Cos’è il controllo accesso di rete (NAC)?
Il controllo dell’accesso alle risorse digitali è una funzionalità di sicurezza IT critica per le organizzazioni. Le soluzioni di controllo accesso di rete (NAC) consentono all’IT di autorizzare o impedire a utenti e dispositivi l’accesso alle risorse della rete. Queste soluzioni ricoprono un ruolo importante nel fornire l’accesso con privilegi minimi alle risorse, un requisito di base delle strategie di sicurezza zero trust.
Descrizione del controllo accesso di rete
Perché il controllo accesso di rete è importante?
- Sicurezza: il controllo accesso di rete protegge le risorse da manomissioni e furti da parte di utenti malintenzionati. Le soluzioni NAC garantiscono che solo gli utenti e i dispositivi con le autorizzazioni appropriate possano accedere alla rete e alle relative risorse. Inoltre, alcune soluzioni NAC sono in grado di identificare soggetti che potrebbero partecipare a un attacco e di mettere in quarantena o bloccare l’accesso di tali soggetti in attesa di ulteriori indagini. Questa funzionalità consente di prevenire la diffusione di attacchi.
- Privacy: le organizzazioni gestiscono volumi di dati sempre maggiori e di tipi più diversi. Alcuni di questi dati sono sensibili e/o riservati. Le soluzioni di controllo accesso di rete consentono alle organizzazioni di definire chi, cosa, quando e come può accedere ai dati sulla rete per ridurre il rischio di violazioni.
- Compliance: le organizzazioni regolamentate devono spesso conformarsi a obblighi in materia di privacy e protezione dei dati, come il Regolamento generale sulla protezione dei dati (GDPR), l’Health Insurance Portability and Accountability Act (HIPAA) e il Sarbanes-Oxley (SOX). Le soluzioni NAC aiutano le organizzazioni a rispettare tali obblighi limitando l’accesso ai dati, mantenendo il traffico sicuro e separato, oltre a fornire log e report per gli audit.
Come funziona il controllo accesso di rete?
Il controllo accesso di rete si basa sul concetto che a utenti e dispositivi (soggetti) diversi debbano essere concessi tipi di accesso diversi in base alle esigenze. La granularità si riferisce al livello di dettaglio con cui è possibile definire un soggetto, le sue esigenze e applicare le autorizzazioni di accesso associate. I controlli accesso di rete altamente granulari sono un componente chiave degli approcci alla sicurezza zero trust che prevedono di limitare l’accesso di un soggetto solo alle risorse necessarie per svolgere le sue mansioni o assolvere la sua funzione.
Per proteggere efficacemente le risorse, le soluzioni di controllo accesso di rete devono fornire diverse funzionalità intercorrelate attraverso una combinazione di tecnologie.
Elementi del controllo accesso di rete
Funzionalità | Funzione | Tecnologie |
---|---|---|
Visibilità | Sapere chi e cosa è connesso alla rete in qualsiasi momento | Data collector fisici o virtuali; metodi di individuazione attivi (NMAP, WMI, SNMP, SSH) e passivi (SPAN, DHCP, NetFlow/S-Flow/IPFIX); profilazione dei dispositivi assistita da AI/ML; ispezione approfondita dei pacchetti |
Autenticazione | Accertare con sicurezza che un utente o un dispositivo è chi/cosa dichiara di essere | Autenticazione 802.1x; EAP-TLS, RADIUS, TAC-ACS; autenticazione a più fattori; certificati |
Definizione delle policy | Definire regole per utenti e dispositivi riguardanti le risorse a cui possono accedere e in che modo | Tool di scrittura di regole, che possono includere parametri concettuali come ruolo, tipo di dispositivo, metodo di autenticazione, integrità del dispositivo, schemi di traffico, posizione e ora del giorno |
Autorizzazione | Determinare le regole appropriate per l’utente o il dispositivo autenticato | |
Applicazione | Autorizzare, negare o revocare l’accesso di un utente o di un dispositivo autenticato a una risorsa in base a una policy appropriata | Integrazione e comunicazione bidirezionale con firewall e altri tool di sicurezza |
Quali sono esempi di controllo accesso di rete?
