Pochi giorni fa, davanti alle commissioni Affari Costituzionali e Difesa della Camera riunite in seduta congiunta, il Presidente dell’Autorità Garante della Privacy Antonello Soro ha richiamato l’attenzione sulla sicurezza delle reti. In particolare ha posto l’accento sulla necessità di proteggere non solo i terminali ma tutto il sistema nel suo complesso.
Il 2016 è stato un anno orribilis per gli attacchi informatici, con alcuni particolarmente insidiosi e pericolosi in grado di bloccare reti e nodi critici. Attacchi che spesso sono venuti dall’interno grazie a malware e insidie entrate sfuggendo a controlli perimetrali dimostratisi inefficaci.
Secondo Gartner il 2017 è cominciato con 8,4 miliardi di oggetti IoT interconnessi (+31% sul 2016), diventa pertanto indispensabile progettare reti in modo radicalmente diverso, non riusciamo più a pensare configurazioni di instradamento delle informazioni che siano rigide o quasi.
Il tema delle reti diventa ancor più nevralgico nel caso delle infrastrutture critiche nazionali dove vi è l’urgenza e la necessità di proteggere le reti, in particolare WAN, in modo da aumentarne la resilienza. Resiliente è una rete che in caso di problemi trova una configurazione che le consenta di funzionare lo stesso garantendo il servizio ai suoi utenti. Non è possibile pensare in anticipo che tipo di attacco verrà creato o proteggersi totalmente, è possibile progettare una architettura in grado di reagire e rispondere prontamente per assicurare il funzionamento dei servizi erogati.
Ci vengono in aiuto le SD-WAN (Software defined wide area networks), che sono architetture di nuova concezione in grado di monitorare costantemente l’operatività della rete e modificare le configurazioni in tempo reale per mettere in atto strategie di protezione e risposta.
Non è questa la sede per entrare nel dettaglio tecnico di queste tecnologie, tuttavia è utile conoscerle per prenderle in considerazione sia in termini di riduzioni dei costi (si parla di riduzione si a in termini di investimenti –CAPEX- sia in termini di esercizio –OPEX- fino al 60%), sia in termini di affidabilità e aumento della sicurezza.
Le reti software defined sono governate da una applicazione software che è in grado di monitorare continuamente ciò che accade e riconfigurarle in tempo reale. Questo permette di semplificare la configurazione attraverso delle policy che fissano livelli di servizio, qualità di servizio e caratteristiche dei flussi di informazioni tra i nodi della rete, lasciando poi al sistema di potersi autoadattare per soddisfarle.
In questo modo è necessario ripensare completamente i processi di gestione e tutti gli aspetti organizzativi normalmente adottati. Questo consente di ridurre i costi di gestione ma soprattutto di renderli più efficienti.
Le reti oggi non sono più così tanto a rischio da attacchi perimetrali ma spesso sono oggetto di attacchi sui punti nevralgici con l’obiettivo di renderle inservibili oppure estrarre informazioni segretamente. Avere reti in grado di autoadattarsi significa prendere azioni che consentano di rispondere a questi attacchi velocemente, anche di fronte ad attacchi non noti. La rete deve essere in grado di ottimizzare le connessioni per utilizzarle meglio, di spostare tutto o in parte il traffico sulle connessioni di backup, di valutare se interrompere o ridurre le performance di alcune connessioni per garantire quelle più critiche e importanti. Anche attraverso percorsi più lunghi, utilizzando vpn o altre connessioni di “fortuna”.
Anche le reti sdn sono possibile oggetto di attacco, in particolare da malware che potrebbero colpire le comunicazioni tra sistema centrale e gli apparati di rete o tra le applicazioni e il sistema centrale. Questo tipo di comunicazioni sono essenzialmente interfacce di programmazione, spesso open source o standardizzate e rese pubbliche. Tuttavia esistono meccanismi per rinforzare queste interfacce e aumentarne la sicurezza rendendo notevolmente arduo poter sfruttare queste tecniche.
Gli attacchi DDoS o comunque che tendono a colpire punti nevralgici sono “disinnescati” dal fatto che la rete può riconfigurarsi isolando o riconfigurando i settori colpiti lasciando che il resto possa riprendere il funzionamento.
Normalmente le architetture sdn sono fatte da un unico sistema centrale tuttavia, nel caso di reti che abbiano bisogno di elevata affidabilità, è possibile progettare architetture particolarmente resilienti, policentriche, con sistemi centrali ridondati o perfino distribuiti, anche esterni su piattaforme cloud.
A questo va aggiunto che le SD-WAN sono particolarmente adatte ad essere multivendor, ad adottare soluzioni open source e tecnologie diverse mettendo di fronte i potenziali attaccanti ad ambienti eterogenei che difficilmente possono avere la stessa vulnerabilità. Questo rende più difficile per gli hacker sfruttare singole vulnerabilità che pure possono esserci.
Questa capacità di essere resilienti e di essere affidabili e sicure si uniscono alla riduzione dei costi e ad una migliore ottimizzazione delle performance facendo sì che le reti SD-WAN abbiano una vera e propria esplosione. Gli analisti, tra il 2016 e il 2021, si attendono che il mercato delle sdn cresca del 76% mentre il routing tradizionale subisca una frenata del -28.1%.
Per affrontare le sfide delle infrastrutture critiche e della sicurezza delle reti è opportuno utilizzare al pieno quanto questa innovazione tecnologica può offrirci. Unita ai risparmi economici e ad una migliore ottimizzazione della banda, promette di diventare la più dirompente novità nel mondo delle reti degli ultimi 20 anni.
Un mercato guidato da soluzioni open source e startup unito a qualche vendor tradizionale che per essere affrontato necessita non solo conoscenza tecnologica ma capacità di disegno di architetture, analisi economiche di investimenti e gestione con i conseguenti savings, ridisegno dei processi che vada oltre ITIL e i normali framework di service management per adattarli alle situazioni specifiche sfruttando ogni singola opportunità tecnologica.
Nel tempo del cloud è possibile costruire reti sicure e affidabili, proteggere i sistemi IoT, proteggere le infrastrutture critiche, avere una attenzione ai costi. Il mondo delle reti sta per uscire da un mondo di sistemisti esperti di configurazioni per avvicinarsi al mondo delle enterprise architecture e degli ecosistemi. È importante partire da subito con fattibilità, studi, progetti, architetture ibride. La migrazione avrà i suoi tempi ma la sicurezza impone di essere più veloci degli attaccanti, le reti hanno smesso di difendersi solo con mura solide e devono ripensarsi.
