Dispositivi OT e IoT al sicuro con i container? Si può fare

Endian spiega come creare container sicuri per mettere in sicurezza dispositivi e applicazioni OT e IoT, e anticipa importanti novità in arrivo su MSP e open source.

Autore: Redazione SecurityOpenLab

La sicurezza OT è sempre più un tema centrale della cyber security. La diffusione di dispositivi IoT e la presenza ancora importante di apparecchiature obsolete favoriscono gli attacchi informatici che, come sottolineano molti esperti di security, sono sempre più concentrati sulle aziende produttive di ogni settore, dal manifatturiero alle infrastrutture critiche.

Le soluzioni per arginare i problemi non mancano, ne sono un esempio le proposte di Endian, azienda che da oltre dieci anni si occupa di mettere al sicuro le connessioni fra dispositivi ed esseri umani. A questo proposito abbiamo intervistato Andrea Albertini, Head of Sales di Endian Italia, che ha puntualizzato come l'azienda incentri la protezione sulla sua Secure Digital Platform, una soluzione a container perché, come sottolinea Albertini, "i container risolvono un problema, Endian risolve un problema dei container”, ossia quello della sicurezza.

Andrea Albertini, Head of Sales di Endian Italia

I plus di Endian per la tecnologia a container


Secure Digital Platform è una piattaforma che permette di garantire la sicurezza nelle connessioni tra dispositivi ed esseri umani in maniera orchestrata. Albertini spiega che “l'integrazione con i container è stato un passo obbligato in quanto già più di dieci anni fa abbiamo intrapreso la strada di mettere al sicuro segmenti industriali con le nostre soluzioni di cyber security. L'ingresso della tecnologia a container ha permesso in maniera semplice di distribuire applicazioni e servizi containerizzati”.

Mancava la parte di sicurezza. Di recente molti esperti di cyber security hanno rimarcato che i container, se non correttamente gestiti, aumentano la superficie di rischio perché ostacolano la visibilità sugli asset. La soluzione che propone Endian con la sua piattaforma è la cifratura con il protocollo OpenVPN, che usa da prima che questo diventasse de facto il protocollo standard del mondo dell'industria.

È mediante questo protocollo che la Secure Digital Platform permette di creare anche decine di migliaia di connessioni criptate contemporanee, con cui eseguire container in maniera sicura. Possono svolgere attività, interagire con i dati, tutto mediante tunnel criptati. Endian ha iniziato dall'industria con quest'applicazione, ora si sta spostando nelle infrastrutture standard, dove c'è la necessità di isolare un servizio locale ed eseguirlo in maniera sicura.
Endian 4i Edge X GMS

È una soluzione valida anche per mettere al sicuro gli oggetti IoT?


Nel mondo IoT, sia in ambito industriale che non, il problema principale è che vengono esposti dispostivi che hanno necessità di avere un accesso a Internet al pubblico. Chi ha la capacità di recuperare le credenziali di accesso di un dispositivo IoT, ovunque sia nel mondo, potrebbe accedere alla rete. Diventa un enorme rischio di sicurezza perché ogni dispositivo connesso può costituire un punto di accesso su un'ampia infrastruttura.

Per risolvere il problema, “abbiamo sviluppato un container, un agent della nostra piattaforma, che permette a ogni dispositivo capace di eseguire un container di potersi collegare in maniera sicura con una connessione criptata a una piattaforma di gestione centralizzata. Possiamo così permettere a un dispositivo che non era stato progettato per proteggersi da accessi non autorizzati, di poter essere gestito da remoto in maniera sicura e con semplicità”.

Albertini porta l’esempio pratico del settore medicale, dove gli apparati hanno una vita molto lunga e sistemi operativi non più supportati. Tuttavia, devono essere accessibili da remoto per svariate esigenze, in primis quelle manutentive. Oltre alla connessione criptata, tramite la piattaforma è possibile impostare l’autenticazione a doppio fattore e definire credenziali personalizzate in maniera granulare.

