Indipendentemente dal comparto, dalla dimensione, dal verticale di appartenenza e dal modello infrastrutturale scelto (on-premise/cloud), le aziende oggi sono ben consapevoli della centralità delle applicazioni per garantire il buon funzionamento dei processi e l’erogazione dei servizi e di come esse rappresentino davvero il “core” da proteggere. Bastano pochi esempi: si pensi alle piattaforme per l’e-commerce, ai tool per la produttività, alle stesse applicazioni critiche utilizzate per la gestione dei processi.
Proteggere le applicazioni, la sfida
E’ grazie al software applicativo che vengono gestite le fasi di generazione del valore ed è grazie alle applicazioni che è possibile stabilire una relazione duratura con i clienti, indipendentemente dai canali utilizzati.
Tuttavia, proprio gli scenari infrastrutturali frammentati come quelli attuali – con parte dei servizi erogati in cloud e parte on-premise – rendono un task complesso gestire correttamente l‘aggiornamento delle applicazioni e l’allineamento delle policy di security. Non solo, tante applicazioni, per generare valore, hanno bisogno di dialogare con le app dei partner e dei servizi di terze parti, attraverso le API, e questo determina naturalmente l’estensione della superficie “vulnerabile” o comunque sotto l’attenzione di un eventuale attaccante.
I cicli rapidi di sviluppo, garantiti da un approccio DevOps, rendono le applicazioni soggette a rapidi cambiamenti e di conseguenza anche le policy di sicurezza devono adeguarsi. E’ davvero complesso proteggerle a fronte della varietà crescente di attacchi e metodi, e mitigare in tempo reale le conseguenze delle minacce, tenendo alto il livello di sicurezza, ma allo stesso tempo evitando di limitare funzionalità ed efficienze. Se poi si pensa di affrontare il problema sulla base dell’attività “manuale” del team IT facile comprendere il problema anche solo considerando la mancanza di competenze preziose ed i costi operativi.
Radware, una proposta adattiva e agnostica
La proposta di Radware per la protezione delle applicazioni si qualifica per due caratteristiche principali: è adattiva e trasparente rispetto al bisogno di efficienza dei processi. Soprattutto, la proposizione Radware nel suo insieme, comprensiva di Web Application Firewall, gestione bot, protezione delle API e delle applicazioni, con i servizi di protezione dagli attacchi DDoS, indirizza in modo completo i bisogni aziendali, offrendo di fatto lo stato dell’arte di quanto è disponibile sul mercato per un approccio completo al tema, preservando l’agilità del business.
Andando solo un poco più in profondità, la proposizione Radware si qualifica per l’esteso ambito di protezione in linea con gli indirizzi dell’Open Web Application Security Project (OWASP), progetto open-source che ha l’obiettivo di realizzare linee guida, strumenti e metodologie per migliorare la sicurezza delle applicazioni.
Il metodo
Radware propone protezione integrabile in modo semplice già nel ciclo di sviluppo, così da consentire il continuo allineamento di protezione e app qualsiasi sia il cambiamento apportato alle applicazioni, senza impatti negativi sulla fluidità del business. La disponibilità di un team dedicato – il Radware’s Emergency Response Team – consente alle aziende di beneficiare dei servizi gestiti per ridurre i falsi positivi, mitigare gli attacchi e verificare la configurazione delle policy (i cui aggiornamenti sono automatizzati) e rappresenta un evidente ulteriore vantaggio. Senza contare che il tipo di protezione offerto è “consistente”, in quanto abilita lo stesso livello di protezione olistica necessario sia alle app on-premise, come a quelle su private e public cloud. I team IT possono contare inoltre su un’elevata visibilità, grazie alla disponibilità di dashboard, analytics, sistemi di controllo, etc.
Semplicità di gestione e la possibilità di scalare la sicurezza per le applicazioni in relazione alla crescita del business ed all’espansione degli ambienti e dei servizi chiudono il quadro.
Un’offerta a 360 gradi, l’analisi in dettaglio
L’offerta Radware, compatibile con qualsiasi architettura aziendale, comprende la protezione di qualsiasi tipo di asset digitale, tramite WAF (Web Application Firewall), qualsiasi ambiente sfrutti l’applicazione (Kubernetes compreso, oltre ovviamente a tutte le tipologie di cloud e di infrastruttura on-premise). I servizi Radware sono in grado di distinguere tra bot funzionali e bot malevole, a protezione dei siti Web, delle app mobile e delle API, così da assicurare una migliore user experience, e favorire la crescita del Roi in relazione al traffico “buono”. Viene offerta copertura per oltre 150 vettori di attacco, inclusi i top 10 OWASP (come accennato), le vulnerabilità API, e le più importanti minacce alle Web Applications.
Per quanto riguarda la protezione delle API in particolare, Radware combina analisi comportamentale e automazione delle policy per assicurare la migliore protezione anche nel caso di attacchi sofisticati ed evoluti. Le funzionalità di analisi basate sul machine learning contribuiscono a ridurre del tutto l’esposizione alle minacce zero-day, con i sistemi di protezione DDoS in grado di ridurre al minimo, tempi di detection e mitigazione, sulla scorta di una tecnologia evoluta e sofisticata keyless e agentless.
