 
• Tweet
• Pin It
• Condividi per email

Molto spesso, quando si parla di sicurezza dei dati ci si riferisce esclusivamente alla parte software della gestione delle informazioni, con i relativi algoritmi di cifratura e i protocolli di sicurezza implementati nei sistemi. In realtà una parte rilevante della sicurezza dei dati dipende anche dalla componente hardware e dalle infrastrutture.
Le sfide che si devono affrontare su questo versante sono molte e spesso complesse, visto che le reti aziendali e quelle di automazione sono diventate spesso molto articolate per ottimizzare la produttività, mentre il controllo dell’infrastruttura ormai coinvolge numerosi aspetti, talvolta difficili da gestire.
In generale, inoltre, molti concordano sul fatto che non esistano delle soluzioni standard per assicurare una condizione di sicurezza dei dati, ma si tratta piuttosto di un processo continuo e dinamico. La trasmissione di dati, infatti, non è soltanto il compito principale di una rete, ma costituisce anche la sua principale vulnerabilità, e gli attacchi sono spesso difficili da contrastare.

Fig. 1 – I firewall integrati, come quelli FL MGUARD RS 2000 e 4000 di Phoenix Contact, permettono di consentire o limitare lo scambio dati da/verso l’impianto su solo determinate porte o in comunicazione con soli ben specifici dispositivi

Anche per le reti di automazione industriale, per esempio, ci sono diversi metodi per implementare un adeguato livello di sicurezza, anche perché le attuali soluzioni sono basate su tecnologie IT e quindi sono esposte di fatto alle stesse minacce delle normali reti dati aziendali.
Un primo punto consiste nell’individuare e analizzare le potenziali minacce al sistema dei dati, in modo da poter valutare i possibili danni e le opportunità per minimizzarle.
Analizzando i requisiti, occorre che la soluzione scelta sia implementabile su tutta l’infrastruttura, che non abbia un impatto sui sistemi esistenti e, ovviamente, che sia caratterizzata da un buon rapporto fra qualità e prezzo nella realizzazione. Altre caratteristiche importanti sono il rilevamento di violazioni della sicurezza e il relativo invio di messaggi di avviso, ma anche una buona scalabilità in modo da poterla adattare in futuro a nuovi requisiti della rete oppure a modifiche delle potenziali minacce che sono, analogamente, in costante evoluzione.

Le soluzioni
Dal punto di vista delle soluzioni implementabili, a parte l’adozione di misure meccaniche di sicurezza come per esempio il blocco fisico dei connettori, che comunque sono in grado di ridurre sensibilmente le potenziali minacce ai dati, a un livello più alto si può ricorrere agli switch managed che impediscono a persone non autorizzate di riconfigurare l’infrastruttura. Di fatto un broadcast limiter configurabile, filtrando i messaggi, è in grado di impedire attacchi di tipo DoS/DdoS (Denial of Service/ Distributed Denial of Service). Analogamente, un adeguato controllo degli accessi consente di effettuare la configurazione solo utilizzando una serie di indirizzi IP debitamente autorizzati da un amministratore. Il rilevamento di violazioni alla sicurezza tramite contatti di allarme integrati o il protocollo SNMP consente, inoltre, di poter reagire con tempestività agli eventuali attacchi.

Le VLAN (Virtual Local Area Network), inoltre, permettono di separare a livello logico le reti connesse, anche se queste sono fisicamente collegate.
Un ulteriore livello di sicurezza è implementabile tramite i firewall e i router che, tramite una serie di regole di sicurezza, permettono di ottenere un elevato livello di protezione dei dati, in grado di soddisfare i requisiti di diverse tipologie di sistemi. Occorre considerare, infatti, che le esigenze possono variare notevolmente a seconda dell’ambiente in cui si deve implementare la sicurezza dei dati.
Per esempio, si può ottenere una maggiore sicurezza in alcuni ambiti utilizzando soluzioni di protezione decentrate e multilivello. Occorre infatti considerare che un firewall centrale che protegge l’intera rete aziendale o i link tra due reti non protegge però da potenziali minacce che invece provengono dall’interno della rete.

Per il decentramento, in un sistema di produzione, per esempio, si può ricorrere alla protezione separata della celle di produzione (come singole macchine o intere linee di produzione) ciascuna dotata di una propria soluzione di sicurezza specifica.
In diversi casi, inoltre, può risultare pratico abbinare le regole del firewall con la funzione 1:1 NAT che rende possibile il collegamento di macchine identiche, che condividono lo stesso spazio di indirizzamento IP, in una rete di livello superiore, eliminando così la necessità di configurare singolarmente ogni macchina.
Questo tipo di soluzione permette di avere diversi vantaggi, come per esempio l’eliminazione della necessità di configurare macchine e componenti separatamente e di modificare l’applicativo, ma anche la possibilità di avere funzioni di sicurezza aggiuntive e una maggiore semplicità per le operazioni di debugging.

