Barracuda SecureEdge: Funzioni

SecureEdge si basa sulla stessa tecnologia di CloudGen Firewall, il firewall aziendale di Barracuda collaudato sul campo. Progettato appositamente per il cloud, SecureEdge offre una sicurezza avanzata multilivello per proteggere le risorse business-critical, sfruttando un ricco set di funzionalità, tra cui:

• Advanced Threat Protection
• Rilevamento e prevenzione delle intrusioni
• Protezione da malware
• Ispezione SSL
• Ispezione profonda dei pacchetti comprensiva di stato
• Architettura a passaggio singolo
• Filtraggio URL--ACL basato sulle applicazioni

Mentre le soluzioni tradizionali in genere rilevano le minacce di rete una volta che hanno violato la rete, inviando all’amministratore notifiche di registro, Barracuda Advanced Threat Protection (ATP) implementa l’emulazione dell’intero sistema fornendo ampia visibilità del comportamento malware. I file vengono controllati a fronte di un database hash di crittografia che viene costantemente aggiornato. Qualora il file risulti sconosciuto, viene emulato in una sandbox virtuale in cui è possibile rilevare il comportamento dannoso. Barracuda ATP offre agli amministratori il controllo granulare basato sul tipo di file, che include le funzioni di messa in quarantena automatica e di inserimento in elenco di blocco al fine di mantenere il più alto livello di protezione della rete aziendale.

Barracuda SecureEdge può applicare IPS, protezione antivirus, controllo delle applicazioni, filtro degli URL e persino Advanced Threat Protection al traffico web con crittografia SSL utilizzando l'affidabile approccio standard Man-In-The-Middle. L'intercettazione SSL può essere regolata in modo da escludere reti locali, utenti/gruppi, categorie di filtro degli URL o domini personalizzati dall'ispezione SSL.

Il sistema di prevenzione delle intrusioni (IPS) di SecureEdge rafforza notevolmente la sicurezza della rete fornendo una protezione completa in tempo reale contro una vasta gamma di minacce di rete, attacchi, vulnerabilità, exploit ed esposizioni in sistemi operativi, applicazioni e database. Previene attacchi di rete come:

• SQL injection ed esecuzioni arbitrarie di codice
• Tentativi di controllo degli accessi e riassegnazione di autorizzazioni
• Cross-site scripting e overflow del buffer
• Attacchi di tipo Denial of Service (DoS) e Distributed Denial of Service (DDoS)
• Attacchi trasversali alle directory e tentativi di esecuzione del probe e della scansione
• Attacchi backdoor, trojan, rootkit, virus, worm e spyware

Di conseguenza, Barracuda SecureEdge è in grado di identificare e bloccare i tentativi di evasione e le tecniche di offuscamento di livello avanzato che gli hacker utilizzano per eludere e ingannare i sistemi tradizionali di prevenzione delle intrusioni.

Gli aggiornamenti automatici delle firme vengono forniti a cadenza regolare o in caso di emergenza, quando emergono nuove vulnerabilità, per garantire che Barracuda SecureEdge sia costantemente aggiornato.

SecureEdge garantisce la sicurezza completa con ACL, controllo delle applicazioni, filtro URL, antivirus e Advanced Threat Protection, consentendo la segmentazione e il controllo della rete all'interno di Azure Virtual WAN. Questo elimina la necessità di gruppi di sicurezza, Azure Firewall o Azure Security Partners, sostituendoli con un'unica soluzione flessibile, facile da usare e conveniente. SecureEdge fornisce inoltre una visibilità in tempo reale senza precedenti su tutto il traffico in entrata e in uscita dalla Virtual WAN.

La tecnologia di bilanciamento adattivo delle sessioni garantisce l'utilizzo del miglior uplink disponibile per il profilo dell'applicazione, per tutti i tunnel crittografati nei siti SD-WAN. Se lo stato di salute dell'uplink iniziale si ripristina, il traffico SD-WAN crittografato passa di nuovo in modo trasparente a questo uplink. Il routing basato sulle applicazioni, che tiene conto dei risultati del rilevamento dinamico della larghezza di banda e della latenza, applica lo stesso concetto per il traffico Internet in uscita, garantendo che le applicazioni SaaS come Office 365 sfruttino sempre il miglior uplink disponibile, anche quando le condizioni cambiano frequentemente.

Per ottenere la migliore esperienza utente possibile sulla WAN, i dispositivi del sito SecureEdge misurano in modo proattivo le larghezze di banda disponibili e la qualità di tutti gli uplink internet e tra gli endpoint VPN. I risultati sono direttamente messi a disposizione del motore di policy di sicurezza e SD-WAN per selezionare l'uplink più adatto per ogni applicazione o per escludere un uplink se la larghezza di banda o la latenza non rientrano nei limiti accettabili.

