Entro il 2019, il 92% delle imprese avranno adottato sistemi di Internet of Things. I benefici della tecnología IoT sono giá largamente provati e conosciuti, tanto quanto i rischi, che non devono essere sottovalutati. Per ridurre al minimo la possibilitá di brecce e intrusioni nella rete, Aruba ha sciluppato un sistema di sicurezza che permette di sfruttare al massimo il potenziale dell’IoT.
3. ALTERAZIONE FUNZIONALE DELL’IOT
Una nuova forma di attacco
SENSORI
• Raccolta informazioni esterne
LOGICA PREDEFINITA
• Decisione secondo
parametri predefiniti
ATTUATORI
• Dispositivi che attuano in
funzione di comandi ricevuti
• Modifica della logica • Controllo delle azioni e
modifica comportamenti
4. • Accesso a servizi centralizzati
• Consolidamento sistemi di
sicurezza
• Connettivitá tra dispositivi
• M2M
• Sicurezza all’accesso
• Percorso di propagazione del
malware
v v
Problematiche per rendere sicuro un ambiente IOT
5. INTRUSIONI IN RETI OPERATIVE
NETWORK / INTERNET
Malicious Attacker
Staff / Contractors
USB Drive
Desktops / Laptops
Infected
E-mail
Worm
Worm
Worm
Worm
HMI / Console
SCADA Supervisory
System
SCADA Controlled Automated Systems
Le intrusioni o malware avvengono tramite azione
umana o attraverso una sua interferenza
Malicious
Commands Sent
6. CONTROLLO AUTOMATIZZATO DI ACCESSO ALLA RETE
PLC / RTU / Edgeline
OT-Net SSID
Field Operator Laptops,
Mobile Devices
Mobility Controller with
PEF-NG DPI FireWall
Access Point
HMI / Console
IT Services & Internet Access Only
Unknown / Rogue
Devices
Surveillance System Access Only
SCADA Supervisory System Access Only
Isolated / No Access
ClearPass Policy
Manager (IoT Profiler)
Device
Fingerprint
Device Role /
Policy
IP Video
Camera
7. SICUREZZA E PRIORITARIZZAZIONE DELLE APP
DPI Integrato
− Indentificazione di app
− Traffico di app proprie
Analisi di servizi web
− Servizi Cloud
− Traffico web
q App category
q Individual app
q Web category
q Web reputation
q Allow/deny
q QoS
q Throttle
q Log
q Blacklist
Visibilitá granulare e controllo
þDá prioritá alle app critiche
þBlocca contenuti inappropriati
þSicurezza per luogo/dispositivo
/usuario
8. L’ACCESSO LAN DIVENTA
UNA PREOCCUPAZIONE
SI ASPETTA CHE 50% DEI
DISPOSITIVI IOT
INDUSTRIALI SARANNO
CONNESSI VIA CAVO
9. CONTROLLO UNICO PER PORTE “COLORLESS”
Device and
user identity
stores
Porte assegnate a nuova
vLAN con ClearPass
basato nel tipo di
dispositivo
Dispositivi IoT nella
rete cablata che si
connettono a qualsiasi
porta
Prevezione contro malware
e attacchi dall’interno
Tunnel attraverso
Aruba Mobility
Controller
Aruba
switches
Aruba
Controllers
ClearPass
10. Aruba
ClearPass
SNMP
Enforcement
Printer Vlan Infusion Pump Vlan
Existing 802.1X
wired/wireless support
No 802.1X
• Sicurezza implicita per tutti i dispositivi no-AAA
• ClearPass come orchestratore unico per assegnazione di VLANs,
sicurezza e QoS secondo I profile dei diversi dispositivi
• Facile da configurare in configurazioni multivendor
ARCHITETTURA “COLORLESS”
11. • Consolidamento delle politiche
d’acceso in ClearPass
• Semplificazione della configurazione
degli switch d’acceso
• Unificazione del controllo contenuti e
app in LAN y WLAN
• Visibilitá e diagnosi di tutti i client
Wireless e cablati con Airwave
CASO D’USO: CENTRALIZZAZIONE DI POLITICHE DI
