Sicurezza dei server end-to-end: guida per i responsabili IT · Ciò significa che si concentra...
Transcript of Sicurezza dei server end-to-end: guida per i responsabili IT · Ciò significa che si concentra...
SICUREZZA DEI SERVER END-TO-END: GUIDA PER I RESPONSABILI IT
White paper aziendale di Dell EMC PowerEdge Server Solutions Group
© 2018 Dell Inc o sue società controllate Sicurezza dei server end-to-end: guida per i responsabili IT
WHITE PAPER
2
Executive SummaryIn un contesto in cui le aziende intraprendono il percorso dell’IT Transformation, troppo spesso i responsabili aziendali non dedicano sufficiente attenzione alla sicurezza dei server. Se la sicurezza viene trascurata, il data center incorre in una miriade di vulnerabilità di sicurezza e può diventare un ottimo obiettivo per gli attacchi malevoli. Questo documento di best practice offre ai responsabili aziendali un framework per valutare se i loro vendor sono "leader nella sicurezza" o "ritardatari nella sicurezza". La sicurezza end-to-end è uno degli elementi di base essenziali per un’IT Transformation di successo e in questo documento si illustra in che modo i server PowerEdge sono progettati appositamente per supportarla. Inoltre, vengono fornite le principali domande che ogni CIO, CISO e responsabile IT dovrebbe porre al proprio vendor di server. Queste domande dovrebbero favorire decisioni oculate in relazione alla scelta di un vendor di server, soprattutto se la sicurezza è una preoccupazione importante.
Questo documento è suddiviso in sezioni che descrivono l'importanza della sicurezza dell'infrastruttura IT e presenta i criteri essenziali che i responsabili IT dovrebbero utilizzare per individuare la sicurezza dei server end-to-end.
1. Infrastruttura IT moderna e affidabile
Perché preoccuparsi della sicurezza dei server (o della sua assenza).
2. Sicurezza dei server end-to-end
In che modo Dell EMC definisce la sicurezza dei server end-to-
end. In questa sezione, vengono inoltre illustrate le caratteristiche
cruciali che i responsabili aziendali e IT possono utilizzare per
classificare i potenziali vendor di server.
3. Principali criteri di sicurezza per l'infrastruttura IT moderna
Domande sulla sicurezza che tutti i responsabili IT dovrebbero
rivolgere al proprio vendor di server prima di intraprendere l’IT
Transformation.
4. Conclusioni e altre risorse
L'obiettivo di questo documento è evidenziare l'approccio completo
di Dell EMC alla sicurezza dei server. Nei server PowerEdge la
sicurezza non deve essere aggiunta in un secondo momento perché
è già integrata. Attraverso un'architettura resiliente alle cyber threat,
Dell EMC offre una sicurezza end-to-end su tutti i server PowerEdge.
Ciò significa che si concentra sulle funzionalità di protezione a livello
di firmware e hardware che spesso vengono trascurate. Inoltre, i server
PowerEdge vengono forniti con impostazioni di sicurezza standard che
si estendono in tutto il ciclo di vita della sicurezza IT secondo il NIST
Cybersecurity Framework. Su un server PowerEdge, la sicurezza è uno
standard, non solo un set di funzionalità.
Nei server PowerEdge la sicurezza non deve essere aggiunta in un secondo momento perché è già integrata.
© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |
3
Infrastruttura IT moderna e affidabileI leader aziendali sanno che per poter andare avanti devono
digitalizzare le loro organizzazioni. Con la proliferazione di smart device
e sensori connessi e la necessità continua e crescente di informazioni
approfondite basate sui dati, l'IT non svolge più solo funzionalità di
back-office ma è parte integrante della strategia dirigenziale. L'IT
Transformation inizia con un'infrastruttura IT moderna. Rinnovare
l'IT significa costruire partendo dagli elementi di base. Si tratta di
creare nuovi tipi di infrastrutture che continueranno a supportare gli
attuali workload alla base del business, nonché i nuovi workload che
guideranno il business in futuro. Secondo Gartner, "un business digitale
è incentrato su eventi, il che significa che deve essere sempre in grado
di rilevarli e adattarsi di conseguenza. Lo stesso vale per la sicurezza e
la relativa infrastruttura di rischio, la quale deve ostacolare potenziali
intrusioni e prevedere gli eventi legati alla sicurezza".1
I server costituiscono l'elemento fondamentale dell'infrastruttura
IT moderna ed eseguono una varietà di workload, dai database al
software-defined storage. Di conseguenza, la potenza di elaborazione è
diventata ancora più importante per il successo in un'economia digitale.
