SICUREZZA DEI SERVER END-TO-END: GUIDA PER I RESPONSABILI IT

White paper aziendale di Dell EMC PowerEdge Server Solutions Group

© 2018 Dell Inc o sue società controllate Sicurezza dei server end-to-end: guida per i responsabili IT

WHITE PAPER

2

Executive SummaryIn un contesto in cui le aziende intraprendono il percorso dell’IT Transformation, troppo spesso i responsabili aziendali non dedicano sufficiente attenzione alla sicurezza dei server. Se la sicurezza viene trascurata, il data center incorre in una miriade di vulnerabilità di sicurezza e può diventare un ottimo obiettivo per gli attacchi malevoli. Questo documento di best practice offre ai responsabili aziendali un framework per valutare se i loro vendor sono "leader nella sicurezza" o "ritardatari nella sicurezza". La sicurezza end-to-end è uno degli elementi di base essenziali per un’IT Transformation di successo e in questo documento si illustra in che modo i server PowerEdge sono progettati appositamente per supportarla. Inoltre, vengono fornite le principali domande che ogni CIO, CISO e responsabile IT dovrebbe porre al proprio vendor di server. Queste domande dovrebbero favorire decisioni oculate in relazione alla scelta di un vendor di server, soprattutto se la sicurezza è una preoccupazione importante.

Questo documento è suddiviso in sezioni che descrivono l'importanza della sicurezza dell'infrastruttura IT e presenta i criteri essenziali che i responsabili IT dovrebbero utilizzare per individuare la sicurezza dei server end-to-end.

1. Infrastruttura IT moderna e affidabile

Perché preoccuparsi della sicurezza dei server (o della sua assenza).

2. Sicurezza dei server end-to-end

In che modo Dell EMC definisce la sicurezza dei server end-to-

end. In questa sezione, vengono inoltre illustrate le caratteristiche

cruciali che i responsabili aziendali e IT possono utilizzare per

classificare i potenziali vendor di server.

3. Principali criteri di sicurezza per l'infrastruttura IT moderna

Domande sulla sicurezza che tutti i responsabili IT dovrebbero

rivolgere al proprio vendor di server prima di intraprendere l’IT

Transformation.

4. Conclusioni e altre risorse

L'obiettivo di questo documento è evidenziare l'approccio completo

di Dell EMC alla sicurezza dei server. Nei server PowerEdge la

sicurezza non deve essere aggiunta in un secondo momento perché

è già integrata. Attraverso un'architettura resiliente alle cyber threat,

Dell EMC offre una sicurezza end-to-end su tutti i server PowerEdge.

Ciò significa che si concentra sulle funzionalità di protezione a livello

di firmware e hardware che spesso vengono trascurate. Inoltre, i server

PowerEdge vengono forniti con impostazioni di sicurezza standard che

si estendono in tutto il ciclo di vita della sicurezza IT secondo il NIST

Cybersecurity Framework. Su un server PowerEdge, la sicurezza è uno

standard, non solo un set di funzionalità.

Nei server PowerEdge la sicurezza non deve essere aggiunta in un secondo momento perché è già integrata.

© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |

3

Infrastruttura IT moderna e affidabileI leader aziendali sanno che per poter andare avanti devono

digitalizzare le loro organizzazioni. Con la proliferazione di smart device

e sensori connessi e la necessità continua e crescente di informazioni

approfondite basate sui dati, l'IT non svolge più solo funzionalità di

back-office ma è parte integrante della strategia dirigenziale. L'IT

Transformation inizia con un'infrastruttura IT moderna. Rinnovare

l'IT significa costruire partendo dagli elementi di base. Si tratta di

creare nuovi tipi di infrastrutture che continueranno a supportare gli

attuali workload alla base del business, nonché i nuovi workload che

guideranno il business in futuro. Secondo Gartner, "un business digitale

è incentrato su eventi, il che significa che deve essere sempre in grado

di rilevarli e adattarsi di conseguenza. Lo stesso vale per la sicurezza e

la relativa infrastruttura di rischio, la quale deve ostacolare potenziali

intrusioni e prevedere gli eventi legati alla sicurezza".1

I server costituiscono l'elemento fondamentale dell'infrastruttura

IT moderna ed eseguono una varietà di workload, dai database al

software-defined storage. Di conseguenza, la potenza di elaborazione è

diventata ancora più importante per il successo in un'economia digitale.