Una combinazione unica di sicurezza di nuova generazione e tecnologia di routing WAN adattivo consente a Barracuda SecureEdge di assegnare dinamicamente larghezza di banda disponibile, uplink e informazioni di routing in base a protocollo, utente, posizione e contenuto, nonché applicazione, categorie di applicazioni e persino categorie di contenuti web. Ciò consente di riservare le linee costose e ad alta disponibilità alle applicazioni business-critical e mission-critical, riducendo al contempo in notevole misura i tempi di risposta e liberando larghezza di banda aggiuntiva.

Per visualizzare un elenco aggiornato delle applicazioni e applicazioni secondarie che SecureEdge riconosce per il routing basato sulle applicazioni, consulta l'Online Application Explorer.

Barracuda SecureEdge utilizza il rilevamento dinamico della larghezza di banda e della latenza per bilanciare automaticamente le sessioni esistenti all'interno dei tunnel logici VPN su tutti gli uplink disponibili. Questo bilanciamento in tempo reale ottimizza l'efficienza della rete e l'utilizzo della larghezza di banda in qualsiasi momento.

Se il rilevamento dinamico della larghezza di banda e della latenza indica che la larghezza di banda misurata di un uplink è troppo bassa per supportare determinati tipi di traffico critico per l'azienda (ad esempio, VoIP), Barracuda SecureEdge sposta automaticamente le sessioni per il traffico non critico per l'azienda su link secondari per liberare larghezza di banda per il traffico critico.

La Secure SD-WAN tra i dispositivi Barracuda Networks utilizza per impostazione predefinita TINA (Transport Independent Network Architecture), una versione avanzata del protocollo IPsec progettata per superare le limitazioni intrinseche dell'IPsec. Il protocollo TINA utilizza una combinazione di TCP, UDP ed ESP per connessioni VPN ad alta velocità, migliorando notevolmente la connettività VPN. Aggiunge inoltre connettività predefinita da endpoint a endpoint (non da rete a rete), compatibilità NAT integrata, compatibilità proxy HTTPS e SOCKS4/5 integrata, supporto degli indirizzi dinamici e una migliore qualità del tunnel VPN tramite monitoraggio heartbeat dinamico e avanzato del tunnel.

Con il modem USB LTE opzionale, i dispositivi del sito SecureEdge possono sfruttare la connettività 4G/LTE e l'infrastruttura cellulare per fornire velocità a banda larga in configurazione di failover o di bilanciamento del carico. Per le località prive di opzioni a banda larga cablata e connettività cellulare sufficiente, il modem USB LTE può fungere da connessione internet principale. Il modem USB LTE Barracuda può essere utilizzato anche per l'implementazione zero-touch dei dispositivi del sito SecureEdge in aree in cui la connettività internet cablata non è ancora disponibile.

Per estendere il servizio SASE alla velocità della linea a tutti i dispositivi del sito e superare le limitazioni introdotte dalla tradizionale tecnologia SD-WAN basata su uplink condivisi come la banda larga, SecureEdge offre la tecnologia di ottimizzazione dell'uplink con Forward Error Correction e l'intelligence del traffico con riparazione automatica. Ciò consente di utilizzare la larghezza di banda fisica disponibile in modo più efficace e di espandere i vantaggi della SD-WAN ai siti con uplink singoli, nonché l'utilizzo ottimizzato degli uplink condivisi.

Il servizio Barracuda SecureEdge SASE è disponibile come SaaS gestito direttamente da Barracuda Networks, come SecureEdge per Virtual WAN in Microsoft Azure e gestito da Microsoft, oppure come appliance virtuali e hardware che possono essere gestite in hosting dal cliente o dal partner di fiducia. Indipendentemente dal tipo di implementazione, tutta la gestione della configurazione basata sugli intenti viene eseguita dal portale cloud di SecureEdge Manager. Il servizio si occupa quindi di propagare e applicare le modifiche a ogni edge del servizio, sito, utente o oggetto.

Una volta collegato e acceso, ogni dispositivo del sito utilizza automaticamente tutti gli uplink disponibili per connettersi al servizio SASE. Con le impostazioni dei criteri SD-WAN predefinite per migliaia di applicazioni aziendali comuni, i dispositivi garantiscono che venga sempre utilizzato il miglior percorso di uplink per l'applicazione.

