Le aziende tendono sempre più ad abbracciare un approccio Zero Trust nella propria strategia di cybersecurity: "non ci si fida mai e si verifica sempre". In passato le risorse all'interno del perimetro della rete erano considerate sicure e si lasciavano libere di accedere senza troppe verifiche; oggi, al contrario, si considera la "fiducia" negli utenti "soliti e interni" una delle maggiori vulnerabilità. Questi, infatti, possono spostarsi all'interno della stessa rete e al di fuori di essa, causando potenzialmente l'esfiltrazione di tutti i dati ai quali erano legittimamente abilitati.
Nell’ottica di un rafforzamento della strategia Zero Trust ottimale per il mercato banking, l’azienda aveva l’esigenza di incrementare la protezione del workplace a cui utenti e device accedono. Inoltre, si rendeva necessario un aggiornamento delle policy di controllo degli accessi, ottimizzandole nell’ottica di una semplificazione e automatizzazione.
L’interlocutore ha espressamente richiesto di progettare l’intera infrastruttura di sicurezza all’accesso partendo dal design di progetto alla fornitura degli apparati, dai servizi di assistenza alla formazione del personale.
Il nostro approccio alla metodologia Zero Trust prevede l’implementazione di Cisco ISE per autenticare e autorizzare l’accesso di utenti e dispositivi all’ambiente di lavoro.
Abbiamo realizzato un’infrastruttura full virtual, sostituendo le appliance hardware (ormai in End of Support) e riqualificando le virtual appliance presenti.
A livello di High Level Design, abbiamo optato per un’architettura Mid-Size Distributed Deployment, nell’ottica di una maggior resilienza nel contesto operativo aziendale. L’architettura Cisco ISE, come vediamo nell’immagine sottostante, è gerarchica e distribuita, con 2 nodi principali e 4 nodi secondari.
Al contempo, è stata indirizzata anche la concomitante dismissione dei server ACS che svolgevano il ruolo infrastrutturale di server TACACS+, prevedendo, tramite l’opportuno licensing, l’implementazione di tale funzionalità nel cluster ISE. Si è reso necessario anche ricreare completamente il cluster, poiché – a causa di eccessivi “salti” di release – l’upgrade diretto non era supportato.
A corredo del HLD, abbiamo svolto lo studio di Low Level Design, al fine di agevolare e pianificare le successive attività necessarie completare la migrazione del servizio.
La soluzione Cisco ISE implementata ha automatizzato l’applicazione delle policy, semplificando notevolmente la distribuzione del controllo degli accessi alla rete. La completa virtualizzazione consentirà, in futuro, di evitare fenomeni di End of Support, tipici delle appliance hardware.
L’implementazione della soluzione full-virtual e scalabile, garantisce all’intera di organizzazione maggior flessibilità, velocità e reattività nell’erogazione dei propri servizi.
La nuova piattaforma contribuisce a mantenere alti standard di sicurezza, come richiesto in un contesto esigente come quello bancario/finanziario.
Nell’ottica di una maggior apertura internazionale del proprio mercato, l’azienda si è dimostrata propensa a ulteriori dialoghi per nuovi progetti, con lo scopo di incrementare le performance dell’infrastruttura.
I campi contrassegnati con * sono obbligatori