I server stanno quindi diventando un ottimo primario per gli attacchi

malevoli. I server sono inoltre altamente soggetti a incidenti di sicurezza

involontari poiché le aziende spesso sottovalutano o trascurano la

sicurezza dei server. Per un'azienda in fase di IT Transformation,

è fondamentale valutare in che modo il provider IT garantisce una

sicurezza dei server end-to-end PRIMA di concludere un contratto

economico. Anche se ci si limita ad aggiungere altra capacità di

elaborazione o ad aggiornare i server, la sicurezza deve essere uno

dei principali aspetti da considerare. Ma prima di esaminare il COME

della sicurezza dell'infrastruttura IT, è bene esaminare il PERCHÉ.

La maggior parte delle aziende è consapevole dell’importanza della

sicurezza all’interno dell’IT. In una survey condotta nel 2017 da KPMG

su 4.498 CIO e responsabili della tecnologia, il 40% degli intervistati

ha citato la sicurezza come uno dei principali problemi del business

che i dirigenti aziendali cercano di risolvere attraverso l’IT. Nello

stesso studio, il 34% degli intervistati ha affermato che la sicurezza

informatica è stata una delle principali questioni affrontate durante

l’ultima riunione del Consiglio di amministrazione. Tuttavia, solo il 20%

degli intervistati ritiene di essere "molto preparato" a rispondere agli

attacchi informatici.2Le più recenti previsioni della spesa IT elaborate

da Gartner indicano che nel 2018 verranno spesi $ 3,6 miliardi in risorse

IT, con un aumento del 4,3% rispetto al 2017.3 Ciononostante, in media

un’azienda dedica alla sicurezza solo il 5,9% del suo budget IT.4 Per la

maggior parte delle aziende, il livello di preoccupazione non corrisponde

al livello di preparazione e spesa associato alla sicurezza IT.

Un business digitale è incentrato sugli eventi, il che significa che deve essere sempre in grado di rilevarli e adattarsi di conseguenza.

© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |

4

Una dimostrazione che la sicurezza viene trascurata è la carenza di ricerca di settore relativa alla sicurezza

di hardware/firmware e in particolare alla sicurezza dei server. Nel 2016, ISACA ha condotto una survey su

professionisti della sicurezza IT incentrata sull’argomento della sicurezza di hardware e firmware.5 L’obiettivo

è stato individuare in che modo avvengono molti degli attacchi al firmware e cosa si sta facendo per ridurre

i rischi aziendali derivanti da tali attacchi. I risultati mostrano che la maggior parte degli intervistati non

dispone di un programma olistico per risolvere le vulnerabilità del firmware all'interno dell'infrastruttura IT.

Oltre il 25% non esegue monitoraggio, misurazione o raccolta di dati del firmware oppure non sa se la propria

azienda svolge tali attività. Più della metà (52%) dei partecipanti allo studio che assegnano priorità alla

sicurezza nella gestione del ciclo di vita dell’hardware segnala almeno un incidente di firmware infettato da

malware introdotto in un sistema aziendale e il 17% indica che tale incidente ha avuto un impatto materiale.