Barracuda SecureEdge Service e SecureEdge Access Agent forniscono un accesso sicuro a qualsiasi applicazione privata o SaaS, indipendentemente da dove sia in hosting, secondo i principi Zero Trust. Zero Trust Network Access (ZTNA) fornisce agli utenti l'accesso meno privilegiato alle applicazioni aziendali, riducendo al minimo i rischi. Barracuda SecureEdge Zero Trust Security stabilisce un controllo degli accessi senza pari tra utenti e dispositivi, senza le insidie in termini di prestazioni di una VPN tradizionale. Fornisce un accesso remoto, condizionale e contestuale alle risorse e riduce l'accesso con privilegi eccessivi e i rischi associati a terze parti.

La connessione alle risorse aziendali spesso risente delle limitazioni causate dalle linee internet a banda larga condivise e con perdita di dati. L'ottimizzazione dell'ultimo miglio per il traffico delle applicazioni tramite SecureEdge migliora l'esperienza dell'utente finale riducendo la perdita di pacchetti e ritagliando una fetta maggiore della larghezza di banda disponibile sulle linee condivise, migliorando la qualità delle chiamate vocali e video. La tecnologia di base per porre rimedio alla perdita di pacchetti si basa sui codici di rete lineari casuali (RLNC), un nuovo schema di codifica algoritmica che reagisce molto più rapidamente alle perdite e le corregge all'istante, richiedendo così meno ritrasmissioni e riducendo il sovraccarico sui dispositivi.

Disponibile per tutte le piattaforme desktop e mobili, l'applicazione SecureEdge Access Agent offre funzionalità di sicurezza e ZTNA coerenti. Ma soprattutto: la licenza è basata sull'utente e copre fino a 5 dispositivi per utente.

L'instradamento di tutto il traffico a un punto di accesso centrale può avere un impatto sulle applicazioni sensibili alla latenza come Microsoft 365 o Zoom. Per offrire la migliore qualità del servizio possibile, SecureEdge consente di definire le applicazioni che possono connettersi direttamente a tali servizi e il traffico delle applicazioni che deve essere sottoposto a backhaul per un'ulteriore elaborazione.

L'ottimizzazione del traffico Internet integrata dal servizio all'agente SASE consente agli endpoint di acquisire una maggiore quantità di larghezza di banda disponibile sulle linee internet condivise per migliorare le prestazioni delle applicazioni. La tecnologia sottostante per rimediare alla perdita di pacchetti si basa sui codici di rete lineari casuali (RLNC), un potente schema di codifica. Gli algoritmi basati sui codici RLNC reagiscono molto più velocemente alle perdite e le correggono all'istante, richiedendo così meno ritrasmissioni di pacchetti e riducendo il carico sui dispositivi.

La funzionalità Secure Web Gateway del servizio SecureEdge è stata estesa all'endpoint con SecureEdge Access Agent che fornisce Secure Internet Access (SIA). L'Agent blocca le categorie web note, vietate o indesiderate senza ulteriori controlli. Non c'è motivo di inviare questo tipo di traffico al cloud per l'ispezione, quando può essere bloccato immediatamente sull'endpoint. Potrebbe trattarsi di contenuti in conflitto con la conformità normativa o aziendale, oppure di siti web notoriamente dannosi. Ciò include anche le “chiamate in uscita” di software dannoso già presente sul dispositivo e che tenta di “chiamare a casa”. L'accesso alle applicazioni SaaS “note come buone” è consentito per impostazione predefinita, senza essere inviato al servizio cloud per l'ispezione di sicurezza. I clienti hanno il pieno controllo abilitando o disabilitando l'accesso tramite le oltre 100 categorie di filtri dei contenuti e migliaia di definizioni delle applicazioni.

L'ispezione di sicurezza completa viene applicata alle applicazioni e ai siti web che non sono noti per essere validi o dannosi, o che il reparto IT richiede di ispezionare completamente per motivi di conformità. Il traffico da e verso queste destinazioni viene inviato automaticamente al servizio SecureEdge per l'ispezione di sicurezza completa di nuova generazione, tra cui IPS, ispezione SSL approfondita e protezione avanzata dalle minacce tramite il cloud Barracuda BATP.

Il filtraggio dei contenuti di SecureEdge consente di creare e applicare policy di accesso e contenuti internet efficaci, consentendo una visibilità altamente granulare e in tempo reale delle attività online suddivise per singoli utenti e applicazioni. Tutela la produttività dell'utente, blocca i download malware e altre minacce basate su web e supporta la conformità bloccando l'accesso a siti web e server indesiderati e fornendo un importante livello supplementare di sicurezza sul controllo delle applicazioni.