I server stanno quindi diventando un ottimo primario per gli attacchi
malevoli. I server sono inoltre altamente soggetti a incidenti di sicurezza
involontari poiché le aziende spesso sottovalutano o trascurano la
sicurezza dei server. Per un'azienda in fase di IT Transformation,
è fondamentale valutare in che modo il provider IT garantisce una
sicurezza dei server end-to-end PRIMA di concludere un contratto
economico. Anche se ci si limita ad aggiungere altra capacità di
elaborazione o ad aggiornare i server, la sicurezza deve essere uno
dei principali aspetti da considerare. Ma prima di esaminare il COME
della sicurezza dell'infrastruttura IT, è bene esaminare il PERCHÉ.
La maggior parte delle aziende è consapevole dell’importanza della
sicurezza all’interno dell’IT. In una survey condotta nel 2017 da KPMG
su 4.498 CIO e responsabili della tecnologia, il 40% degli intervistati
ha citato la sicurezza come uno dei principali problemi del business
che i dirigenti aziendali cercano di risolvere attraverso l’IT. Nello
stesso studio, il 34% degli intervistati ha affermato che la sicurezza
informatica è stata una delle principali questioni affrontate durante
l’ultima riunione del Consiglio di amministrazione. Tuttavia, solo il 20%
degli intervistati ritiene di essere "molto preparato" a rispondere agli
attacchi informatici.2Le più recenti previsioni della spesa IT elaborate
da Gartner indicano che nel 2018 verranno spesi $ 3,6 miliardi in risorse
IT, con un aumento del 4,3% rispetto al 2017.3 Ciononostante, in media
un’azienda dedica alla sicurezza solo il 5,9% del suo budget IT.4 Per la
maggior parte delle aziende, il livello di preoccupazione non corrisponde
al livello di preparazione e spesa associato alla sicurezza IT.
Un business digitale è incentrato sugli eventi, il che significa che deve essere sempre in grado di rilevarli e adattarsi di conseguenza.
© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |
4
Una dimostrazione che la sicurezza viene trascurata è la carenza di ricerca di settore relativa alla sicurezza
di hardware/firmware e in particolare alla sicurezza dei server. Nel 2016, ISACA ha condotto una survey su
professionisti della sicurezza IT incentrata sull’argomento della sicurezza di hardware e firmware.5 L’obiettivo
è stato individuare in che modo avvengono molti degli attacchi al firmware e cosa si sta facendo per ridurre
i rischi aziendali derivanti da tali attacchi. I risultati mostrano che la maggior parte degli intervistati non
dispone di un programma olistico per risolvere le vulnerabilità del firmware all'interno dell'infrastruttura IT.
Oltre il 25% non esegue monitoraggio, misurazione o raccolta di dati del firmware oppure non sa se la propria
azienda svolge tali attività. Più della metà (52%) dei partecipanti allo studio che assegnano priorità alla
sicurezza nella gestione del ciclo di vita dell’hardware segnala almeno un incidente di firmware infettato da
malware introdotto in un sistema aziendale e il 17% indica che tale incidente ha avuto un impatto materiale.