BUDGET IT 2017 DENARO IMPIEGATO PER LE RISORSE IT

SOLO il

5,9%SPESO PER LA

SICUREZZA

$ 3,4 miliardispesi nel 2017

$ 3,6 miliardispesi nel 2018

Previsto

un aumento

del 4,3%

Fonte: previsioni della spesa IT elaborate da Gartner

Fonte: survey condotta nel 2017 da KMPG su 4.498 CIO e responsabili di tecnologia

ha citato la sicurezza come uno dei principali problemi del business che i dirigenti aziendali cercano di risolvere attraverso l’IT

di responsabili IT ha a�ermato che la sicurezza informatica è stata una delle principali questioni a�rontate durante l’ultima riunione del Consiglio di amministrazione

degli intervistati ritiene di essere "molto preparato" a rispondere agli attacchi informatici

34%

40%

20%

© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |

5

Che cos'è la sicurezza dei server end-to-end? È difficile stabilire se un server è sicuro se non si sa COSA si sta cercando. Di fatto, il server e le sue

funzionalità di protezione non offrono informazioni adeguate per stabilire se il server è protetto o meno

consicurezza end-to-end. La determinazione del livello di sicurezza dei server è legata soprattutto al vendor

o al produttore e al modo in cui la sicurezza viene integrata nei loro processi di ideazione, progettazione e

produzione. Si tratta inoltre di stabilire se la supply chain presenta sicurezza end-to-end. Tuttavia, un server

con sicurezza end-to-end integrata contiene generalmente le funzionalità elencate nell'Immagine 1. Questo

elenco può essere utilizzato come guida quando si cerca di stabilire se i server sono adeguatamente sicuri.

Per comprendere appieno se l'infrastruttura IT è sicura, è necessario valutare non solo il server stesso,

ma anche il partner IT o il vendor di server scelto.

Il server e le sue funzionalità di protezione non offrono informazioni adeguate per stabilire se il server è protetto o meno con sicurezza end-to-end.

Il 52% dei partecipanti che assegnano priorità alla sicurezza nella gestione del ciclo di vita dell’hardware segnala almeno un incidente di rmware infettato da malware introdotto in un sistema aziendale

Il 17% indica che l’incidente ha avuto un impatto materiale

2016Survey condotta

da ISACA su professionisti

della sicurezza IT

Oltre il 25% non esegue monitoraggio, misurazione o raccolta di dati del rmware oppure non sa se la propria azienda svolge tali attività

Fonte: survey condotta da ISACA su professionisti della sicurezza IT e incentrata sulla sicurezza dell’hardware e del firmware, 2016.

© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |

6

Le due categorie di produttori di server

I vendor di server possono essere suddivisi in due categorie. La categoria

A include quelli che vengono definiti "leader nella sicurezza". I leader

nella sicurezza vengono chiamati anche partner di hardware. Si tratta

di aziende che si sono dedicate alla sicurezza dell'infrastruttura IT prima

ancora che questa attirasse l’attenzione dei professionisti IT o dei vertici

aziendali. I leader nella sicurezza mostrano piena consapevolezza e grande

attenzione rispetto al problema della sicurezza di firmware e hardware

descritto sopra. Sanno che le vulnerabilità dell’hardware e del firmware,

sebbene molto spesso trascurate dagli utenti finali, rappresentano un

pericoloso punto di ingresso per aspiranti hacker. Pertanto, hanno controllo

diretto su firmware cruciale come BIOS (Basic Input/Output System)

e Baseboard Management Controller (BMC). I leader nella sicurezza

controllano inoltre la personalizzazione della tecnologia su cui vengono

eseguite queste funzionalità. Controllano il processo di sviluppo dei server,

dalla progettazione alla produzione, e forniscono funzionalità di protezione

integrate in tutto il ciclo di vita della sicurezza, in ogni server. Infine, i leader

nella sicurezza ritengono che la sicurezza dei server e la tranquillità del

cliente debbano essere fornite come elementi standard.

Sicurezza basata su

silicio

Fase della sicurezza

Cosa cercare

Dell EMC PowerEdge Vantaggi per la sicurezza

Aggiornamenti con rma del

rmware

Monitoraggio sempre attivo

Sicurezza sica

BIOS e funzionalità di

ripristino del sistema operativo

Ripristino automatico della con gurazione

Doppia radice di a�dabilità basata su silicio: radice di a�dabilità basata su silicio e immutabile per l’avvio sicuro di iDRAC e BIOS/ rmware.