SICUREZZA
AirWaveClearPass
AppRF
WebCC
UCC
Client Devices
Aruba Switch
Aruba Mobility
Controller
12. • Segmentazione e tunneling del
traffic critico
• Politica di firewall in accesso
• Blocco delle infezioni orizzontali IOT
a IOT
• Verifica dello stato dei clients prima
di accedere alla rete (Posture)
CASO DE USO: MESSA IN SICUREZZA DELLA RETE E IOT
Satefull
Firewall
IOT Devices
Aruba Switch
Aruba Mobility
Controller
13. ESEMPIO DI ARCHITETTURA
Devices
Switch Nucleo
Mobility Controller
Mobility Controller
AOS Switch
AOS Switch
AOS Switch
AOS Switch
AOS Switch: 2930F/M 3810M 5400
Aruba AP
Aruba AP
Aruba AP
Aruba AP
14. DECISIONI DINAMICHE DI SICUREZZA
Aruba
Mobility
Controller
Core SwitchAccess Switch
Impiegato
Riconosciuto
OnGuard
IoT
Profiling
Invitato
Guest
IP Phone
MAC Auth
Impiegato
Esterno
Onboard
Media
Streaming
MAC Auth
ClearPass
Traffico tunnelizzato a controller
Traffico segmentato e reso sicuro in
loco
15. Segmentazione
LAN/WLAN nelle
succursali
ESTENDI IL CONTROLLO DELLE RETI
ALLE SUCCURSALI
ARUBA CENTRAL
Datacenter
Headend Gateway
Sede 1
MPLS, Internet, LTE
Integrated SD-WAN, Security, LAN, and WLAN
managed centrally
2
1 Datacenter
consolidamento delle
politiche di sicurezza
Sede 2
2
Central come unica
dashboard di gestione e
rilascio centralizzato
16. USUARI ESTERNI
ALL’ORGANIZZAZIONE
• Configurazione automatica:
Configurazione di reti e
certificati
• Validazione con MDM/EMM
• Entitá certificatrice (CA):
Include informazioni di usuari e
dispositivi
• Introduce sicurezza senza
influenzare i processi
17. CLEARPASS ONBOARD
Bring Your Own Device (BYOD)
– Configurazione di dispositivu intelligenti
ed estranei in modo guidato.
– Riduce le chiamate a supporto per
introdurre nuovi dispositive nella rete.
– Supporta Windows, MacOS, iOS,
Android, Chromebook y Ubuntu
Mantiene identificazioni uniche
– Crea credenziali uniche e gestisce il
loro uso e tempo di validitá.
Configura funzioni basiche per i
dispositivi
– In iOS,: ActiveSync, Email, Calendar,
Device Restrictions and more.
– In Windows: Installa applicazioni come
OnGuard e VIA.
18. POLITICHE ADATTIVE PER BYOD
Enterprise Laptop BYOD Phone
Authentication EAP-TLS
SSID CORP-SECURE
Authentication EAP-TLS
SSID CORP-SECURE
Internet OnlyInternet and Intranet
19. Usuario rediretto a un
portale1 Introduce le credenziali
temporali e installa un
certificato
2 Puó accedere ai segmenti
di rete necessari3
SCADAS
Easy No PasswordsSecure
Enter the password for “Acme-net”75%
ESTERNI SENZA NECESSITA’ DI ATTENZIONE
20. Block access to network resources
across wired, wireless & remote
Minimizes risk to network
Allows user self service
ClearPass OnGuardAccess Network
Detect
non-compliant
devices
Auto-remediate
the device
ASSICURARE DEI REQUISITI MINIMI
21. CONTROLLO DI ACCESSO IN TUTTE LE INFRASTRUTTURE
DI RETE
Internet of
Things (IoT)
BYOD and
corporate owned
REST
API
Security monitoring
and threat prevention
Device management and
multi-factor authentication
Helpdesk and voice/SMS
service in the cloud
Multi-vendor
switching
Multi-vendor
WLANs
Aruba ClearPass with
Exchange Ecosystem
22. • Nord Est – Tommaso Cabrelle – tommaso.cabrelle@hpe.com
• Nord Ovest– Andrea De Santis – andrea.desantis@hpe.com
• Centro Sud– Francesco Mellino – francesco.mellino@hpe.com
Contattaci!