©2024 Akamai Technologies
Il cliente
Una grande università pubblica
Questa grande università pubblica gestisce oltre 100.000 studenti universitari e più di 17.000 dipendenti tra docenti e personale non docente dislocati nei suoi 24 campus.
La sfida
Centralizzare l'infrastruttura di rete in più di 600 edifici
Un'importante università pubblica desiderava integrare i sistemi di automazione dei suoi edifici in modo sicuro all'interno di un campus smart statale. Il team responsabile dell'impianto fisico e dei sistemi OT dell'università era preoccupato della mancanza di segmentazione necessaria per proteggere i suoi dispositivi e applicazioni, nonché della rimozione della rete IT dell'università dal suo stato di isolamento esistente. Di conseguenza, il team responsabile si è assunto l'ambizioso impegno di centralizzare i sistemi di automazione degli edifici e di migliorare la sicurezza.
Il responsabile del progetto dell'università ha spiegato: "Fino a circa due anni fa, tutti i campus erano praticamente isolati uno dall'altro. Il server applicativo principale era centralizzato, ma i controller dei singoli campus risiedevano sulle reti IT e non sempre erano segmentati su VLAN separate dal resto del traffico del campus". Pertanto, un attacco sferrato contro il sistema di controllo di un solo edificio poteva diffondersi facilmente sulla rete IT di un campus o viceversa.
Alla base del progetto, c'era anche un'altra ragione economica. "L'università voleva occuparsi degli aspetti energetici e vedere dove poter tagliare i costi", ha spiegato il responsabile del progetto, "ma non riuscivamo ad ottenere dati dai campus perché erano tutti sistemi autonomi uno dall'altro. Pertanto, dovevamo collegarli tra loro, ma in modo sicuro. Con le connessioni provenienti dai campus remoti nel nostro data center, il team è riuscito a creare una backdoor nella nostra rete per contrastare un potenziale attacco."
L'ambizioso progetto di riunire tutto nell'infrastruttura di rete condivisa ha riguardato oltre 600 edifici dislocati nei 24 campus dell'università. Il team Facilities Automation è stato scelto per eseguire il progetto. Tuttavia, l'estrema complessità dei sistemi di automazione dell'università e il numero dei vendor coinvolti ha presentato un'altra sfida importante.
"Gestiamo i sistemi di elevazione, l'HVAC, l'analisi delle vibrazioni, l'illuminazione, la distribuzione dell'elettricità e i contatori elettrici. Inoltre, dobbiamo considerare tutte le nostre utenze, tra cui la generazione di vapore, la distribuzione dell'elettricità e il trattamento delle acque di scarico. Ci serviamo di oltre 260 appaltatori che lavorano su questi sistemi in tutte le varie aziende",
Tutti questi vendor dovevano accedere alla rete senza introdurre rischi né interferire con i sistemi di controllo l'uno dell'altro.
Ci servivano una visibilità del traffico est-ovest e policy centralizzate
Ci siamo serviti di Tempered Networks, un provider di servizi di sicurezza focalizzati sui sistemi di controllo intelligenti e sulle reti dell'IoT (Internet of Things) per stabilire le connessioni nord-sud tra i campus remoti e il data center principale dell'università. Una volta tamponato questo problema, l'università doveva comunque affrontare la questione di proteggere oltre 300 server in esecuzione nel data center.
"Stavamo cercando soluzioni in grado di gestire il traffico est-ovest, ma nessuna di esse era semplice e intuitiva come volevamo", ha ricordato il responsabile del progetto dell'università.
"Avevamo bisogno di trovare qualcosa di semplice da gestire da un'unica posizione, oltre a un modo per creare set di regole in base al tipo di applicazione. È qui che [Akamai] è entrato in gioco."
Il team ha scoperto Akamai quando ha conosciuto il suo strumento di simulazione di violazioni e attacchi Infection Monkey. La soluzione Infection Monkey aiuta gli operatori del data center a valutare la resilienza dei loro ambienti agli attacchi post-violazione e al movimento laterale.
Un sistema di gestione del firewall non può competere con [Akamai].
Responsabile del progetto dell'università
La soluzione
La piattaforma di sicurezza Akamai Guardicore Segmentation
Una volta scaricata la piattaforma e averla iniziata a usare, il team si è reso conto che Akamai Guardicore Segmentation poteva risolvere i problemi rimasti irrisolti con Infection Monkey.
Akamai Guardicore Segmentation è una delle poche soluzioni oggi disponibili sul mercato incentrata principalmente sulla segmentazione. Questa soluzione consente agli operatori di definire, creare e implementare facilmente le policy di sicurezza per gestire le comunicazioni tra applicazioni singole o raggruppate in modo logico.