BUDGET IT 2017 DENARO IMPIEGATO PER LE RISORSE IT
SOLO il
5,9%SPESO PER LA
SICUREZZA
$ 3,4 miliardispesi nel 2017
$ 3,6 miliardispesi nel 2018
Previsto
un aumento
del 4,3%
Fonte: previsioni della spesa IT elaborate da Gartner
Fonte: survey condotta nel 2017 da KMPG su 4.498 CIO e responsabili di tecnologia
ha citato la sicurezza come uno dei principali problemi del business che i dirigenti aziendali cercano di risolvere attraverso l’IT
di responsabili IT ha a�ermato che la sicurezza informatica è stata una delle principali questioni a�rontate durante l’ultima riunione del Consiglio di amministrazione
degli intervistati ritiene di essere "molto preparato" a rispondere agli attacchi informatici
34%
40%
20%
© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |
5
Che cos'è la sicurezza dei server end-to-end? È difficile stabilire se un server è sicuro se non si sa COSA si sta cercando. Di fatto, il server e le sue
funzionalità di protezione non offrono informazioni adeguate per stabilire se il server è protetto o meno
consicurezza end-to-end. La determinazione del livello di sicurezza dei server è legata soprattutto al vendor
o al produttore e al modo in cui la sicurezza viene integrata nei loro processi di ideazione, progettazione e
produzione. Si tratta inoltre di stabilire se la supply chain presenta sicurezza end-to-end. Tuttavia, un server
con sicurezza end-to-end integrata contiene generalmente le funzionalità elencate nell'Immagine 1. Questo
elenco può essere utilizzato come guida quando si cerca di stabilire se i server sono adeguatamente sicuri.
Per comprendere appieno se l'infrastruttura IT è sicura, è necessario valutare non solo il server stesso,
ma anche il partner IT o il vendor di server scelto.
Il server e le sue funzionalità di protezione non offrono informazioni adeguate per stabilire se il server è protetto o meno con sicurezza end-to-end.
Il 52% dei partecipanti che assegnano priorità alla sicurezza nella gestione del ciclo di vita dell’hardware segnala almeno un incidente di rmware infettato da malware introdotto in un sistema aziendale
Il 17% indica che l’incidente ha avuto un impatto materiale
2016Survey condotta
da ISACA su professionisti
della sicurezza IT
Oltre il 25% non esegue monitoraggio, misurazione o raccolta di dati del rmware oppure non sa se la propria azienda svolge tali attività
Fonte: survey condotta da ISACA su professionisti della sicurezza IT e incentrata sulla sicurezza dell’hardware e del firmware, 2016.
© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |
6
Le due categorie di produttori di server
I vendor di server possono essere suddivisi in due categorie. La categoria
A include quelli che vengono definiti "leader nella sicurezza". I leader
nella sicurezza vengono chiamati anche partner di hardware. Si tratta
di aziende che si sono dedicate alla sicurezza dell'infrastruttura IT prima
ancora che questa attirasse l’attenzione dei professionisti IT o dei vertici
aziendali. I leader nella sicurezza mostrano piena consapevolezza e grande
attenzione rispetto al problema della sicurezza di firmware e hardware
descritto sopra. Sanno che le vulnerabilità dell’hardware e del firmware,
sebbene molto spesso trascurate dagli utenti finali, rappresentano un
pericoloso punto di ingresso per aspiranti hacker. Pertanto, hanno controllo
diretto su firmware cruciale come BIOS (Basic Input/Output System)
e Baseboard Management Controller (BMC). I leader nella sicurezza
controllano inoltre la personalizzazione della tecnologia su cui vengono
eseguite queste funzionalità. Controllano il processo di sviluppo dei server,
dalla progettazione alla produzione, e forniscono funzionalità di protezione
integrate in tutto il ciclo di vita della sicurezza, in ogni server. Infine, i leader
nella sicurezza ritengono che la sicurezza dei server e la tranquillità del
cliente debbano essere fornite come elementi standard.