L’IIM
Un altro elemento che consente di gestire i rischi legati alla sicurezza dei dati sono le soluzioni di gestione intelligente delle infrastrutture (IIM). Per quanto riguarda i più recenti sviluppi di queste soluzioni, occorre considerare che si sono notevolmente evolute negli ultimi anni seguendo la crescita di complessità delle reti IT. Occorre considerare, infatti, che le reti sono soggette a costanti espansioni e modifiche, anche a causa dei mutamenti nelle necessità delle aziende, per esempio per permettere le connessioni da parte di dispositivo mobili alla rete aziendale. Questo ovviamente rende più complesso garantire la sicurezza dei dati visto che diventa più difficile non soltanto identificare le persone e le operazione eseguite, ma anche la posizione da cui sono state eseguite.

A questo va aggiunto che non sempre gli attacchi alla sicurezza della rete dati provengono dall’esterno dell’azienda, ma, anzi alcuni dati statistici indicano che una parte di questi attacchi provenienti dall’interno della struttura e che una quota importante di questi attacchi non viene neppure rilevata. Altri attacchi sono inoltre involontari, per esempio causati da virus annidati nel portatile di un dipendente ignaro.
Tra i vantaggi delle soluzioni IIM ci sono anche le opportunità offerte dal punto di vista dell’incremento della sicurezza IT e dei dati. Una soluzione IIM, infatti, permette di ottimizzare la sicurezza a livello fisico di una rete dato che consente di identificare le connessioni e le operazioni, aggiornando un database della rete. In pratica consente di localizzare la posizione di un terminale e di intervenire rapidamente per contrastare una eventuale minaccia.

Fig. 2 – La sicurezza dei dati passa anche dall’infrastruttura, grazie a sistemi come quelli IIM che però richiedono soluzioni adeguate, come i pannelli di permutazione intelligente (SPP – Smart Patch Panels), per tenere sotto controllo le connessioni

Le opportunità offerte da un sistema di IIM su questo versante sono diverse: per esempio permette di avere l’indirizzo di rete degli apparati connessi, e lo stato di ogni connessione, ma può tracciare anche eventuali modifiche del livello fisico, come per esempio la disconnessione o la connessione di dispositivi non autorizzati. Questa rintracciabilità, inoltre, può essere utilizzata anche per verificare la conformità della rete alla normativa.

Recentemente Phoenix Contact ha annunciato i nuovi router/firewall della famiglia FL MGUARD RS dedicati alla protezione di reti di automazione contro accessi non autorizzati.
Queste unità, configurabili via web browser, consentono inoltre un accesso da remoto sicuro attr
averso l’utilizzo di tunnel VPN. In base al modello si possono attivare contemporaneamente fino a 10 tunnel VPN ma è possibile incrementare ulteriormente il numero di tunnel VPN contemporaneamente operativi.
Il Firewall integrato permette di definire le politiche di comunicazione permettendo, tramite opportuna configurazione, di consentire o limitare lo scambio dati da/verso l’impianto su solo determinate porte o in comunicazione con soli ben specifici dispositivi (specifica dell’indirizzo IP).
Altra caratteristica dei prodotti FL MGUARD RS è quella di integrare la funzione di routing 1:1 – NAT (Network Address Translation) che permette l’integrazione di più reti con medesimi indirizzi IP in una rete di livello superiore.

Tra le varie soluzioni di gestione intelligente dell’infrastruttura, c’è quella MapIT G2 di Siemon che è stata completata recentemente dai nuovi panelli di permutazione intelligente (SPP – Smart Patch Panels) angolati. I nuovi pannelli uniscono il monitoraggio intelligente integrato dell’infrastruttura ad una configurazione angolata, che facilita l’instradamento dei patch cord senza la necessità di rack aggiuntivi per la gestione del cablaggio ad alta densità. Questo consente anche di aumentare la densità nei data center e di ridurre sensibilmente i consumi di energia.
Progettati in modo specifico per gli utenti che pianificano una futura installazione di sistemi IIM, questi pannelli per il funzionamento intelligente e aggiornabili sul campo possono essere inizialmente installati come pannelli di permutazione standard e aggiornati in seguito con l’aggiunta dell’elettronica MapIT G2.

Francesco Ferrari

• 
• Tweet
• Pin It
• Condividi per email