Firmware con rma crittogra ca: consente di accettare solo rmware approvato da Dell EMC in tutti i componenti critici. Impedisce l’introduzione di codice malevole durante il ciclo di vita del prodotto.

iDRAC: registra gli eventi in tutti i componenti server e fornisce alert, tra cui azioni consigliate. Il monitoraggio continua anche quando il server è spento.

Monitoraggio delle intrusioni: i sensori rilevano l’apertura o la manomissione del server chassis. Gli eventi di sicurezza sica sono riportati nel log del ciclo di vita iDRAC non appena viene fornita alimentazione.

Ripristino rapido: i server PowerEdge hanno funzionalità integrate per il restore in un Pristine BIOS e in una copia ridondante precon gurata e preinstallata dell’immagine del sistema operativo.

Restore semplice: esegue rapidamente il restore dello stato del server dopo la sostituzione di una scheda madre.

PROTEZIONE

RILEVAMENTO

RIPRISTINO

PRINCIPALI FUNZIONALITÀ DI PROTEZIONE END-TO-END

LEADER NELLA SICUREZZA:• Attenzione dedicata alla

sicurezza di firmware e hardware • Controllo diretto sul

firmware critico • Utilizzo di chip di silicio

personalizzati forniti da produttori controllati

• Controllo sul processo di progettazione e sviluppo dei server

• Fornitura di funzionalità di protezione durante il ciclo di vita della sicurezza

RITARDATARI NELLA SICUREZZA:• Tendenza a essere in ritardo

rispetto all’innovazione delle funzionalità

• Poche o nessuna funzionalità di protezione

• Poco o nessun controllo sulla supply chain

• Dipendenza da chip di silicio non personalizzati di terze parti

• Possibili costi di licenza per funzionalità di protezione standard

Immagine 1: Principali funzionalità di protezione end-to-end

© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |

7

La categoria B include i "ritardatari nella sicurezza", noti anche come

provider di hardware. In termini di innovazione delle funzionalità di

protezione, i vendor di server all'interno di questa categoria spesso

sono indietro rispetto ai leader nella sicurezza. Oppure, al fine di ridurre

i costi, potrebbero anche non preoccuparsi affatto delle funzionalità di

protezione. Un ritardatario nella sicurezza ha poco o nessun controllo

sulla supply chain di produzione, cosa che introduce vulnerabilità di

sicurezza di hardware e firmware nell'ecosistema dei server. I vendor

di server ODM (Original Design Manufacturer) rientrano in questa

categoria. Dipendono da software di terze parti e chip pronti all'uso

di terze parti; pertanto, per definizione, i ritardatari nella sicurezza

non hanno controllo sul processo di sviluppo dei server, dalla

progettazione alla produzione. In definitiva, i ritardatari nella sicurezza si

contraddistinguono in quanto considerano e trattano la sicurezza come

se fosse responsabilità dell'utente finale. Spesso applicano un costo di

licenza per funzionalità di protezione che dovrebbero essere standard.

Pertanto, se si sceglie uno di questi vendor, occorre essere pronti a

sostenere l'onere della sicurezza dell'infrastruttura IT in modo autonomo.

Principali criteri di sicurezza per l'infrastruttura IT modernaIn questa sezione si illustra COME accertarsi che il data center abbia

una sicurezza end-to-end, dalla tecnologia al sistema. Dell EMC ha

individuato quattro domande chiave che ogni CIO, CISO o responsabile

IT deve porre al proprio vendor di server al momento di intraprendere

un’IT Transformation. Se si ricevono le risposte giuste, l'infrastruttura

IT è abbastanza sicura da supportare un’IT Transformation di successo.

Al contrario, se il partner IT non sa rispondere a queste domande

o non è conforme agli standard elencati di seguito, è bene prendere

in considerazione un cambiamento.