Come ottenere un accesso remoto criptato


Albertini spiega che “il metodo più semplice è usare i nostri gateway (sostanzialmente dei firewall industriali), oppure i nostri UTM standard per il mondo corporate enterprise”. In questo caso si mette in sicurezza un segmento di una rete, a cui si concede accesso da remoto con vari permessi. Un utente può accedere a tutto il segmento della rete, solamente al gateway, direttamente a un dispositivo, o anche soltanto a un servizio dietro a un dispositivo protetto dal firewall. Questo è il metodo più semplice.

Endian Secure Digital Platform
In alternativa si può usare un agent in versione container che permette, quando viene installato, di dare un accesso sicuro e criptato. Terza opzione è la connect app, che oltre a fare da agent è un vero e proprio client per poter accedere alla piattaforma. Grazie a quest'ultima, un addetto del service o della manutenzione, senza competenze IT specifiche, potrà accedere a un servizio, a un dispositivo o a una rete in maniera semplice.

Albertini anticipa che “verrà rilasciato a breve un agent hardware che, collegato alla porta di rete del macchinario industriale da proteggere, permetterà di criptare tutto il traffico in transito e renderlo gestibile attraverso la piattaforma. Permetterà di fare un retrofit, quindi di applicare tecnologie moderne a dispositivi che non le supportano. È importante perché tutt'oggi la maggior parte dei dispositivi in campo, per esempio i vecchi PLC, non sono in grado di far girare un container, di installare un servizio Windows o MDaemon”.

Dall’on-prem al cloud, all’MSP


La piattaforma Endian SwitchBoard è sempre stato un prodotto venduto on-premise, da metà luglio è attivo anche il servizio in cloud. L'amministratore ha accesso a tutta l'infrastruttura, può creare utenti e gruppi di utenti, creare organizzazioni e sotto-organizzazioni, definire permessi. La GUI è interamente personalizzabile, compreso il brand. È quindi possibile offrire uno SwitchBoard gestito in cloud da Endian, che rivende il servizio alle piccole aziende con canone fisso in base al numero di gateway installati.

Questo passaggio è importante perché, come sottolinea Albertini, “le necessità del mondo dell'industria non sono legate solo alle grandi industrie. Avere un accesso remoto sicuro a un segmento di rete, a un dispositivo o a un servizio dietro a un dispositivo, sono anche necessità della micro industria […]”. È per questo che “Endian sta andando nella direzione di trasferire i concetti di sicurezza - rendendoli semplici - anche alle PMI, nell’ambito di quella che si può definire la democratizzazione della sicurezza”.
Endian Switchboard 6-0 Secure Remote AccessTutto è orchestrato anche nell’ottica di veicolare il servizio nel canale. “Non nego che la direzione della vendita as-a-service sarà per Endian la principale modalità di vendita con il prossimo anno, ossia quando si risolverà la situazione di shortage attuale” nicchia Albertini, che prosegue: “gli MSP sono il nostro obiettivo principale. La nostra piattaforma sarà venduta come servizio dai nostri partner, anche perché la cyber security si adatta perfettamente ad essere venduta come servizio, quindi tutto verrà proposto a canone. L’MSP rivenderà il servizio cloud di SwitchBoard, oppure potrebbe portarsi direttamente in casa il proprio SwitchBoard e rivenderlo ad altri clienti con il proprio marchio”.

Open source


Albertini in ultimo tiene a sottolineare l’impegno di Endian nel settore open source. “Crediamo nell'open source, con la Endian Firewall Community garantiamo al sicurezza di oltre 2 milioni di installazioni nel mondo in maniera totalmente gratuita. Siamo fra le prime distribuzioni al mondo per quanto riguarda i firewall basati su Linux e vogliamo insistere in questa direzione, indipendentemente dalla nostra crescita nel mondo dell'industria”.

Per questo l’azienda intende continuare a investire e a credere nell'open source, tanto che entro fine anno ci sarà “un importante rilascio della versione Endian Firewall Community, che ci porterà ad essere ancora più rilevanti in questo settore”. Non resta che attendere per conoscere i dettagli di questa novità.


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.