Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : Rights Management Services (RMS)

Nuova alleanza strategica tra Microsoft e EMC RSA Security sulle tecnologie di Information Protection e Data Loss Prevention

Feliciano Intini — Thu, 04 Dec 2008 20:37:48 GMT

E' davvero notevole osservare come sia possibile che due aziende siano strenui concorrenti su alcuni ambiti (ad esempio sull'area della virtualizzazione, visto che VMWare è di EMC, o anche sulle stesse soluzioni di gestione dei certificati), e nonostante...(read more)

Nuovi video seminari Technet Spotlight sulla sicurezza

Feliciano Intini — Mon, 04 Aug 2008 16:53:28 GMT

Sia che siate in vacanza, sia che siate ancora/già al lavoro, probabilmente in questo periodo avrete un po' di tempo libero in più del solito. Il mio personale invito è sicuramente quello di usarlo per ritemprarvi nel corpo e nello spirito,...(read more)

Disponibile la beta dell' Extranet Collaboration Toolkit for Sharepoint

Feliciano Intini — Tue, 15 Jan 2008 13:09:21 GMT

Un'altra segnalazione di un programma beta (trovo molto opportuna la crescente condivisione al pubblico dei progetti Microsoft in fase di completamento - prodotti/guide/soluzioni - voi che ne pensate? Le trovate utili? Se avete osservazioni fatemi sapere!). E' la volta di un applicativo e di un'area tecnologica che non avevo ancora avuto modo di toccare, Sharepoint e gli aspetti di Secure Collaboration.

Quanti di voi sanno cosa sia Sharepoint? Forse i lettori meno tecnici ignorano cosa sia e meritano un concetto sintetico a cui associare questo prodotto. Sharepoint è una applicazione server che è nata per semplificare la realizzazione di portali web interni (per la Intranet aziendale) per agevolare la condivisione documentale. Ben presto la sua immediatezza d'uso e la sua flessibilità ha fatto capire a Microsoft che questa soluzione poteva soppiantare i vecchi File Server (la nostra Intranet è ormai tutta Sharepoint-based) e diventare una piattaforma in grado di abilitare una serie notevole di nuove funzionalità: oltre alla gestione documentale (per esempio arrichita dalla gestione integrata con RMS per la cifratura e il policy enforcement), anche le attività di collaborazione, i workflow e la modulistica per supportare i processi aziendali, la ricerca delle informazioni (enterprise search). Da qui all'integrazione strategica con il client Office il passo è stato breve ed è avvenuto con la suite di Office 2007 e Microsoft Office Sharepoint Server 2007 (MOSS 2007). Per approfondire, consultate la home page Sharepoint su Microsoft Italia e il blog dell'amico Roberdan.

Il solution accelerator che vi segnalo, l'Extranet Collaboration Toolkit for Sharepoint, è stato pensato per aiutare le aziende ad abbandonare l'uso di email e instant messaging come strumenti potenzialmente poco sicuri per la condivisione dei documenti con realtà esterne (con l'Extranet appunto). Al link che vi ho fornito o nel post del team dei Solution Accelerator di Security/Compliance trovare il puntatore al sito Connect per scaricare e valutare la beta di questo toolkit, utilissimo!

Virtualizzazione per ottenere maggiore sicurezza sul client? Non per ora direi ...

