Che cos'è un IPS?
Un Intrusion Prevention System (IPS)) è simile a un Intrusion Detection System (IDS) ma fa un passo in più. Come un IDS, un IPS può utilizzare il rilevamento basato sulle firme o sulle anomalie per identificare comunicazioni o tentativi di accesso potenzialmente dannosi nel traffico di rete. Un IPS può essere implementato per proteggere un particolare host, oppure nel perimetro aziendale per proteggere un'intera rete.
La combinazione del rilevamento basato sulle firme e sulle anomalie consente a un IPS di rilevare e rispondere sia alle minacce note, come quelle a cui sono assegnate le vulnerabilità ed esposizioni comuni (CVE) e gli errori comuni descritti nella OWASP Top Ten, sia alle minacce zero-day. Un IPS impedisce lo sfruttamento di applicazioni come Adobe Acrobat e gli exploit del browser, e previene attacchi quali Log4J e altre vulnerabilità note documentate nel database CVE.
La differenza principale tra un IDS e un IPS è che un IDS si concentra sul rilevamento e sulla generazione di avvisi sulle minacce potenziali, mentre un IPS blocca anche le connessioni o i tentativi di accesso dannosi. Un IDS può essere distribuito come un sensore in linea che monitora il traffico che sta proteggendo, oppure come un sensore passivo che monitora una copia del traffico attraverso un rubinetto di rete. Tuttavia, per poter bloccare le comunicazioni dannose in tempo reale, è necessario implementare un IPS in linea.
Che cos'è cloud IPS?
Un IPS cloud è un IPS distribuito nel cloud per proteggere le risorse sensibili quando vi si accede da remoto o, in alternativa, per proteggere le risorse basate sul cloud come parte della sicurezza IaaS.
- Quando viene implementato per proteggere l'accesso di utenti remoti a risorse situate in sede o in ambienti cloud, tutto il traffico dall'utente al servizio o all'applicazione di destinazione viene monitorato per rilevare e bloccare le connessioni sospette. Per esempio, un VPN-as-a-service può essere dotato di un IPS cloud integrato per prevenire connessioni dannose e tentativi di sfruttamento dei sistemi, dei server e delle applicazioni di un'organizzazione.
- Quando viene implementato per proteggere le connessioni della filiale ai data center, ai siti remoti, al campus, all'hub o all'IaaS dell'organizzazione, tutto il traffico dalla filiale (ad es. provenienti dal ramo Router SD-WANUn router generico o un'altra apparecchiatura del cliente) viene ispezionato alla ricerca di vulnerabilità note, con connessioni dannose bloccate in tempo reale.
- Quando viene implementato per proteggere gli ambienti IaaS, un IPS cloud monitora il traffico in entrata e in uscita dall'infrastruttura cloud e blocca qualsiasi tentativo di accesso sospetto per raggiungere gli ambienti cloud dell'organizzazione (ad es. data center cloud, ambiente di produzione, eccetera).
Un IPS cloud può essere distribuito come soluzione autonoma o come parte di un prodotto di sicurezza integrato. Ad esempio, un IPS può essere integrato in un firewall-as-a-service di filiale di nuova generazione (Next Generation FWaaS), in un FWaaS cloud-native per ambienti IaaS o essere distribuito come parte di un Secure Access Service Edge (SASE) che offre. In alternativa, un'organizzazione può essere in grado di sfruttare le funzionalità di un IPS attraverso un modello di servizio.
IPS cloud vs IPS on-Premises - Qual è la differenza?
Gli IPS cloud e on-premise hanno lo stesso scopo di identificare e bloccare i tentativi di attacco contro le risorse di un'organizzazione. Si differenziano in gran parte per il modo in cui vengono impiegati e per le risorse che proteggono.
Un IPS on-premise può essere distribuito come appliance fisica standalone, soluzione virtualizzata o integrata in un altro prodotto, come ad esempio un NGFW. Protegge gli utenti e le applicazioni collegate alla rete interna aziendale.