Domanda n. 1: Come viene garantita la sicurezza dei server a livello

di firmware e hardware?

Molte organizzazioni IT si concentrano su preoccupazioni di sicurezza

informatica, come la protezione della rete, dei dati, del sistema

operativo e delle applicazioni, ma dedicano meno attenzione

all'infrastruttura server sottostante che comprende hardware e

firmware. Inoltre, con il proliferare dei dispositivi IoT, le funzionalità

di firmware, sistema operativo e applicazioni diventano sempre più

interconnesse; la differenziazione inizia a non essere più così evidente.

L’hardware e il firmware sono obiettivi meno frequenti, ma considerato

lo stato attuale della sicurezza di hardware/firmware, è solo una

questione di tempo prima che attori malevoli si accorgano del fatto

che molti di questi componenti presentano vulnerabilità.

Come viene garantita la sicurezza dei server a livello di firmware e hardware?

© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |

8

Dell EMC è in prima linea nel fornire informazioni al mercato sulle

vulnerabilità della sicurezza dell’hardware e del firmware dei server.

Dell EMC si dedica alla sicurezza di hardware e firmware già da molti

anni. I professionisti della sicurezza IT sanno che, di fronte all’infinita

ingegnosità degli aspiranti hacker, nessun sistema è completamente

infallibile. Tuttavia, ogni server dell'infrastruttura IT dovrebbe essere

dotato di quanto segue come protezione contro gli attacchi all’hardware

e al firmware del server stesso.

� Radice di affidabilità basata su silicio

�Dell EMC utilizza una doppia e immutabile radice di affidabilità

basata su silicio per garantire attraverso crittografia l’integrità

e l'avvio del BIOS e del firmware iDRAC su tutti i server

PowerEdge di 14a generazione.

�Dell EMC ha scelto un doppio approccio alla radice di affidabilità

basata su silicio; il dominio BIOS/OS è indipendente dal dominio

iDRAC.

�A differenza dei ritardatari nella sicurezza, Dell EMC collabora

con produttori di chip di silicio ampiamente controllati per

personalizzare il chip e integrare tecnologia con questa radice

di affidabilità.

� Sicurezza del BIOS (Basic Input/Output System)

� I server Dell EMC PowerEdge di 14a generazione contengono

funzionalità innovative che offrono nuovi modi per proteggere

il BIOS ed eseguirne il ripristino, garantendo l'integrità della

piattaforma nel corso dell'intero ciclo di vita del server.

� Intel Boot Guard6 e il ripristino del BIOS costituiscono una

dimostrazione dell'impegno profuso dai tecnici Dell EMC per

garantire la sicurezza e la stabilità dell'infrastruttura aziendale.

� Sicurezza fisica

� I server PowerEdge forniscono il rilevamento e la registrazione

delle intrusioni nell’hardware; il rilevamento funziona anche in

assenza di alimentazione CA.

� Le porte I/O fisiche, come gli ingressi USB, possono essere

disabilitate in modo dinamico tramite iDRAC. Ciò consente

di disabilitare tali porte per l'utilizzo di produzione e inoltre

concede temporaneamente accesso per crash cart debug

senza riavvio del server.

Dell EMC è in prima linea nel fornire informazioni al mercato sulle vulnerabilità della sicurezza dell’hardware e del firmware dei server.

© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |

9

� I server PowerEdge sono dotati di frontalini e coperchi con

chiusura e di sensori che rilevano l’apertura o la manomissione

dello chassis. Al collegamento dell’alimentazione, i server aperti

durante il transito generano un log del ciclo di vita iDRAC.

Domanda n. 2: In che modo vengono protetti i server durante

il ciclo di vita della sicurezza?

