Controllare e gestire le attività e i device dei consulenti all’interno della propria infrastruttura

Michele Fiorilli

Armis - Solution Architect

Data pubblicazione: 28 mag 2018

Elementi come la verifica di chi sta accedendo alla nostra infrastruttura, che tipo di device si stanno utilizzando, la sicurezza degli endpoint rappresentano sicuramente dei punti essenziali nel costruire il nostro modello di IT Security; in particolare considerando l’attuale scenario normativo (primo fra tutti il GDPR ormai in vigore) per la gestione ed il controllo dei dati e delle informazioni che la nostra azienda utilizza è necessario trovare un modo semplice ed efficace per mettere in sicurezza le attività dei consulenti, utenti esterni, ed in generale di aziende terze che quotidianamente lavorano sui nostri sistemi.

Da un punto di vista tecnico queste utente portano all’interno della nostra rete device potenzialmente pericolosi di cui non si ha alcuna visibilità. Si possono avere casi limiti in cui le postazioni lavoro dei dipendenti interni sono assolutamente “hardenizzate”, configurate con tutte le patch e gli aggiornamenti di antivirus possibili mentre sui dispositivi dei “dipendenti esterni” non si ha alcun vincolo di sicurezza.

Nonostante il NAC (Network Access Control) rappresenti sicuramente la soluzione migliore e completa per differenziare l’accesso in base ad utente, device, stato di sicurezza etc..; è possibile realizzare in tempi molto brevi una soluzione estremamente semplice e flessibile basata sulla soluzione PulseSecure PCS (Pulse Connect Secure).

In pratica si delegano i consulenti su un SSID/rete specifica (ad esempio Wifi-Consulenti), con questo tipo di connessione i device connessi potranno accedere ad Internet per la posta e per l’utilizzo di servizi cloud.

Quando, invece, dovranno accedere a sistemi ed informazioni private della nostra aziende gli utenti dovranno utilizzare un accesso al PCS , quindi si autenticheranno, saranno profilati e sarà effettuare il controllo di postura del device.

Il servizio di secure access cosi realizzato consente di:

Loggare e tracciare le connessioni alle risorse esterne dall’interno
(Controllare lo stato di sicurezza del dispositivo che si connette (ad esempio presenza antivirus, patch OSS, personal firewall, vulnerabilità ai moderni cryptolocker, etc..)
Creare dei portali di accesso differenti per tipologia di azienda, come Myitranet_Azienda_A e Myintranet_Azienda_B, magari con differenti sistemi di autenticazione e differenti controlli sul tipo di dispositivo (a secondo meno se sono trattati dati e applicazioni “critiche”).

Differenziare i servizi disponibili, ad esempio posso avere un gruppo di consulenti (azienda1) che devono fare configurazione e gestione del mio network e quindi dopo l'autenticazione dovranno accedere solo a router, device, sistemi, etc.. e avranno dunque un portale costruito come riportato in figura successiva

Gli “user” che invece rappresentano “consulenti fidati” che devono avere un accesso completo alle mie risorse avranno un loro differente portale di autenticazione ed un accesso (dopo la profilatura) in modalità layer 3 (completo).

La soluzione è estremamente flessibile e include fra gli altri i seguenti vantaggi

· disaccoppiamento dell’accesso ai sistemi dalla locazione fisica, offrendo quindi una completa flessibilità in termini di postazioni lavoro / presenza in sede / attività effettuate presso la propria società; sarà infatti possibile realizzare lo stesso tipo di servizio di accesso controllato e diversificato per i consulenti sia che questi stiano accedendo dalla rete interna che dall’esterno del nostro network (sede aziendale, public internet, etc..)

· utilizzare la stessa infrastruttura anche per realizzare il servizio di smartwork per i nostri dipendenti (con lo stesso livello di controllo e di semplicità di gestione).

In questo contesto è opportuno sottolineare che le soluzioni PulseSecure (www.pulsesecure.net) lavorando su licenze incrementali sono estremamente versatili e flessibili; è infatti possibile iniziare la realizzazione del servizio per un numero limitato di utenti per poi espanderlo soltanto tramite l’aggiunta di licenze incrementali.

Controllare e gestire le attività e i device dei consulenti all’interno della propria infrastruttura

Michele Fiorilli

Armis - Solution Architect

Altri articoli di questo autore

Altre pagine consultate

Quando il personale è mobile, la sicurezza è piuma al vento.

VPN e ZTNA (Zero Trust) – Due approcci al problema della Sicurezza da Remoto

BlackBerry security solutions

Endpoint: cosa sono e perché sono fondamentali per la sicurezza informatica

Sophos, una scommessa vinta

Addio alle violazioni ai sistemi ed ai colli di bottiglia con i Next-Generation Firewall serie 2100 di Cisco

VPN ? No grazie, Zero Trust è il futuro.

Tuteliamo la rete aziendale

Utilizzo di VPN: I benefici delle VPN per la Sicurezza e la Privacy

Soluzioni integrate per una sicurezza a prova di attacco

Il ruolo di Armis all’interno Framework Nazionale per la CyberSecurity e la Data Protection 2.0

25 nov 2022

Fusion - la soluzione Open XDR di Exabeam

19 mag 2021

Exabeam e le principali sfide per garantire la sicurezza dei dati nel cloud, alcune osservazioni dal field

19 apr 2021

Come Exabeam approccia i movimenti laterali

3 mar 2021

Exabeam Threat Intelligence

22 feb 2021

Come migliorare la tua soluzione di SIEM

1 feb 2021

L’evoluzione del NAC, dal Network Access Control alla Network Segmentation dinamica, per arrivare ad un modello ZTNA

18 nov 2019

Il Controllo degli accessi di rete (NAC) in un moderno contesto di IT Ibrido

23 lug 2019

Policy ed enforcing dinamico sui NGFW: dall'endpoint al datacenter

2 lug 2019

Ambienti Hydrid IT adozione modello Zero Trust e possibile evoluzione verso SDP

15 mar 2019