While conducting research interviews for a small but rapidly growing business recently, I encountered for the first time an organization with a “no network provider” network. That is, instead of using Cisco or Dell or even a white-box solution for switching and routing, the company simply deployed Fortinet equipment across its entire network. That is, every network component is part of their security infrastructure.
Costruiscono le loro reti in questo modo non solo per incorporare la sicurezza nel suo nucleo (che è una buona idea in sé), ma anche per:
Facile da gestire: hanno uno strumento che gestisce ogni componente
Facile da implementare: Esistono solo due o tre versioni di ciascun dispositivo, tutte identiche tranne che per la capacità e il numero di porte.
Facilmente espandibile a nuove sedi: ogni sito ha l'aspetto di qualsiasi altro sito di dimensioni simili
Hanno un piccolo numero di unità sostitutive sugli scaffali e possono fornire un ripristino rapido per tutte le sedi. Inoltre, possono facilmente utilizzare il Security Operations Center as a Service e ricorrere a servizi professionali per quasi tutte le altre operazioni di rete. In sostanza, la soluzione di sicurezza può diventare la soluzione di rete completa.
Hanno usato Fortinet, ma avrebbero potuto scegliere Versa Networks o Watchguard o altro.
Mentre i fornitori di sicurezza si spingono sempre più nel cyber, le aziende dovrebbero abbracciare la loro visione?
Sì e no.
On the plus side, there are some clear benefits centered around operational simplicity and ease of management since there is only one vendor and a minimal number of device types making up a converged network/security stack. What’s more, putting security at the core of the network should greatly reduce the likelihood, if not the impossibility, of a disconnect between security policy and network practices, which is all too common in environments where security is separated from connectivity.
Il rovescio della medaglia è che la monocultura dell'IT rende l'infrastruttura più suscettibile ai punti deboli della piattaforma scelta e ai problemi del fornitore. Se c'è una vulnerabilità di sicurezza nel sistema operativo di un dispositivo centrale, l'intera rete e tutte le sedi potrebbero essere vulnerabili allo stesso modo nello stesso momento: un singolo attacco che mette in pericolo tutti. Se la sicurezza ha un livello infrastrutturale separato, i problemi del livello di sicurezza possono essere attenuati modificando le configurazioni del livello di rete, così come il livello di sicurezza riduce i rischi della rete. Se un fornitore viene acquisito o acquisisce un altro fornitore, il supporto per l'intera infrastruttura di connettività sarà a rischio durante il periodo di transizione.
Il rovescio della medaglia di avere solo una morsa quando le cose vanno male è una minore leva nella negoziazione dei prezzi e un potenziale aumento dei costi. Più ci si affida a un fornitore per qualcosa, più è difficile aumentare la propria quota e passare a un nuovo fornitore.
Per le piccole e medie imprese, l'attrattiva e i vantaggi reali di rendere i sistemi di sicurezza parte dell'intera rete sono più evidenti. È più probabile che abbiano esigenze uniformi e relativamente semplici e che dispongano di personale ridotto. È più probabile che abbiano difficoltà a permettersi, attrarre e trattenere i talenti di cui hanno bisogno nel campo della sicurezza e del networking. Pertanto, c'è solo una piattaforma che può diventare un esperto, in grado di formare nuovi dipendenti o di esternalizzare la gestione e consentire loro di sfruttare al meglio i dipendenti esistenti.
Per le grandi aziende, i vantaggi sono meno evidenti. Queste tendono ad avere ambienti ed esigenze più complesse ed è meno probabile che tollerino i rischi delle monocolture, perché sono in grado di gestire e supportare meglio gli ecosistemi misti.
Quindi, un sistema di sicurezza dovrebbe essere una rete? Per le organizzazioni più piccole sembra possibile, con le avvertenze elencate sopra. Per la maggior parte delle grandi organizzazioni, credo che la risposta al momento sia no. Dovrebbero invece concentrarsi sul rendere i loro sistemi di rete una parte più ampia della loro infrastruttura di sicurezza.
Network switches can and should play a central role when implementing a zero-trust architecture (everyone should be doing this) or SD-LAN or deploying a software-defined perimeter (SDP). The switch should be the policy enforcement point, enforcing policies defined and managed in some kind of security policy engine. They should be able to do this even if they aren’t all from the same vendor, let alone the same security vendor.