Strumenti essenziali per la sicurezza delle reti, i firewall hanno vissuto molteplici stadi evolutivi fino ad arrivare al livello Next Generation Firewall. Vediamo di che cosa si tratta
Next Generation Firewall (NGFW) e firewall tradizionale sono entrambi presupposti fondamentali per la sicurezza della rete aziendale e in generale per la cybersecurity di enti e imprese, sempre più prese di mira. Secondo un recente rapporto di Sonicwall, solo gli attacchi ransomware sono aumentati del 74% nel secondo trimestre del 2023 rispetto ai primi tre mesi dell’anno.
Oltre ai sistemi di gestione unificata delle minacce (UTM) gli NGFW sono tra gli strumenti di sicurezza di rete più popolari oggi sul mercato.
I firewall sono la prima linea di difesa per qualsiasi organizzazione, costituendo una barriera tra la rete aziendale e Internet. Filtrano tutto il traffico e bloccano i dati che soddisfano i modelli di un attacco. I firewall di nuova generazione offrono funzionalità avanzate per affrontare cyber minacce sempre più sofisticati e pericolosi, che comprendono attacchi man-in-the-middle e molti altro ancora.
Come vedremo, mentre i firewall tradizionali possono fornire una protezione di base ai sistemi di rete, le particolarità e la natura sensibile della gestione di un’azienda richiedono una protezione più profonda, che solo un firewall di nuova generazione può fornire.
Next Generation Firewall e firewall tradizionale
Prima di parlare di next generation firewall e firewall tradizionali va ricordato che la nascita dei “muri di fuoco” è avvenuta più di quarant’anni fa. I primi furono sviluppati negli anni Ottanta ed erano in grado di operare sui primi quattro livelli del modello OSI (Open Systems Interconnection), ovvero il livello fisico, il livello di collegamento dati, il livello di rete e il livello di trasporto.
In estrema sintesi, funzionavano “giudicando” i pacchetti sulla base di semplici informazioni come la loro origine apparente, destinazione e tipo di connessione. Sebbene rapidi e tutto sommato efficienti, ricorda Britannica, questi sistemi venivano sventati abbastanza facilmente. L’evoluzione successiva ha portato a realizzare firewall con un livello di sicurezza sempre più elevato fino ad arrivare, negli anni Duemila, ai NGFW.
Sebbene i firewall di nuova generazione e quelli tradizionali intendano proteggere la rete e le risorse dati di un’organizzazione, presentano numerose e significative differenze.
Un firewall tradizionale ha capacità limitate rispetto a un NGFW. Ispeziona il traffico che entra o esce da una rete, esamina lo stato del pacchetto, l’indirizzo IP di origine/destinazione, il numero di porta e il protocollo. Se uno di questi corrisponde a indirizzi IP, porte o protocolli vietati, il firewall genera un allarme. In altre parole, esercita il controllo solo sul flusso di pacchetti in una o entrambe le direzioni. Molti firewall tradizionali sono dotati anche di funzionalità VPN (Virtual Private Network).
I firewall tradizionali operano sui livelli 3 e 4 del modello Open Systems Interconnection (OSI) per informare le loro azioni, gestendo il traffico di rete tra host e sistemi finali. Consentono o bloccano il traffico in base alla porta e al protocollo, sfruttano l’ispezione stateful e prendono decisioni in base a policy di sicurezza definite. Con l’emergere di minacce avanzate come i ransomware, i firewall di tipo stateful venivano facilmente aggirati, creando una forte domanda per una soluzione di sicurezza avanzata e più intelligente.
Una delle differenze più significative tra i firewall tradizionali e i next generation firewall è che questi ultimi offrono un’ispezione approfondita dei pacchetti che va oltre la semplice ispezione di porte e protocolli esaminando i dati trasportati nei pacchetti di rete. Altre differenze chiave sono che gli NGFW aggiungono l’ispezione a livello di applicazione, la prevenzione delle intrusioni e la capacità di agire sui dati forniti dai servizi di threat intelligence.
Come funziona il firewall di nuova generazione
Il firewall definisce i confini della rete, ispezionando tutto il traffico che passa attraverso un NGFW, operazione che gli permette di applicare regole di politica di sicurezza che consentono o bloccano il traffico.
Un next generation firewall si basa sulle capacità di un firewall tradizionale incorporando funzionalità aggiuntive. Per esempio, un NGFW opera a livello di applicazione dello stack TCP/IP per applicare il sistema di prevenzione delle intrusioni (IPS), anti malware, sandboxing e altre protezioni. Queste funzioni gli consentono di identificare e bloccare le minacce avanzate prima che rappresentino un rischio per i sistemi aziendali.
Al loro lancio nel 2008, furono presentati da Gartner come “firewall di ispezione approfondita dei pacchetti che va oltre l’ispezione e il blocco di porte/protocolli per aggiungere l’ispezione a livello di applicazione, la prevenzione delle intrusioni e l’acquisizione di informazioni dall’esterno del firewall”.
Le principali somiglianze con i firewall tradizionali includono il filtraggio statico dei pacchetti per bloccare i pacchetti nel punto di interfaccia con il traffico di rete. Entrambi hanno inoltre la capacità di fornire ispezione dei pacchetti con stato, traduzioni degli indirizzi di rete e di porta ed entrambi possono impostare connessioni VPN.
Quindi, per sintetizzare, il next generation firewall combina la tecnologia dei tradizionali con altre funzioni di filtraggio dei dispositivi di rete per migliorare la network security, ovvero la sicurezza della rete aziendale. Per questo prevede il controllo online delle applicazioni, un sistema integrato di prevenzione delle intrusioni (IPS) e meccanismi di prevenzione delle minacce e protezione antivirus.