La sicurezza dell'infrastruttura IT non è una destinazione, è un viaggio

continuo. Esiste un ciclo di vita continuo per il percorso della sicurezza

IT di ogni organizzazione. Il National Institute of Standards and

Technology (NIST) definisce cinque fasi principali del ciclo di vita della

sicurezza.7 Dell EMC mantiene il framework NIST e lo semplifica in tre

fasi principali: protezione, rilevamento e ripristino. Per i responsabili IT

è importante comprendere in che modo viene protetta l'infrastruttura

IT in tutte le fasi del ciclo di vita della sicurezza. Se il vendor di server

non conosce approfonditamente il ciclo di vita della sicurezza, c’è da

preoccuparsi. Ogni singolo server nel data center deve essere dotato

di funzionalità di protezione dedicate, concepite per ciascuna fase:

protezione, rilevamento e ripristino.

I server Dell EMC PowerEdge di 14a generazione presentano un'architettura

resiliente alle cyber threat e avanzata con una progettazione server

rafforzata a livello di sicurezza per proteggere, rilevare e ripristinare

in caso di attacchi diretti ai server. Gli aspetti chiave dell'architettura

sono illustrati nell’Immagine 2 e indicati di seguito:

� Protezione: la fase Protezione si basa sulla filosofia per cui gli

asset dell'infrastruttura dovrebbero fornire una solida protezione

contro l’accesso non autorizzato a risorse e dati, nonché contro

la manomissione dei componenti critici come il firmware integrato.

� Rilevamento: è essenziale disporre di una capacità di rilevamento

che offra visibilità completa su configurazione, stato di integrità

ed eventi di modifica all'interno del sistema server. Una volta

rilevato un evento di sicurezza, risulta inoltre essenziale avere la

capacità di inviare alert su ogni evento. Queste funzionalità devono

coprire TUTTI i componenti server. I server Dell EMC PowerEdge

raggiungono capacità di rilevamento complete tramite le

funzionalità di protezione riportate nell'Immagine 2.

� Ripristino: gli incidenti di sicurezza IT sono inevitabili. Tuttavia,

la portata di questi incidenti si riduce con l’adozione dei giusti

protocolli di ripristino. L’infrastruttura server deve supportare il

ripristino a uno stato noto e coerente in risposta a una varietà di

eventi. In quanto architettura resiliente alle cyber threat, i server

PowerEdge sono concepiti per eseguire il ripristino in modo rapido

ed efficace da una varietà di eventi di sicurezza, come illustrato

nell'Immagine 2.

La sicurezza dell'infrastruttura IT non è una destinazione, è un viaggio continuo.

© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |

10

Immagine 2: Dell EMC Cyber Resilient Architecture

Domanda n. 3: In che modo è integrata la sicurezza nel processo di sviluppo del prodotto?

Quando si pone questa domanda, i vendor di server della categoria "ritardatari nella sicurezza" potrebbero

rimanere perplessi. Per fornire un'architettura resiliente alle cyber threat occorre avere consapevolezza della

sicurezza e disciplina in ciascuna fase dello sviluppo e questo non è né semplice né economico. Dell EMC

chiama questo processo modello Security Development Lifecycle (SDL), in cui la sicurezza non è un aspetto

da affrontare in un secondo momento, ma è parte integrante del generale processo di progettazione dei server.

Questo processo di progettazione include la considerazione delle esigenze di sicurezza in tutto il ciclo di vita

dei server, come illustrato nell’elenco puntato sottostante e nell’Immagine 3:

� Le funzionalità sono concepite, progettate, trasformate in prototipi, implementate, messe in produzione, distribuite e gestite secondo un criterio prioritario che è quello della sicurezza

� Il firmware del server è progettato in modo da bloccare, ostacolare e contrastare l’introduzione di codice malevole durante tutte le fasi del ciclo di vita dello sviluppo del prodotto

� Per le tecnologie critiche, audit esterni integrano il processo SDL interno per garantire che il firmware sia conforme alle best practice di sicurezza già note