Le soluzioni NAC forniscono l’accesso sicuro alle risorse nell’intera organizzazione. Ad esempio, un ospedale usa una soluzione NAC per profilare, proteggere e gestire la connettività dei dispositivi IoT autorizzati, escludendo gli altri. Un centro logistico usa una soluzione NAC per autenticare ogni dispositivo cablato e wireless che accede alla rete, come i robot e per implementare policy coerenti basate sui ruoli. Un sistema scolastico usa una soluzione NAC per autenticare studenti, docenti, personale e ospiti e per applicare una segmentazione granulare del traffico in base a regole definite.
Per che cosa viene usato il controllo accesso di rete?
Le soluzioni NAC come HPE Aruba Networking ClearPass possono soddisfare diversi casi d’uso di connettività sicura all’interno delle organizzazioni:
NAC per ospiti e dipendenti a tempo determinato | Con ClearPass Guest gli addetti alla reception, i coordinatori di eventi e il resto del personale non IT possono creare in modo facile ed efficiente account temporanei di accesso alla rete per un numero illimitato di ospiti al giorno. ClearPass Guest offre anche un portale di registrazione self-service personalizzato per consentire ai visitatori di creare le proprie credenziali che vengono quindi memorizzate in ClearPass per periodi di tempo predeterminati e impostate per la scadenza automatica. |
NAC per il modello Bring Your Own Device (BYOD) | ClearPass Onboard esegue automaticamente la configurazione e il provisioning dei dispositivi mobili per una connessione sicura alle reti aziendali. I dipendenti possono configurare autonomamente i loro dispositivi con i passaggi di una registrazione guidata e le istruzioni per la connettività. A ogni dispositivo vengono applicati certificati univoci in modo tale che gli utenti possano connettere i propri dispositivi in sicurezza interagendo al minimo con l’IT. |
NAC per la valutazione della postura di sicurezza degli endpoint | ClearPass OnGuard esegue la valutazione della postura di endpoint/dispositivi per garantire che i requisiti di compliance e sicurezza siano soddisfatti prima che si connettano alla rete aziendale, consentendo alle organizzazioni di evitare di introdurre vulnerabilità nei loro ambienti IT. |
NAC per dispositivi Internet of Things (IoT) | ClearPass Device Insight garantisce la visibilità completa dei dispositivi connessi alla rete con punteggio di rischio e machine learning per identificare i dispositivi sconosciuti e ridurre i tempi di identificazione. ClearPass Device Insight monitora inoltre il comportamento dei flussi di traffico per una maggiore sicurezza. ClearPass Policy Manager esegue la profilazione dei dispositivi che tentano di connettersi alla rete e fornisce l’accesso alla rete in base ai ruoli e al dispositivo secondo le regole configurate dall’IT. |
NAC per dispositivi cablati | ClearPass OnConnect fornisce il controllo di accesso sicuro per dispositivi cablati come stampanti e telefoni VoIP che non vengono autenticati con le tecniche 802.1x. |
NAC cloud native | HPE Aruba Networking Central Cloud Auth si integra con i comuni archivi di identità cloud per offrire policy basate su cloud di onboarding e sicurezza in base ai ruoli per utenti e dispositivi. |
Come scelgo una soluzione di controllo accesso di rete?
Per la scelta di una soluzione NAC, devono essere considerati i seguenti aspetti:
- interoperabilità e caratteristiche vendor neutral per evitare componenti aggiuntivi costosi e la dipendenza da un fornitore
- dimostrata capacità di mantenere il traffico sicuro e separato
- disponibilità di servizi per supportare i massimi uptime e la continuità operativa
- scalabilità per supportare centinaia di migliaia di endpoint simultanei
- leadership di mercato e indicazioni che riconoscono la capacità di ridurre il rischio informatico, ad esempio Cyber CatalystSM di Marsh