Caratteristiche principali
Si è detto che NGFW è un firewall avanzato che utilizza strategie di filtraggio statiche e dinamiche per filtrare i pacchetti in base alle applicazioni. Di conseguenza, questi firewall forniscono un controllo e una visibilità ad ampio raggio sui dati che entrano ed escono dalla rete. Inoltre, NGFW è dotato di funzionalità come Intrusion Protection Systems (IPS) e Deep Packet Inspection (DPI). In questo modo, impediscono a malware e virus di entrare nella tua rete.
Rispetto ai firewall tradizionali, gli NGFW scavano più a fondo nel traffico di rete per capirne la provenienza. Sono in grado di raccogliere una maggiore quantità di conoscenze sul traffico dannoso e sulle minacce integrate che tentano di infiltrarsi nel perimetro della rete e accedere ai dati aziendali.
Mentre un firewall tradizionale opera solo ai livelli OSI 3 e 4, gli NGFW possono operare al livello 7, ovvero il livello dell’applicazione. Ciò significa che le minacce a livello di app, che sono tra le più pericolose e penetranti, vengono bloccate prima che possano violare, risparmiando tempo e costi nella riparazione.
Vantaggi principali
Contare su firewall di nuova generazione comporta diversi vantaggi. Innanzitutto offrono un livello elevato di sicurezza. I NGFW includono sistemi integrati di rilevamento delle intrusioni (IDS) e sistemi di prevenzione delle intrusioni (IPS) che identificano gli attacchi in base all’analisi comportamentale del traffico, alle firme delle minacce o ad attività insolite, oltre a tutte le funzionalità dei firewall classici. Questa funzionalità aiuta a eseguire un’ispezione più approfondita del traffico di rete e a migliorare il filtraggio del contenuto dei pacchetti fino al livello dell’applicazione.
Il costante aggiornamento è un altro punto forte dei next generation firewall. Essi contengono protezione antivirus e anti malware che viene aggiornata automaticamente ogni volta che vengono rilevate nuove minacce. Il dispositivo NGFW riduce ulteriormente i vettori di attacco limitando i programmi che vengono eseguiti su di esso.
Gli NGFW sono concepiti con un’infrastruttura snella. Forniscono antivirus integrato, filtro antispam, ispezione approfondita dei pacchetti e controllo delle applicazioni utilizzando un solo dispositivo o console. Non sono necessari dispositivi aggiuntivi, riducendo così le complessità infrastrutturali.
C’è poi la velocità di rete che viene assicurata. Sebbene molti fornitori di firewall tradizionali affermino di offrire un throughput specifico per ogni porta, la realtà è completamente diversa.
Il crescente numero di dispositivi e servizi di protezione, quando attivati, tende a limitare la velocità della rete. Al contrario, il throughput del firewall di nuova generazione rimane esattamente lo stesso indipendentemente dal numero di servizi di protezione.
Tipologie di NGFW – Next Generation Firewall
I next generation firewall sono disponibili in tre tipologie principali: hardware, virtuali, cloud-based.
NGFW hardware sono dispositivi fisici creati per la distribuzione locale. In quanto hardware di sicurezza dedicato, questi firewall vengono utilizzati principalmente nei data center o per altri casi d’uso che richiedono apparecchiature fisiche.
NGFW virtuali sono basati su software e vengono eseguiti su macchine virtuali (VM). Sono sufficientemente flessibili e scalabili da essere più adatti per app e servizi virtualizzati e basati su cloud rispetto agli NGFW solo hardware, ma fanno comunque affidamento sull’infrastruttura della propria organizzazione e sono vincolati dalla potenza di elaborazione dell’hardware da cui provengono. ri partizionato.
Next generation firewall cloud-based forniscono servizi firewall di terze parti dal cloud, consentendo loro di proteggere il traffico che non passa attraverso un data center tradizionale. Sono progettati per proteggere ambienti nativi del cloud, quali Virtual Private Cloud, reti distribuite e utenti remoti, offrendo maggiore scalabilità e gestione centralizzata della sicurezza.
Evoluzione del NGFW
Con la crescente preoccupazione per l’escalation delle cyber minacce, l’evoluzione tecnologica è necessaria per adeguare hardware, software e in questo rientrano anche i next generation firewall . C’è chi ha delineato la nuova frontiera, già reale. Si tratta dei NGFW proattivi con machine learning. Li ha presentati Palo Alto Networks, già artefice dei primi next generation firewall. Per la prima volta il machine learning consente agli NGFW di fornire
protezione zero-day proattiva, in tempo reale e online. È in grado di identificare varianti di attacchi noti e non. Fornisce visibilità completa dei dispositivi, rilevamento di anomalie comportamentali e
applicazione nativa per proteggere i dispositivi IoT senza richiedere sensori o infrastrutture aggiuntivi. L’esempio porta in evidenza il ruolo dell’intelligenza artificiale, parte integrante del futuro dei firewall. Vengono già definiti AI firewall, utilizzano tecnologie di rilevamento intelligente per migliorare la capacità di rilevamento di minacce avanzate e minacce sconosciute. Rispetto agli NGFW che utilizzano un database di regole statiche per rilevare le minacce, difficili da gestire con le minacce avanzate delle varianti, l’AI firewall utilizza il motore di rilevamento intelligente per addestrare modelli di rilevamento delle minacce basati su campioni di grandi dimensioni e ottimizzare continuamente i modelli in base ai dati del traffico in tempo reale, migliorando le capacità di rilevamento delle minacce.