Vai ai contenuti

Menu principale:

CASI DI SUCCESSO


RINNOVO IMPIANTO DI RETE E SICUREZZA PERIMETRALE
AD ELEVATO LIVELLO DI RESILIENZA

02 Marzo 2020


In questa sezione prendiamo in considerazione il caso di un'azienda manifatturiera friulana high-tech, che opera in tutto il mondo, nell'ambito dell'automazione.
Nel nostro intervento abbiamo affrontato tre necessità:

  • Il miglioramento della sicurezza ICT perimetrale.
  • L’aggiornamento degli attuali Switch di Core, in seguito ad una crescita aziendale.
  • L’ottimizzazione delle comunicazioni di rete e delle politiche di sicurezza.

In merito alla IT Security,  ci siamo affidati a Watchguard con una soluzione di firewall ridondata in HA.
Abbiamo individuato, come scelta ottimale, i modelli Firebox M370, con l'attivazione dei servizi Basic Security Suite. Dal punto di vista commerciale abbiamo utilizzato la campagna promozionale Red Instead, Competitive Trade In, che prevede un incentivo economico per le aziende che decidono di "rottamare" dispositivi di altri produttori.

Per la parte degli Switch, ci siamo affidati a degli apparati Cisco Catalyst (tre) in modalità Stack con 48 porte 10/100/1000 +POE e 4 porte SFP1000/10000 ad apparato.
 
Ogni Switch è poi dotato di doppio alimentatore, per garantire ridondanza anche dal punto di vista elettrico.


Ottimizzazioni adottate e tecnologie implementate:

1.       L’ottimizzazione degli apparati:
L’impianto originale presentava alcune criticità dovute all’utilizzo di apparati Switch non omogenei e con un singolo Firewall. In particolare, avevamo due Switch di core di un modello, un secondo Switch di altro modello, due Switch di modello e marca differenti e uno Switch di piccole dimensioni. In tutto 6 apparati, alcuni interconnessi a solo 1000Mbps/s. Con la nostra nuova soluzione abbiamo ridotto gli Switch a tre apparati, interconnessi fra loro a 64000Mbps/s, ogni Switch Cisco Catalyst inoltre ha doppio alimentatore. A questo abbiamo adottato una soluzione Firewall in modalità Active/Passive con Watchguard.

2.       Routing:
L’implementazione delle VLAN, segmentando il traffico delle varie zone era già presente. Abbiamo comunque rivisto interamente tutte le VLAN, personalizzando ed ottimizzando tutte le Network presenti.
Tutto il Routing delle VLAN è stato dato in gestione agli Switch Cisco Catalyst, ottimizzando le performance delle connessioni di Inter-VLAN Routing.
Tutto il Routing interno viene poi gestito dal protocollo di OSPF.

3.       I Firewall:
La configurazione dei due Firewall è particolarmente complessa.
Abbiamo scelto di intestare i due Firewall M370, già in modalità HA, a tutti e tre gli Switch Cisco Catalyst. Utilizzando la tecnologia 802.3ad (LACP), garantiamo la perfetta funzionalità delle connessioni da e verso internet, anche in caso di guasto di due dei tre Switch Cisco Catalyst presenti.
Questa soluzione ha un’altissima performance in termini di larghezza di banda, ben 3000Mbps/s verso il Firewall, le DMZ e tutte le Network.
La connessione del Firewall al sistema di autenticazione permette inoltre di basare le policy di controllo per le connessioni verso internet, non solo basandosi su l’indirizzo IP della postazione (situazione classica), ma riconoscendo l’utente collegato e applicando le restrizioni o i permessi specifici per l'utente stesso o gruppo di utenti.
In questa modalità la gestione delle policy è nettamente più efficiente potendo garantire l’applicazione delle restrizioni o dei permessi in modalità specifica e puntuale.
Le funzionalità di questi UTM che operano a Layer 7, garantiscono una sicurezza perimetrale di alto livello, potendo contare inoltre su tecnologie di:

Gateway Antivirus per l’intercettazione e neutralizzazione dei virus che possono annidarsi all’interno di pagine web, servizi FTP esterni o messaggi di posta elettronica.
WebBlocker per la classificazione dei siti Internet visitati con la capacità di bloccare l’accesso a siti pericolosi o limitare l’accesso a risorse come Social Network.
SPAM Blocker a tutela dei servizi di posta elettronica per limitare la quantità di SPAM a cui sono soggetti i server.
Sistema di Prevenzione delle Intrusioni (IPS) a tutela dei servizi esposti su Internet da minacce ed attacchi basati su firme note.
Application Control offre un efficace meccanismo di tutela e controllo dell’utilizzo delle applicazioni in rete, con possibilità di inibizione del traffico o limitazione del suo consumo di banda.
Data Loss Prevention che estende la protezione dei dati dall’end-point utente al perimetro aziendale a tutela della perdita, accidentale o meno, dei dati per esfiltrazione.
APT Blocker come estensione del servizio AntiVirus offre una protezione aggiuntiva ed efficace basata su un’analisi in cloud delle minacce come i ransomware.
Reputation Enabled Defence che verifica in tempo reale la “reputazione” dei siti Internet a cui accedono gli utenti per determinare il grado di pericolosità o verificare che non si tratti di un sistema appartenente ad una BotNet.








Resilienza della soluzione:

La soluzione progettata e adottata, garantisce un’elevatissima resilienza potendo rimanere attiva con la perdita di due su tre apparati di rete Switch Cisco Catalyst.
Inoltre, la tecnologia degli apparati M370 in HA di Watchguard utilizzata in questo impianto, garantisce la continuità di servizio e connessione da e verso internet, anche alla perdita di uno dei due Firewall.
In sostanza la soluzione prescelta, implementata e ora in linea, dà la possibilità di una continuità di servizio di Rete, di Routing, di accesso a tutti i Server e Internet anche con un guasto simultaneo di due Switch Cisco Catalyst e un Firewall M370.
Con tre apparati simultaneamente guasti su cinque, abbiamo comunque garantito l’accesso alle VM del cliente, l’accesso alle DMZ e l’accesso ad Internet.
Per concludere, le tecnologie utilizzate di Dynamic Routing come OSPF implementate sia sui Firewall Watchguard M370 sia sugli Switch Cisco Catalyst, l’implementazione delle VLAN (802.1q), l’utilizzo delle tecnologie di Dynamic Link Aggregation 802.3ad (LACP), le tecnologie di ridondanza dei Gateway VRRP, la possibilità dell’utilizzo di tecnologie NAC (Network Access Control), con autenticazione 802.1x, permettono la realizzazione di un impianto ICT tecnologicamente completo, scalabile, preformante e altamente resiliente.

Infostar S.r.l. © 1999-2020 | P.I. e Cod. Fisc. IT02125890307 | Cod. Fat. SUBM70N | Registro Imprese di Udine Iscriz. REA: 237841
S.S. Pontebbana 54/E | 33017 | Collalto di Tarcento (UD) | Tel 0432 783940 | Informativa Privacy / Cookie | Capitale sociale Euro 100.000,00 i.v.
Torna ai contenuti | Torna al menu