Sicurezza basata su
silicio
Fase della sicurezza
Cosa cercare
Dell EMC PowerEdge Vantaggi per la sicurezza
Aggiornamenti con rma del
rmware
Monitoraggio sempre attivo
Sicurezza sica
BIOS e funzionalità di
ripristino del sistema operativo
Ripristino automatico della con gurazione
Doppia radice di a�dabilità basata su silicio: radice di a�dabilità basata su silicio e immutabile per l’avvio sicuro di iDRAC e BIOS/ rmware.
Firmware con rma crittogra ca: consente di accettare solo rmware approvato da Dell EMC in tutti i componenti critici. Impedisce l’introduzione di codice malevole durante il ciclo di vita del prodotto.
iDRAC: registra gli eventi in tutti i componenti server e fornisce alert, tra cui azioni consigliate. Il monitoraggio continua anche quando il server è spento.
Monitoraggio delle intrusioni: i sensori rilevano l’apertura o la manomissione del server chassis. Gli eventi di sicurezza sica sono riportati nel log del ciclo di vita iDRAC non appena viene fornita alimentazione.
Ripristino rapido: i server PowerEdge hanno funzionalità integrate per il restore in un Pristine BIOS e in una copia ridondante precon gurata e preinstallata dell’immagine del sistema operativo.
Restore semplice: esegue rapidamente il restore dello stato del server dopo la sostituzione di una scheda madre.
PROTEZIONE
RILEVAMENTO
RIPRISTINO
PRINCIPALI FUNZIONALITÀ DI PROTEZIONE END-TO-END
LEADER NELLA SICUREZZA:• Attenzione dedicata alla
sicurezza di firmware e hardware • Controllo diretto sul
firmware critico • Utilizzo di chip di silicio
personalizzati forniti da produttori controllati
• Controllo sul processo di progettazione e sviluppo dei server
• Fornitura di funzionalità di protezione durante il ciclo di vita della sicurezza
RITARDATARI NELLA SICUREZZA:• Tendenza a essere in ritardo
rispetto all’innovazione delle funzionalità
• Poche o nessuna funzionalità di protezione
• Poco o nessun controllo sulla supply chain
• Dipendenza da chip di silicio non personalizzati di terze parti
• Possibili costi di licenza per funzionalità di protezione standard
Immagine 1: Principali funzionalità di protezione end-to-end
© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |
7
La categoria B include i "ritardatari nella sicurezza", noti anche come
provider di hardware. In termini di innovazione delle funzionalità di
protezione, i vendor di server all'interno di questa categoria spesso
sono indietro rispetto ai leader nella sicurezza. Oppure, al fine di ridurre
i costi, potrebbero anche non preoccuparsi affatto delle funzionalità di
protezione. Un ritardatario nella sicurezza ha poco o nessun controllo
sulla supply chain di produzione, cosa che introduce vulnerabilità di
sicurezza di hardware e firmware nell'ecosistema dei server. I vendor
di server ODM (Original Design Manufacturer) rientrano in questa
categoria. Dipendono da software di terze parti e chip pronti all'uso
di terze parti; pertanto, per definizione, i ritardatari nella sicurezza
non hanno controllo sul processo di sviluppo dei server, dalla
progettazione alla produzione. In definitiva, i ritardatari nella sicurezza si
contraddistinguono in quanto considerano e trattano la sicurezza come
se fosse responsabilità dell'utente finale. Spesso applicano un costo di
licenza per funzionalità di protezione che dovrebbero essere standard.
Pertanto, se si sceglie uno di questi vendor, occorre essere pronti a
sostenere l'onere della sicurezza dell'infrastruttura IT in modo autonomo.
Principali criteri di sicurezza per l'infrastruttura IT modernaIn questa sezione si illustra COME accertarsi che il data center abbia
una sicurezza end-to-end, dalla tecnologia al sistema. Dell EMC ha
individuato quattro domande chiave che ogni CIO, CISO o responsabile
IT deve porre al proprio vendor di server al momento di intraprendere
un’IT Transformation. Se si ricevono le risposte giuste, l'infrastruttura
IT è abbastanza sicura da supportare un’IT Transformation di successo.
