Infrastrutture e reti
Network Access Control (NAC): cos’è e perché è importante?
Nell’implementazione di una strategia di sicurezza robusta ed efficace, un ruolo chiave lo giocano i NAC, Network Access Control, soluzioni che consentono di monitorare i dispositivi e gli utenti che cercano di accedere alla rete, limitando l’accesso alle risorse a utenti non autorizzati e, soprattutto, a criminali informatici, hacker o attacker.
Tradizionalmente utilizzati da istituzioni finanziarie, aziende e istituzioni con elevati requisiti di sicurezza, centri di ricerca e università, i NAC sono al centro dell’attenzione per contrastare gli accresciuti rischi di sicurezza legati sia alle politiche Bring Your Own Device, sia al proliferare di dispositivi IoT connessi in rete, sia ancora alla possibilità di integrarli nell’MDM (Mobile Device Management), nel SIEM (Security Information and Event Management) nei firewall di nuova generazione.
In una strategia di cybersecurity ben strutturata, il NAC consente alle aziende di fare gatekeeper per gli utenti autorizzati, in particolare per tutte quelle realtà che consentono l’accesso remoto alla rete aziendale da dispositivi non aziendali come telefoni cellulari, laptop e tablet, o per le aziende che consentono ai dipendenti che lavorano in ufficio di utilizzare dispositivi personali. Limitando o negando l’accesso alle risorse a utenti e dispositivi che non rispettano i criteri di sicurezza, le soluzioni NAC aiutano le aziende a garantire la conformità e a rafforzare la loro infrastruttura informatica.
Significato di Network Access Control
Come abbiamo accennato, con NAC (Network Access Control) si intende un software che monitora e controlla gli accessi alla rete e regola l’ammissione alla rete stessa.
Da non confondere con 802.1X, lo standard IEEE per il controllo degli accessi alla rete basato su porte, il NAC viene implementato al fine di rafforzare la sicurezza, la visibilità e la gestione degli accessi di una rete proprietaria, limitando la disponibilità delle risorse di rete ai dispositivi endpoint e agli utenti che rispettano policy di sicurezza definite.
È dunque un insieme di regole, protocolli e processi che governano l’accesso alle risorse connesse alla rete, cablate e wireless, come router di rete, PC tradizionali, dispositivi IoT e altre tipologie di endpoint e che si applica anche alle risorse virtuali e software-defined.
Di fatto, funge anche da inventario permanente degli utenti, dei dispositivi e del loro livello di accesso.
Può essere utilizzato anche come strumento di “active discovery”, per scoprire dispositivi precedentemente sconosciuti che potrebbero aver ottenuto l’accesso a tutta la rete o a parti di essa, richiedendo agli amministratori IT di modificare i criteri di sicurezza.
Come funziona e tipologie di NAC
Spetta ai team di sicurezza definire i protocolli che costituiscono la base dei criteri di autorizzazione, la network access control list (ACL), che il NAC applicherà ogni volta che riceve una richiesta di connessione.
In altre parole, il sistema autentica gli utenti e crea connessioni sicure che assomigliano ai classici traffic tunnel delle reti private virtuali.
Non solo.
Determina anche quali risorse sono disponibili per ciascun utente: i criteri di sicurezza possono definire infatti diversi livelli di accesso in base ai ruoli degli utenti e il software NAC impedire che gli utenti escano dalle autorizzazioni assegnate.
Inoltre, poiché anche dispositivi autorizzati possono contravvenire alle regole definite, l’utilizzo di sensori per NAC, sia come componenti software, sia direttamente sugli access point consente di controllare in tempo reale l’intero traffico di rete, bloccandolo se necessario.
Generalmente si fa riferimento a due tipologie di Network Access Control: Pre-Admission e Post-Admission.
- Pre-Admission
In questo caso, il controllo dell’accesso alla rete prima dell’ammissione avviene prima che l’accesso sia concesso. Un utente che tenta di entrare nella rete fa una richiesta di accesso. Il NAC esamina la richiesta e fornisce l’accesso se il dispositivo o l’utente è in grado di autenticare la propria identità.
Il NAC memorizza le credenziali degli utenti su database sicuri e i protocolli di accesso specificano i requisiti che i dispositivi devono soddisfare prima di poter accedere. In genere si utilizzano anche servizi di autenticazione di terze parti per fornire un’ulteriore garanzia tramite MFA (Multi Factor Authentication). - Post-Admission
In questo caso si intende un processo di concessione dell’autorizzazione a un dispositivo o a un utente autenticato che tentano di entrare in un’area nuova o diversa della rete per la quale non è stata concessa l’autorizzazione. Per riceverla, l’utente o il dispositivo devono verificare nuovamente la propria identità.