SERVER

• Controllo degli accesi degli utenti autenticati e autorizzati

• Avvio dei server a�dabile con crittogra�a

• Aggiornamenti del �rmware con �rma digitale

• Data storage cifrato

• Sicurezza �sica

Protezione e�cace

• Risposta rapida alle comuni vulnerabilità ed esposizioni (CVE)• Due livelli di ripristino del sistema: Ripristino rapido del sistema

operativo e ripristino del BIOS • Rollback del �rmware per il restore a uno stato del sistema

a�dabile• Restore semplice per tornare automaticamente all’ultima

con�gurazione nota del server, licenza iDRAC e policy di sicurezza dopo la manutenzione dell’hardware

• Erasure del sistema per cancellare i dati sensibili e le impostazioni della con�gurazione prima del ritiro o del riutilizzo di un sistema

Ripristino rapido

• Device management senza agent tramite iDRAC

• Monitoraggio completo tramite iDRAC: Log del ciclo di vita

e alert delle attività

• Rilevamento degli scostamenti con OpenManage Essentials

Systems Management Software

• Monitoraggio delle intrusioni per rilevare le manomissioni dello

chassis durante il transito

Rilevamento a�dabile

© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |

11

Dell EMC ritiene che la sicurezza sia fondamentale per chiunque utilizzi i server PowerEdge.

� Il test e la valutazione continui di nuove potenziali vulnerabilità vengono eseguiti utilizzando i più recenti strumenti di valutazione della sicurezza

� Vengono forniti ai clienti risposte rapide e reporting sulle comuni vulnerabilità ed esposizioni (CVE) critiche, comprese misure di risoluzione consigliate se garantite

Immagine 3: Dell EMC Secure Development Lifecycle

Domanda n. 4: In che modo viene stabilito il prezzo delle principali

funzionalità di protezione?

Si tratta ovviamente di una domanda trabocchetto. Per Dell EMC, la

sicurezza non è un set di funzionalità da concedere in licenza, ma un set

di priorità in continua evoluzione che i tecnici Dell EMC integrano in ogni

server PowerEdge. Dell EMC ritiene che la sicurezza sia fondamentale

per chiunque utilizzi i server PowerEdge. Non chiede alle aziende di

pagare un costo di licenza per la sicurezza per trarre vantaggio da

un'architettura resiliente alle cyber threat. Sarebbe come se le case

automobilistiche applicassero un costo annuale per gli airbag e le cinture

di sicurezza. Dell EMC produce solo server che vengono sottoposti

al Security Development Lifecycle e che soddisfano gli standard di

un'architettura resiliente alle cyber threat. Il problema è che non tutti

ivendor di server trattano la sicurezza in questo modo.

SECURITYDEVELOPMENT

LIFECYCLE

Analisi dei requisiti

Progettazione

Implementazione

Veri�ca/ Test

Release/ Risposta

Manutenzione

© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |

12

Dell EMC consiglia ai responsabili IT di leggere le clausole scritte in piccolo. Questi server sono sicuri anche

se non acquisto una licenza per la sicurezza aggiuntiva? I CIO e i CISO devono porre questa domanda

specificamente prima di firmare qualsiasi contratto di acquisto o refresh di server. Le funzionalità di protezione

end-to-end riepilogate nell'Immagine 1 sono funzionalità di livello base fornite come standard su ogni server

PowerEdge. Occorre sapere in che modo il vendor di server addebita i costi delle funzionalità di protezione.

Dopo di che, è necessario valutare attentamente se si è disposti a collaborare con un vendor che non fornisce ai

clienti funzionalità di protezione standard (protezione, rilevamento e ripristino) come caratteristiche predefinite.