Feliciano Intini — Fri, 23 Nov 2007 14:19:22 GMT

In questi giorni ho realizzato un nuovo approfondimento sugli scenari possibili di rafforzamento per il client aziendale, nella situazione tipica di un computer portatile che viene usato sia al lavoro che a casa: è naturale la preoccupazione di difendere l'azienda da tutte le "schifezze" che il computer può magari contrarre mentre si naviga a casa in piena libertà ... Diversi clienti hanno da sempre provato a valutare la fattibilità e l'efficacia di soluzioni di separazione dei due ambiti casa/ufficio, come il dual-boot di due sistemi operativi paralleli, e ora, con la diffusione delle soluzioni di virtualizzazione, si stanno riproponendo questo dubbio: si otterrebbe maggiore sicurezza dal separare i due ambiti con le nuove tecnologie di virtualizzazione? Per dare risposta a questa domanda ho fatto delle riflessioni che ho pensato possano interessarvi e quindi vi condivido. Intanto ho trovato un comune denominatore in queste soluzioni: sia il dual-boot su dischi/partizioni interne, sia il dual-boot su dischi veloci esterni, sia l'uso di immagini virtuali, sono tutte soluzioni di "duplicazione e separazione", duplicano il sistema operativo per separarne l'uso in due scenari diversi. Vediamo vantaggi e svantaggi:

Vantaggio:

si propongono di ottenere una separazione netta di sistemi operativi, applicazioni, impostazioni computer, impostazioni utente e/o dati.

Svantaggi:

Introducono una notevole complessità e un appesantimento delle procedure di gestione dei sistemi: di fatto abbiamo 2 sistemi operativi da gestire (se già le aziende fanno fatica a gestirne uno, figuriamoci due !)
Alcune soluzioni non garantiscono l’esatta duplicazione di funzionalità: è purtroppo un dato di fatto che un sistema operativo "guest" (quello virtuale) non ha lo stesso accesso a periferiche e interfacce hardware.
Sono anacronistiche rispetto all’evoluzione delle esigenze degli utenti: a questo proposito ho coniato una frase in stile Microsoft per descrivere questa tendenza, "Unified & Secure Digital Experience".

Già, rifletteteci anche voi sull'ultimo punto, sulla base della vostra esperienza personale: gli utenti mal si adattano alla separazione stagna di ambiti di fruizione di contenuti digitali: oggi si lavora anche mentre si è a casa, e si fruisce di servizi online (non necessariamente connessi al lavoro, vedi fenomeno Web 2.0) anche mentre si è in ufficio. Dal mio punto di vista, già da sola questa considerazione basterebbe per abbandonare questa ipotesi d'uso di ambienti separati.

Ma poi mi sono anche chiesto: ma questa "separazione" che si vuole ottenere con queste soluzioni è davvero un vero e proprio "isolamento" dal punto di vista sicurezza? Io credo di no e provo a spiegarvelo: per farlo ho bisogno di condividere un concetto molto illuminante che ho appreso dal mitico Mark Russinovich nel nostro recente incontro a Redmond, il concetto di Security Boundary, che si spiega nei tre punti seguenti:

Esiste una Security Policy
Si ha modo di determinare, monitorare e forzare il rispetto di questa Security Policy

Esempio: “C’è giustizia se ci sono le leggi ma non si riesce a farle rispettare ?”
Quindi: “C’è sicurezza se ci sono le Security Policy ma non si riesce a forzarle?”

Le violazioni della Security Policy sono gestite come problemi di sicurezza e quindi vanno trattate come tali (individuare le vulnerabilità e correggerle).

Ecco il punto: le soluzioni tecnologiche accennate (dual-boot, virtualizzazione...) non sono attualmente in grado di realizzare un vero e proprio “Security Boundary”: tipicamente l'attuale punto debole è che non si riesce a forzare il rispetto delle Security Policy. Un esempio: non avere meccanismi nativi per forzare quando è possibile usare una Virtual Machine, e quando è vietato, in base alla rete a cui si è connessi.

E' per questo che per ora l'approccio migliore possibile per il rafforzamento del client aziendale è il ricorso alle soluzioni di Policy Enforcement multi-livello (Defense In-Depth), di cui ne sono un esempio tra tutte il NAP per la rete ed RMS per i dati.

Magari nel futuro le soluzioni di virtualizzazione si evolveranno anche per rappresentare una soluzione di sicurezza, per per ora sono orientate ad altri obiettivi (consolidamento risorse di calcolo, gestione delle compatibilità applicative).

Condividete queste considerazioni ?