Il NAC Post-Admission controlla ciò che gli utenti possono fare una volta che accedono alle risorse aziendali. I firewall interni segregano le risorse di rete, mentre i protocolli di sicurezza garantiscono che gli utenti accedano solo ai dati corrispondenti ai loro privilegi. Quando gli endpoint tentano di violare tali privilegi, il NAC li blocca e nega l’accesso.
Funzionalità fondamentali del controllo all’accesso alla rete
Ma quali sono, in sostanza, le funzionalità peculiari di un NAC, che rendono più semplice agli amministratori di rete la gestione della postura di sicurezza della loro infrastruttura?
- Visibilità totale della rete
L’adozione di soluzioni NAC rendono le reti più leggibili per i network manager, consentendo loro di mappare i dispositivi connessi e avere visibilità di cosa accade al perimetro della rete, identificando le minacce e avviando azioni di mitigazione prima che causino danni. - Profilazione degli utenti
Quando gli utenti richiedono l’accesso remoto, il sistema verifica immediatamente le loro credenziali, escludendo dispositivi e individui sconosciuti, confrontando i dati con le risorse conservate a livello centrale. - Gestione degli utenti guest
Per gli amministratori di rete è anche possibile ammettere in modo sicuro utenti ospiti e temporanei garantendo loro un accesso limitato alla rete.
Questo significa poter facilitare la collaborazione con partner, consulenti e collaborati, senza mettere a repentaglio la sicurezza all’interno della rete aziendale. - Gestione degli utenti interni
Nel momento in cui un utente è autenticato, il NAC è in grado, sulla base delle regole definite dagli amministratori, di determinare ciò che questi possa fare, limitando l’accesso a risorse sensibili solo a chi esplicitamente autorizzato. - Gestione della rete
I network administrator possono utilizzare i NAC anche nell’ambito delle loro attività di gestione della rete. In particolare, il NAC può trovare applicazione in questi tre casi: - Load balancing, per distribuire il traffico e migliorare l’affidabilità e le prestazioni;
- Network resource management, per gestire e allocare le risorse per i processi di rete;
- network user sessions, per tracciare gli utenti, memorizzare i loro dati e mantenere il loro stato specifico.
In sintesi estrema, possiamo sintetizzare sei funzioni chiave di un NAC
- Block: ovvero bloccare l’accesso alla rete da parte di endpoint (non conformi ai criteri di sicurezza aziendali;
- Integrate: ovvero possibilità di integrazione con altre soluzioni di sicurezza attraverso interfacce per programmi applicativi.
- Limit: ovvero Limitare l’accesso alla rete agli utenti e a specifiche aree della rete;
- Manage: ovvero gestire il ciclo di vita delle policy per diversi scenari operativi;
- Prevent: ovvero prevenire l’accesso ai dati da parte di figure non autorizzate
- Recognize: ovvero riconoscere e profilare gli utenti e i dispositivi per proteggerli;
- Security Posture Check: ovvero valutazione e classificazione della conformità delle politiche di sicurezza in base all’utente, al dispositivo, alla posizione, al sistema operativo e ad altri criteri.
Perché è importante?
Per comprendere l’importanza di un NAC, può essere utile pensare agli scenari e ai casi d’uso più comuni, a partire, ad esempio, dal già citato BYOD.
Con la crescente diffusione delle modalità di lavoro agili e da remoto, è sempre meno raro che dipendenti e collaboratori utilizzino i loro dispositivi personali per lo svolgimento delle loro attività lavorative.
In questo caso, criteri NAC possono essere estesi al BYOD per garantire che sia il dispositivo che il suo proprietario siano autenticati e autorizzati a entrare nella rete.
Analogamente, la diffusione di oggetti connessi, dalle telecamere di sicurezza ai sensori per il monitoraggio degli accessi o delle sale riunioni negli uffici, amplia di fatto la superficie di attacco di una organizzazione.
Il NAC può ridurre il rischio applicando misure di profilazione e criteri di accesso per questa categoria di dispositivi.
Non ultimo, il Network Access Control è utile anche per concedere l’accesso temporaneo a esterni e collaboratori, con policy ad hoc diverse da quelle in uso per i dipendenti regolari.
Infine, il Network Access Control ha un ruolo chiave nell’Incident Response, identificando i dispositivi compromessi e disabilitandone automaticamente l’accesso per evitare che un attacco si diffonda nella rete.
Conclusione
È innegabile che le funzionalità di automazione del NAC offrano un’enorme efficienza al processo di autenticazione di utenti e dispositivi e di autorizzazione all’accesso. La presenza di controlli in background e le funzioni di visibilità del NAC aggiungono nuovi livelli di sicurezza per gli amministratori e per gli utenti.
Inoltre, il NAC rappresenta un tassello ulteriore per tutte quelle organizzazioni che devono o vogliono soddisfare norme di conformità sempre più stringenti, che regolano quali dati possono essere raccolti, archiviati e condivisi da un’organizzazione. E una strategia NAC efficace consente di proteggere l’accesso alla rete e soddisfare i requisiti di conformità alle normative.
