E perché mai, direte voi ? Ahiahiahi... La città è bellissima a prescindere da qualsiasi evento, e io non ci sono mai stato ...:-(..., ma non si  può ignorare che oggi a San Francisco si apre l'RSA Conference! Per Microsoft questo evento è ormai diventato un'occasione importante per rinfrescare la strategia di sicurezza e domani (sarà sera per noi in Italia) Bill Gates e Craig Mundie andranno a condividerla con una platea di appassionati. Non mancherò di postare sulle diverse novità che verranno annunciate nel keynote e nelle varie sessioni, e che ora non posso anticiparvi ... ;-) ..., ma un tema centrale è stato già lanciato qualche giorno fa attraverso un comunicato stampa che segnalava il raggiungimento dei 100 partner che hanno dichiarato l'adesione all'integrazione dei propri prodotti con la soluzione di Network Access Protection (NAP). A beneficio di coloro che sono ancora ignari su cosa sia NAP dico in breve che rappresenta una soluzione di sicurezza che si attendeva da tempo per gestire il controllo di accesso alla rete: oggi un amministratore riesce (a fatica) a governare  i sistemi che sono sotto  la sua gestione, ma non ha modo di forzare le policy aziendali di sicurezza nei confronti di sistemi terzi che, anche in modo legittimo, hanno bisogno di interagire con la nostra intranet . Computer di consulenti, fornitori, partner commerciali, connessi alla nostra LAN rischiano di rappresentare una vera e propria minaccia, in grado di essere loro la fonte di attacco e infezione per i nostri sistemi. Le soluzioni di Network Access Quarantine Control introdotte in Windows Server 2003 e poi aggiunte in ISA Server 2004 hanno permesso di iniziare ad affrontare questo problema per gli accessi da remoto: il sistema viene esaminato per valutare il suo stato di salute rispetto ad una serie di policy impostate dall'amministratore (livello di aggiornamento delle security patch, presenza e livello di aggiornamento dell'antivirus, e così via...) e solo se queste sono soddisfatte gli viene permesso di accedere alla intranet; diversamente, viene dirottato su una rete isolata dove potrà aggiornarsi prima di richiedere nuovamente l'accesso. NAP rappresenta l'evoluzione e l'estensione di questa soluzione anche verso lo scenario LAN (sia wired che wireless). Già nel 2004 Microsoft e Cisco avevano dichiarato l'intento di collaborare sul tema e permettere l'interoperabilità delle rispettive soluzioni (quella di Cisco si chiama NAC), ma solo lo scorso settembre 2006 questo proposito comune si è concretizzato in una serie di indicazioni che spiegano come (in questo whitepaper) queste soluzioni saranno interoperabili e come saranno aperte all'integrazione  di componenti sviluppate da altri fornitori IT. Credo sia questo il momento di svolta: solo con l'interoperabilità, la modularità architetturale e l'apertura all'espandibilità verso fornitori terzi si riesce a proporre una soluzione in grado di essere accettata e adottata in modo diffuso dal mercato. L'adesione a NAP dei 100 partner di cui detto non fa che confermare la validità di questo modello. Dal punto di vista della piattaforma Microsoft la soluzione si potrà dire completa solo con le componenti che verranno incluse in Longhorn (la prossima versione del sistema operativo server): il NAP client è già presente in Windows Vista. Tutti i clienti a cui ho parlato di NAP si sono mostrati entusiasti di una tale soluzione, ma approfitto per dire a voi quanto riportato a loro: una soluzione di Network Access Control quale NAP è abbastanza invasiva perché ha un impatto significativo sull'infrastruttura di rete che è l'ossatura di ogni realtà IT. Quindi è opportuno pianificare per tempo l'evoluzione della propria rete sia in termini di infrastruttura HW/SW, che in termini di policy e procedure da applicare: raccogliete il mio consiglio, cominciate subito a documentarvi e a progettare!