L’analisi pilastro per pilastro della proposizione Radware, a partire dagli strumenti e dai servizi di protezione propone poi una serie di rilievi interessanti. Per esempio, per quanto riguarda la proposta WAF (Web Application Firewall), Radware utilizza un modello in grado di apprendere automaticamente dai modelli di comportamento delle attività legittime degli utenti, sulla scorta delle quali genera policy di sicurezza su misura, per consentire l’attività bloccando le azioni che deviano da questi modelli.
La combinazione di modelli di sicurezza negativi e positivi di Radware fornisce un livello completo di protezion, abbiamo visto, contro le prime 10 minacce OWASP e gli attacchi zero-day che i tradizionali WAF non potrebbero fermare, poiché si basano solo su elenchi di firme di attacco note. Per quanto riguarda la protezione API, Radware offre una soluzione completamente automatizzata a tutela di app, API, piattaforme di sviluppo e infrastruttura.
La proposta mappa la superficie di attacco sfruttando un algoritmo di rilevamento automatizzato che individua l’API da proteggere e le policy di sicurezza personalizzate necessarie per rilevare e bloccare gli attacchi. Viene utilizzata una combinazione di controlli di accesso, per prevenire la fuga di dati, ed è garantita l’armonia e la coerenza con le attività gestione dei bot e gli strumenti di mitigazione DDoS.
Radware Bot Manager, infatti, rileva e distingue con precisione il traffico umano e i bot validi da quelli malevoli per la protezione di traffico, app, app mobili e delle API; sfrutta per questo anche una bot intelligence collettiva e fingerprinting di browser, dispositivi e macchine. Si previene in modo intelligente quindi il furto di account, il credential stuffing, gli stessi DDoS, etc. La protezione Radware dagli attacchi DDoS, che abbiamo analizzato in uno specifico contributo, ancora una volta fa leva su un approccio comportamentale e la tecnologia keyless rende unica l’efficacia della protezione dagli attacchi Ssl in cloud. Le aziende possono implementare i servizi di protezione dagli attacchi DDoS secondo le specifiche esigenze per proteggersi da un’ampia varietà di minacce.
Una rete cloud globale per la protezione delle applicazioni
In più punti abbiamo accennato alla specificità del modello di protezione As a Service di Radware. E’ possibile grazie alla rete globale diffusa dell’azienda per l’erogazione dei servizi. Radware presidia i principali snodi del traffico ed è collegata direttamente agli ISP di primo livello; può offrire protezione in prossimità della presenza dei server dei suoi clienti, per garantire bassi tempi di latenza e impatto minimo sulle prestazioni.
Radware SecurePath, in particolare, è l’architettura innovativa per la sicurezza delle applicazioni cloud, basata su API, e progettata per proteggere le applicazioni distribuite su qualsiasi cloud o data center, on premise o in ambienti cloud privati o cloud pubblici. Permette di implementare i servizi di protezione delle applicazioni di Radware in linea.
In questo modo è possibile fare in modo che le richieste passino direttamente dal client al server delle applicazioni senza interruzioni. Questo approccio innovativo offre numerosi vantaggi, tra cui appunto latenza ridotta e nessuna condivisione delle chiavi crittografiche perché i certificati SSL vengono gestiti esclusivamente all’origine. Non è necessario nemmeno reindirizzare il traffico, né apportare modifiche all’instradamento del Domain Name Server (DNS) o del Border Gateway Protocol (BGP). Ed anche in questo caso le richieste dal client arrivano direttamente al server delle applicazioni, mentre solo le copie dei parametri di transazione vengono inviate ai sistemi di Radware.
Il traffico non viene ispezionato in linea, e i clienti non percepiscono quindi rallentamenti o inefficienze e, di fatto, non si rilevano i problemi tipici generati dai colli di bottiglia.
Ai clienti che desiderano combinare l’offerta di sicurezza per le applicazioni Web con il delivery del proprio sito Web, Radware offre una soluzione CDN (Content Delivery Network) integrata integrata direttamente nello stack di sicurezza delle applicazioni, gestibile direttamente dal portale Radware Cloud Security Services.
La soluzione CDN di Radware si basa su Amazon CloudFront CDN con i relativi vantaggi in termini di prestazioni, riduzione dei costi, e i vantaggi di performance tipici di un approccio DevOps. Protezione a 360 gradi, con una proposizione allo stato dell’arte e la possibilità di beneficiare di servizi in grado di ridurre impatti e costi sono tra i punti di forza caratterizzanti, insieme a tutti i vantaggi dati dagli strumenti di gestione e reportistica centralizzati e alla flessibilità unica per quanto riguarda il deployment della “protezione” e la compatibilità con i sistemi in uso possibile grazie all’approccio del tutto agnostico della proposta Radware.
Leggi tutti gli approfondimenti della room Sicurezza per l’Innovazione
Per saperne di più scarica il whitepaper:
© RIPRODUZIONE RISERVATA