Al contrario, se il partner IT non sa rispondere a queste domande
o non è conforme agli standard elencati di seguito, è bene prendere
in considerazione un cambiamento.
Domanda n. 1: Come viene garantita la sicurezza dei server a livello
di firmware e hardware?
Molte organizzazioni IT si concentrano su preoccupazioni di sicurezza
informatica, come la protezione della rete, dei dati, del sistema
operativo e delle applicazioni, ma dedicano meno attenzione
all'infrastruttura server sottostante che comprende hardware e
firmware. Inoltre, con il proliferare dei dispositivi IoT, le funzionalità
di firmware, sistema operativo e applicazioni diventano sempre più
interconnesse; la differenziazione inizia a non essere più così evidente.
L’hardware e il firmware sono obiettivi meno frequenti, ma considerato
lo stato attuale della sicurezza di hardware/firmware, è solo una
questione di tempo prima che attori malevoli si accorgano del fatto
che molti di questi componenti presentano vulnerabilità.
Come viene garantita la sicurezza dei server a livello di firmware e hardware?
© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |
8
Dell EMC è in prima linea nel fornire informazioni al mercato sulle
vulnerabilità della sicurezza dell’hardware e del firmware dei server.
Dell EMC si dedica alla sicurezza di hardware e firmware già da molti
anni. I professionisti della sicurezza IT sanno che, di fronte all’infinita
ingegnosità degli aspiranti hacker, nessun sistema è completamente
infallibile. Tuttavia, ogni server dell'infrastruttura IT dovrebbe essere
dotato di quanto segue come protezione contro gli attacchi all’hardware
e al firmware del server stesso.
� Radice di affidabilità basata su silicio
�Dell EMC utilizza una doppia e immutabile radice di affidabilità
basata su silicio per garantire attraverso crittografia l’integrità
e l'avvio del BIOS e del firmware iDRAC su tutti i server
PowerEdge di 14a generazione.
�Dell EMC ha scelto un doppio approccio alla radice di affidabilità
basata su silicio; il dominio BIOS/OS è indipendente dal dominio
iDRAC.
�A differenza dei ritardatari nella sicurezza, Dell EMC collabora
con produttori di chip di silicio ampiamente controllati per
personalizzare il chip e integrare tecnologia con questa radice
di affidabilità.
� Sicurezza del BIOS (Basic Input/Output System)
� I server Dell EMC PowerEdge di 14a generazione contengono
funzionalità innovative che offrono nuovi modi per proteggere
il BIOS ed eseguirne il ripristino, garantendo l'integrità della
piattaforma nel corso dell'intero ciclo di vita del server.
� Intel Boot Guard6 e il ripristino del BIOS costituiscono una
dimostrazione dell'impegno profuso dai tecnici Dell EMC per
garantire la sicurezza e la stabilità dell'infrastruttura aziendale.
� Sicurezza fisica
� I server PowerEdge forniscono il rilevamento e la registrazione
delle intrusioni nell’hardware; il rilevamento funziona anche in
assenza di alimentazione CA.
� Le porte I/O fisiche, come gli ingressi USB, possono essere
disabilitate in modo dinamico tramite iDRAC. Ciò consente
di disabilitare tali porte per l'utilizzo di produzione e inoltre
concede temporaneamente accesso per crash cart debug
senza riavvio del server.
Dell EMC è in prima linea nel fornire informazioni al mercato sulle vulnerabilità della sicurezza dell’hardware e del firmware dei server.
© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |
9
� I server PowerEdge sono dotati di frontalini e coperchi con
chiusura e di sensori che rilevano l’apertura o la manomissione
dello chassis. Al collegamento dell’alimentazione, i server aperti
durante il transito generano un log del ciclo di vita iDRAC.
Domanda n. 2: In che modo vengono protetti i server durante
il ciclo di vita della sicurezza?