Conclusioni I responsabili aziendali incaricati dell’implementazione dell’IT Transformation devono iniziare con il rinnovo

dell'infrastruttura IT. Una fase cruciale del rinnovo è l'implementazione di un'infrastruttura IT sicura. Investire

in un’infrastruttura IT moderna che non dispone di sicurezza end-to-end è come acquistare una nuova

Ferrari e lasciarla aperta davanti a casa anziché chiusa e protetta in garage. I server PowerEdge sono le

fondamenta del Modern Data Center e la sicurezza su un server PowerEdge non deve essere aggiunta in un

secondo momento perché è già integrata. Dell EMC si impegna a fornire sicurezza end-to-end su ogni server

PowerEdge, dal livello di firmware e hardware e per tutto il ciclo di vita della sicurezza IT.

La posta in gioco per i leader IT è elevata e i rischi associati a una sicurezza dell'infrastruttura IT inadeguata

includono precarietà del lavoro, danni alla reputazione e danni economici. Per questo motivo, ogni responsabile

IT o CIO deve mettere in discussione il proprio vendor di server per accertarsi di ottenere una sicurezza end-to-

end. Di seguito sono riportate le quattro domande da porre al vendor di server.

1. "I server sono sicuri a livello di hardware e firmware?"

2. "I server sono protetti nell’intero ciclo di vita della sicurezza?"

3. "La sicurezza è integrata nel processo di sviluppo del prodotto?"

4. "Devo pagare costi di licenza per trarre vantaggio dalle principali funzionalità di protezione?"

Attraverso queste domande, i responsabili IT e i CIO possono intraprendere un percorso verso un'IT

Transformation di successo.

Risorse aggiuntive

Approfondimenti sulla sicurezza dei server Dell EMC PowerEdge

� White paper Enterprise Management Associates (EMA): Dell EMC PowerEdge Servers: The Integrated

Security Architecture

� White paper tecnico Dell EMC: Sicurezza end-to-end nei server Dell EMC PowerEdge di 14a generazione

� Dell EMC Direct dalla nota tecnica sullo sviluppo: Erasure del sistema sui server PowerEdge 14G

� Dell EMC Direct dalla nota tecnica sullo sviluppo: Sicurezza nella progettazione dei server

� Dell EMC Direct dalla nota tecnica sullo sviluppo: La resilienza informatica inizia dal chipset e dal BIOS

© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |

© 2018 Dell Inc. o sue società controllate. Tutti i diritti riservati. Dell, EMC e gli altri marchi sono marchi di Dell Inc. o di sue società controllate. Altri marchi possono essere marchi dei rispettivi proprietari. Pubblicato a febbraio 2018.

Partecipare alla conversazione su Twitter @DellEMCServers con

#PowerEdge

Visualizzare più risorseContattare un esperto Dell EMC

Per sapere di più sulle soluzioni Dell EMC

PowerEdge

1 "Top 10 Strategic Technology Trends of 2018" Gartner, 3 ottobre 2017: https://www.gartner.com/document/3811368?ref=ddrec 2 "Harvey Nash/KPMG CIO Survey 2017" Harvey Nash/KPMG, 23 maggio 2017: http://www.kpmg-institutes.com/content/dam/kpmg/advisory-institute/pdf/2017/cio-survey-harvey-nash-2017-us.pdf 3 "Forecast Alert: IT Spending, Worldwide, 3Q17 Update" Gartner, 29 settembre 2017: https://www.gartner.com/document/3810569 4 "IT Key Metrics Data 2017: Key IT Security Measures: by Industry" Gartner, 12 dicembre 2016: https://www.gartner.com/document/3524617?ref=solrAll&refval=194212569&qid=c3e5998670a94b9eee7d2a4d5222ea60 5 "Firmware Security Risks and Mitigation: Enterprise Practices and Challenges", ISACA, 18 ottobre 2016: http://www.isaca.org/knowledge-center/research/researchdeliverables/pages/firmware-security-risks-and-mitigation.aspx 6 I server PowerEdge di 14a generazione supportano anche l’avvio sicuro AMD 7 "Framework for Improving Critical Infrastructure Cybersecurity," National Institute of Standards and Technology, 10 gennaio 2017: https://www.nist.gov/sites/default/files/documents////draft-cybersecurity-framework-v1.11.pdf