Un IPS cloud, invece, viene distribuito in un modello basato sui servizi dal cloud, sia come soluzione autonoma, sia come parte di soluzioni di sicurezza integrate per l'accesso degli utenti remoti, l'accesso alle filiali o gli ambienti di produzione e data center cloud (IaaS). A seconda del modello deployment, può quindi essere utilizzato per proteggere solo l'IaaS, o una combinazione di servizi IaaS e on-premises per utenti e filiali remote.
cloud Caratteristiche IPS
Un IPS cloud deve offrire determinate caratteristiche per prevenire gli attacchi contro la rete protetta, tra cui:
- Patching virtuale: Le vulnerabilità del software sono un problema crescente e molte organizzazioni faticano a tenere il passo con la patch del loro ambiente quando viene rilasciato un nuovo aggiornamento del software per bloccare una nuova minaccia. cloud Le soluzioni IPS proteggono le applicazioni on-premise e basate sul cloud bloccando il traffico che tenta di sfruttare le vulnerabilità conosciute nel software non patchato, come quelle incluse nel programma Database CVE. Questo scarica l'onere di applicare manualmente le patch ai sistemi degli utenti, ai server aziendali o alle applicazioni cloud, in quanto l'IPS cloud protegge dalla nuova vulnerabilità senza alcun intervento manuale da parte del team IT o di sicurezza.
- Nota: Quando si tratta di proteggersi da una vulnerabilità software appena scoperta, il tempo è fondamentale. Quanto prima un fornitore aggiorna il suo servizio IPS cloud con una nuova firma, o patch virtuale, contro una nuova falla di sicurezza, tanto più è efficace nel prevenire il suo sfruttamento negli ambienti dei clienti.
- deployment indolore: Evitare i falsi positivi è fondamentale per un IPS cloud efficace deployment. Poiché un IPS cloud blocca le connessioni dannose, anziché limitarsi a rilevarle, è fondamentale che non causi inutili tempi di inattività, perdite di attività e transazioni, e che blocchi solo gli attacchi autentici in tempo reale. Inoltre, un IPS cloud funziona in modo continuo, per non ostacolare le prestazioni.
- Sicurezza integrata: La funzionalità IPS è comunemente integrata in altre soluzioni di sicurezza, come SASE, SSEUn FWaaS di nuova generazione o un Security Gateway per gli ambienti cloud-nativi. Questa integrazione della sicurezza semplifica la gestione dell'architettura di sicurezza di un'organizzazione e consente risposte automatiche e coerenti alle potenziali minacce.
I vantaggi di cloud IPS
L'IPS cloud può fornire vantaggi significativi a un'organizzazione, come ad esempio:
- Protezione dell'accesso remoto: Le aziende supportano sempre di più i lavoratori a distanza che richiedono l'accesso alle risorse on-premise e agli ambienti basati sul cloud. Un IPS cloud può fornire protezione alle risorse aziendali che risiedono sia nei data center on-premises che in quelli cloud e sono spesso integrati in soluzioni di accesso remoto sicuro come parte di un'offerta VPN-as-a-service, branch FWaaS, SSE o SASE.
- Protezione del cloud: Le aziende stanno abbracciando sempre più l'infrastruttura cloud per sviluppare e fornire servizi online, archiviazione ed elaborazione dei dati. Un IPS cloud è un componente integrale di una strategia Cloud Security di livello aziendale.
- Sicurezza gestita: La funzionalità IPS è disponibile nell'ambito delle offerte basate sui servizi, come SASE o firewall come servizio (FWaaS). Queste offerte di sicurezza gestita consentono a un'organizzazione di esternalizzare la responsabilità di parti della sicurezza del cloud o del lavoro remoto a un fornitore di sicurezza. Quando si tratta di applicare le patch a decine, centinaia o addirittura migliaia di sistemi, server e applicazioni, la capacità di applicare virtualmente le patch contro una nuova vulnerabilità diventa inestimabile e garantisce alle organizzazioni di essere protette anche se non hanno avuto il tempo di applicare gli aggiornamenti software richiesti.
- Scalability: cloud Gli IPS possono sfruttare la scalabilità nativa dell'infrastruttura basata sul cloud. Ciò consente loro di scalare per soddisfare le esigenze aziendali in evoluzione e di proteggere senza problemi l'infrastruttura in espansione basata sul cloud.
- Flessibilità: cloud Le soluzioni IPS vengono distribuite come servizi basati sul cloud. Questo facilita l'implementazione, la riconfigurazione o il ritiro di un IPS in base alle esigenze dell'azienda e ai cambiamenti dell'infrastruttura cloud aziendale.
IPS in cloud con Check Point
Soluzione SASE che integra l'IPS cloud in uno stack di sicurezza completo fornito dal cloud per proteggere l'accesso remoto alle risorse on-premise e IaaS, oltre a proteggere le connessioni delle filiali. Per saperne di più su SASE e su come può aiutare a proteggere i lavoratori remoti e ibridi della sua organizzazione,
Check Point’s SASE offering — delivers ZTNA, SWG, CASB, and FWaaS to protect users and branch offices with zero-trust access control, advanced threat prevention, and data protection. Explore the capabilities of Harmony SASE for yourself with a free demo today.