La sicurezza dell'infrastruttura IT non è una destinazione, è un viaggio
continuo. Esiste un ciclo di vita continuo per il percorso della sicurezza
IT di ogni organizzazione. Il National Institute of Standards and
Technology (NIST) definisce cinque fasi principali del ciclo di vita della
sicurezza.7 Dell EMC mantiene il framework NIST e lo semplifica in tre
fasi principali: protezione, rilevamento e ripristino. Per i responsabili IT
è importante comprendere in che modo viene protetta l'infrastruttura
IT in tutte le fasi del ciclo di vita della sicurezza. Se il vendor di server
non conosce approfonditamente il ciclo di vita della sicurezza, c’è da
preoccuparsi. Ogni singolo server nel data center deve essere dotato
di funzionalità di protezione dedicate, concepite per ciascuna fase:
protezione, rilevamento e ripristino.
I server Dell EMC PowerEdge di 14a generazione presentano un'architettura
resiliente alle cyber threat e avanzata con una progettazione server
rafforzata a livello di sicurezza per proteggere, rilevare e ripristinare
in caso di attacchi diretti ai server. Gli aspetti chiave dell'architettura
sono illustrati nell’Immagine 2 e indicati di seguito:
� Protezione: la fase Protezione si basa sulla filosofia per cui gli
asset dell'infrastruttura dovrebbero fornire una solida protezione
contro l’accesso non autorizzato a risorse e dati, nonché contro
la manomissione dei componenti critici come il firmware integrato.
� Rilevamento: è essenziale disporre di una capacità di rilevamento
che offra visibilità completa su configurazione, stato di integrità
ed eventi di modifica all'interno del sistema server. Una volta
rilevato un evento di sicurezza, risulta inoltre essenziale avere la
capacità di inviare alert su ogni evento. Queste funzionalità devono
coprire TUTTI i componenti server. I server Dell EMC PowerEdge
raggiungono capacità di rilevamento complete tramite le
funzionalità di protezione riportate nell'Immagine 2.
� Ripristino: gli incidenti di sicurezza IT sono inevitabili. Tuttavia,
la portata di questi incidenti si riduce con l’adozione dei giusti
protocolli di ripristino. L’infrastruttura server deve supportare il
ripristino a uno stato noto e coerente in risposta a una varietà di
eventi. In quanto architettura resiliente alle cyber threat, i server
PowerEdge sono concepiti per eseguire il ripristino in modo rapido
ed efficace da una varietà di eventi di sicurezza, come illustrato
nell'Immagine 2.
La sicurezza dell'infrastruttura IT non è una destinazione, è un viaggio continuo.
© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |
10
Immagine 2: Dell EMC Cyber Resilient Architecture
Domanda n. 3: In che modo è integrata la sicurezza nel processo di sviluppo del prodotto?
Quando si pone questa domanda, i vendor di server della categoria "ritardatari nella sicurezza" potrebbero
rimanere perplessi. Per fornire un'architettura resiliente alle cyber threat occorre avere consapevolezza della
sicurezza e disciplina in ciascuna fase dello sviluppo e questo non è né semplice né economico. Dell EMC
chiama questo processo modello Security Development Lifecycle (SDL), in cui la sicurezza non è un aspetto
da affrontare in un secondo momento, ma è parte integrante del generale processo di progettazione dei server.