Nella prima presentazione all'università, il team Akamai ha dimostrato le esclusive funzionalità di visualizzazione della sua piattaforma. Con Akamai Guardicore Segmentation, gli operatori del data center possono vedere tutte le applicazioni in esecuzione nel loro ambiente e mappare graficamente le dipendenze che le interessano.
"Questo processo ha funzionato immediatamente per noi. Sapevamo esattamente ciò che ci serviva."
Una piattaforma distribuita e integrata che semplifica la sicurezza
"Alcune persone hanno l'assoluta convinzione che il firewall possa risolvere qualsiasi problema di sicurezza", ha osservato il responsabile del progetto. "Con la gestione centralizzata dei firewall, è necessario comunque configurare le regole per ogni singolo firewall. Con Akamai, potete creare un gruppo di applicazioni e far interagire questi sistemi uno con l'altro".
I firewall presentano anche problemi di costi, risorse e fattibilità. "La gestione di tutti questi firewall sarebbe stato un incubo. Probabilmente, ci sarebbe servita una mezza dozzina di persone solo per implementare il sistema e assicurarsi che non ci fossero problemi, poi almeno due persone dedicate per gestire tutto".
Inoltre, i firewall non hanno la flessibilità necessaria per impostare e modificare le policy a livello di applicazione.
"Con [Akamai], possiamo ascoltare per un po’ cercando di capire ciò che succede tra i sistemi e perché potrebbero avere necessità di comunicare. Con i firewall non ci sono mezze misure. Un firewall blocca tutte le porte e basta".
La microsegmentazione con una gestione semplice e centralizzata
La velocità e la semplicità con cui i membri del team possono creare e implementare le regole sono state indicate come un altro notevole vantaggio.
"Il primo giorno in cui abbiamo lanciato l'iniziativa, la soluzione è stata installata in alcuni punti, quindi abbiamo cercato di creare una policy per bloccare la visibilità tra i vendor. In un attimo, la soluzione ha bloccato il primo vendor, dimostrando che questo prodotto era proprio quello che stavamo cercando", ha commentato il responsabile del progetto.
Gli strumenti e la metodologia di microsegmentazione di Akamai non richiedono competenze avanzate. "Disporre di qualcosa di abbastanza semplice da cui tutto il team può trarre vantaggio è stato per me un grande successo".
Non appena l'abbiamo installato, il team è riuscito a comprenderlo, implementarlo e apportare alcune regole di sicurezza integrate.
Responsabile del progetto dell'università
La visibilità ottenuta con Akamai aveva l'ulteriore vantaggio di far emergere le anomalie operative presenti nel data center. "Abbiamo individuato un servizio di stampa in grado di connettersi ad una rete non nostra", ha raccontato il responsabile del progetto. "Quando siamo riusciti a monitorarlo, ci siamo resi conto che si trattava della sessione desktop remota di un utente in grado di disconnettersi senza terminare mai, continuando a cercare di rispondere al server di stampa sul PC. Se il PC venisse violato, potrebbe potenzialmente riaprire un varco per il server applicativo".
I risultati
Il team dell'università ha deciso di cercare una soluzione di microsegmentazione intuitiva. Con Akamai, l'hanno trovata insieme a molto altro.
Ora che il team usa attivamente la soluzione Akamai, l'università sta già prevedendo ulteriori miglioramenti alla sicurezza e maggiori livelli di efficienza resi possibili dalla soluzione.
"Un futuro progetto sta automatizzando moltissime funzionalità della rete in caso di incidenti. Ad esempio, se venisse rilevato un indirizzo MAC o un access point fittizio proveniente da un edificio, potremmo usare Akamai Guardicore Segmentation per inviare un comando alla soluzione Tempered Networks per bloccare l'edificio, quindi inviare un avviso a un operatore per rimediare al problema e cercare di capire cosa è successo. Finora, non abbiamo avuto questa capacità di rilevamento".
La piattaforma Akamai ha consentito al team Facilities Automation di raggiungere il livello di sicurezza desiderato più rapidamente e facilmente di quanto previsto. "Non abbiamo mai realmente avuto uno strumento proattivo come questo, in grado di monitorare costantemente tutto", ha spiegato il responsabile del progetto.
Il team non è costretto a monitorare il traffico del data center est-ovest perché ci pensa Akamai. "Voglio che il nostro team possa concentrarsi sul suo lavoro, ossia aiutare l'università a risparmiare energia e denaro. Non possiamo focalizzarci su questo aspetto se dobbiamo preoccuparci di cosa succede nel data center".
"Volevamo qualcosa di semplice da gestire nel lungo periodo e, finora, [Akamai] ha superato le nostre aspettative. Fa ciò che promette."