Questo processo di progettazione include la considerazione delle esigenze di sicurezza in tutto il ciclo di vita
dei server, come illustrato nell’elenco puntato sottostante e nell’Immagine 3:
� Le funzionalità sono concepite, progettate, trasformate in prototipi, implementate, messe in produzione, distribuite e gestite secondo un criterio prioritario che è quello della sicurezza
� Il firmware del server è progettato in modo da bloccare, ostacolare e contrastare l’introduzione di codice malevole durante tutte le fasi del ciclo di vita dello sviluppo del prodotto
� Per le tecnologie critiche, audit esterni integrano il processo SDL interno per garantire che il firmware sia conforme alle best practice di sicurezza già note
SERVER
• Controllo degli accesi degli utenti autenticati e autorizzati
• Avvio dei server a�dabile con crittogra�a
• Aggiornamenti del �rmware con �rma digitale
• Data storage cifrato
• Sicurezza �sica
Protezione e�cace
• Risposta rapida alle comuni vulnerabilità ed esposizioni (CVE)• Due livelli di ripristino del sistema: Ripristino rapido del sistema
operativo e ripristino del BIOS • Rollback del �rmware per il restore a uno stato del sistema
a�dabile• Restore semplice per tornare automaticamente all’ultima
con�gurazione nota del server, licenza iDRAC e policy di sicurezza dopo la manutenzione dell’hardware
• Erasure del sistema per cancellare i dati sensibili e le impostazioni della con�gurazione prima del ritiro o del riutilizzo di un sistema
Ripristino rapido
• Device management senza agent tramite iDRAC
• Monitoraggio completo tramite iDRAC: Log del ciclo di vita
e alert delle attività
• Rilevamento degli scostamenti con OpenManage Essentials
Systems Management Software
• Monitoraggio delle intrusioni per rilevare le manomissioni dello
chassis durante il transito
Rilevamento a�dabile
© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |
11
Dell EMC ritiene che la sicurezza sia fondamentale per chiunque utilizzi i server PowerEdge.
� Il test e la valutazione continui di nuove potenziali vulnerabilità vengono eseguiti utilizzando i più recenti strumenti di valutazione della sicurezza
� Vengono forniti ai clienti risposte rapide e reporting sulle comuni vulnerabilità ed esposizioni (CVE) critiche, comprese misure di risoluzione consigliate se garantite
Immagine 3: Dell EMC Secure Development Lifecycle
Domanda n. 4: In che modo viene stabilito il prezzo delle principali
funzionalità di protezione?
Si tratta ovviamente di una domanda trabocchetto. Per Dell EMC, la
sicurezza non è un set di funzionalità da concedere in licenza, ma un set
di priorità in continua evoluzione che i tecnici Dell EMC integrano in ogni
server PowerEdge. Dell EMC ritiene che la sicurezza sia fondamentale
per chiunque utilizzi i server PowerEdge. Non chiede alle aziende di
pagare un costo di licenza per la sicurezza per trarre vantaggio da
un'architettura resiliente alle cyber threat. Sarebbe come se le case
automobilistiche applicassero un costo annuale per gli airbag e le cinture
di sicurezza. Dell EMC produce solo server che vengono sottoposti
al Security Development Lifecycle e che soddisfano gli standard di
un'architettura resiliente alle cyber threat. Il problema è che non tutti
ivendor di server trattano la sicurezza in questo modo.
SECURITYDEVELOPMENT
LIFECYCLE
Analisi dei requisiti
Progettazione
Implementazione
Veri�ca/ Test
Release/ Risposta
Manutenzione
© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |
12
Dell EMC consiglia ai responsabili IT di leggere le clausole scritte in piccolo. Questi server sono sicuri anche
se non acquisto una licenza per la sicurezza aggiuntiva? I CIO e i CISO devono porre questa domanda
specificamente prima di firmare qualsiasi contratto di acquisto o refresh di server. Le funzionalità di protezione
end-to-end riepilogate nell'Immagine 1 sono funzionalità di livello base fornite come standard su ogni server
PowerEdge. Occorre sapere in che modo il vendor di server addebita i costi delle funzionalità di protezione.
Dopo di che, è necessario valutare attentamente se si è disposti a collaborare con un vendor che non fornisce ai
clienti funzionalità di protezione standard (protezione, rilevamento e ripristino) come caratteristiche predefinite.
Conclusioni I responsabili aziendali incaricati dell’implementazione dell’IT Transformation devono iniziare con il rinnovo
dell'infrastruttura IT. Una fase cruciale del rinnovo è l'implementazione di un'infrastruttura IT sicura. Investire
in un’infrastruttura IT moderna che non dispone di sicurezza end-to-end è come acquistare una nuova
Ferrari e lasciarla aperta davanti a casa anziché chiusa e protetta in garage. I server PowerEdge sono le
fondamenta del Modern Data Center e la sicurezza su un server PowerEdge non deve essere aggiunta in un
secondo momento perché è già integrata. Dell EMC si impegna a fornire sicurezza end-to-end su ogni server
PowerEdge, dal livello di firmware e hardware e per tutto il ciclo di vita della sicurezza IT.
La posta in gioco per i leader IT è elevata e i rischi associati a una sicurezza dell'infrastruttura IT inadeguata
includono precarietà del lavoro, danni alla reputazione e danni economici. Per questo motivo, ogni responsabile
IT o CIO deve mettere in discussione il proprio vendor di server per accertarsi di ottenere una sicurezza end-to-
end. Di seguito sono riportate le quattro domande da porre al vendor di server.
1. "I server sono sicuri a livello di hardware e firmware?"
2. "I server sono protetti nell’intero ciclo di vita della sicurezza?"
3. "La sicurezza è integrata nel processo di sviluppo del prodotto?"
4. "Devo pagare costi di licenza per trarre vantaggio dalle principali funzionalità di protezione?"
Attraverso queste domande, i responsabili IT e i CIO possono intraprendere un percorso verso un'IT
Transformation di successo.
Risorse aggiuntive
Approfondimenti sulla sicurezza dei server Dell EMC PowerEdge
� White paper Enterprise Management Associates (EMA): Dell EMC PowerEdge Servers: The Integrated
Security Architecture
� White paper tecnico Dell EMC: Sicurezza end-to-end nei server Dell EMC PowerEdge di 14a generazione
� Dell EMC Direct dalla nota tecnica sullo sviluppo: Erasure del sistema sui server PowerEdge 14G
� Dell EMC Direct dalla nota tecnica sullo sviluppo: Sicurezza nella progettazione dei server
� Dell EMC Direct dalla nota tecnica sullo sviluppo: La resilienza informatica inizia dal chipset e dal BIOS
© 2018 Dell Inc o sue società controllate. Sicurezza dei server end-to-end: guida per i responsabili IT |
© 2018 Dell Inc. o sue società controllate. Tutti i diritti riservati. Dell, EMC e gli altri marchi sono marchi di Dell Inc. o di sue società controllate. Altri marchi possono essere marchi dei rispettivi proprietari. Pubblicato a febbraio 2018.
Partecipare alla conversazione su Twitter @DellEMCServers con
#PowerEdge
Visualizzare più risorseContattare un esperto Dell EMC
Per sapere di più sulle soluzioni Dell EMC
PowerEdge
1 "Top 10 Strategic Technology Trends of 2018" Gartner, 3 ottobre 2017: https://www.gartner.com/document/3811368?ref=ddrec 2 "Harvey Nash/KPMG CIO Survey 2017" Harvey Nash/KPMG, 23 maggio 2017: http://www.kpmg-institutes.com/content/dam/kpmg/advisory-institute/pdf/2017/cio-survey-harvey-nash-2017-us.pdf 3 "Forecast Alert: IT Spending, Worldwide, 3Q17 Update" Gartner, 29 settembre 2017: https://www.gartner.com/document/3810569 4 "IT Key Metrics Data 2017: Key IT Security Measures: by Industry" Gartner, 12 dicembre 2016: https://www.gartner.com/document/3524617?ref=solrAll&refval=194212569&qid=c3e5998670a94b9eee7d2a4d5222ea60 5 "Firmware Security Risks and Mitigation: Enterprise Practices and Challenges", ISACA, 18 ottobre 2016: http://www.isaca.org/knowledge-center/research/researchdeliverables/pages/firmware-security-risks-and-mitigation.aspx 6 I server PowerEdge di 14a generazione supportano anche l’avvio sicuro AMD 7 "Framework for Improving Critical Infrastructure Cybersecurity," National Institute of Standards and Technology, 10 gennaio 2017: https://www.nist.gov/sites/default/files/documents////draft-cybersecurity-framework-v1.11.pdf