I servizi SecureEdge e i dispositivi del sito SecureEdge includono dizionari pre-scritti in lingua inglese di parole chiave e frasi relative a molestie, armi, terrorismo e pornografia. Gli amministratori vengono avvisati quando i contenuti contenenti queste parole o frasi chiave vengono ricercati online. Gli avvisi sono etichettati con le identità reali degli utenti della rete, i timestamp, gli indirizzi IP e i termini di ricerca, rendendo facile l'identificazione della fonte, indipendentemente dai profili online. Possono essere facilmente aggiunte parole chiave personalizzate da monitorare tramite l'interfaccia utente basata sul web.

Anche se i siti web dannosi e inappropriati vengono bloccati, gli utenti possono comunque accedere a contenuti inappropriati tramite i motori di ricerca più diffusi. I dispositivi del sito SecureEdge e i servizi SecureEdge offrono la possibilità di applicare l'opzione SafeSearch per i motori di ricerca più diffusi e YouTube. Poiché questo viene imposto a livello di rete, gli utenti finali non possono manipolare o aggirare questa impostazione attraverso i propri account.

I servizi SecureEdge e i dispositivi del sito SecureEdge offrono la possibilità di rimuovere in modo trasparente la pubblicità online senza visualizzare un messaggio di blocco o notifiche che attirino l'attenzione.

L'impareggiabile threat intelligence globale di Barracuda acquisisce enormi quantità di informazioni diverse, e in tempo reale, sulle minacce da milioni di punti di raccolta in tutto il mondo. Barracuda CloudGen Access sfrutta questo sistema per migliorare continuamente le sue stesse capacità di rilevamento delle minacce e rispondere alle tendenze delle minacce in rapida evoluzione.

SecureEdge è facile da configurare e non richiede competenze IT specializzate. Funziona da subito con una configurazione predefinita intelligente, adatta a tutte le applicazioni cloud e SaaS. Il servizio può essere implementato in tutte le sedi come soluzione SD-WAN pura insieme ai firewall esistenti o come soluzione secure SD-WAN che sostituisce i firewall esistenti.

L'implementazione zero-touch consente di inviare i dispositivi del sito SecureEdge direttamente dalla fabbrica alla posizione remota desiderata senza la necessità di personale IT in loco. Una volta collegate e accesa, l'unità riceve e installa automaticamente il suo file di configurazione specifico. Ciò rende l'implementazione dei dispositivi del sito SecureEdge in organizzazioni ampiamente distribuite estremamente semplice, veloce ed economica. Per i siti in aree in cui la connettività internet cablata non è ancora disponibile, è possibile utilizzare il modem USB LTE Barracuda opzionale per facilitare l'implementazione iniziale.

Gestito direttamente tramite SecureEdge Manager per tutte le regioni e tutti i siti della tua WAN globale, indipendentemente dal numero di punti di ingresso o posizioni cloud. Il portale cloud centrale offre il massimo grado di automazione e una facilità d'uso senza pari. SecureEdge Manager monitora e ottimizza continuamente le prestazioni della rete per garantire una connettività sempre attiva e ininterrotta e livelli di servizio di alta qualità per il traffico e le applicazioni aziendali critiche.

Per il filtraggio dei contenuti, la protezione da malware, l'ispezione SSL, IPS e le regole del firewall (ACL), gli utenti o i gruppi possono essere definiti utilizzando i criteri di inclusione. Consenti determinate categorie di siti web per utenti o gruppi specifici (ad esempio, concedendo al personale di marketing l'accesso a Facebook e bloccandolo per tutti gli altri) o esonera determinati utenti o gruppi di utenti dalla scansione IPS o SSL.

In passato, le soluzioni di sicurezza erano complicate da usare o prive delle funzionalità di sicurezza sottostanti. I firewall e altre soluzioni di sicurezza si basavano sull'assegnazione di reti, intervalli IP e funzionalità di sicurezza dei prodotti specifici a queste reti. Le operazioni basate sugli intenti sono sviluppate da zero come parte del concetto di SecureEdge Manager per la nostra piattaforma SASE unificata. La piattaforma SASE Barracuda SecureEdge è strettamente specifica per utente, gruppo e applicazione. Gli utenti remoti possono quindi accedere alle applicazioni cloud private e pubbliche e a internet molto più velocemente.

Oltre a migliaia di applicazioni predefinite, la piattaforma SASE SecureEdge consente di creare applicazioni private che possono essere ospitate ovunque. La procedura è veloce, facile e deve essere fatta una sola volta, e poi viene condivisa con le definizioni delle policy di sicurezza, SD-WAN e ZTNA. Tutte le ottimizzazioni di rete e routing necessarie vengono eseguite in modo completamente trasparente in background e applicate automaticamente a ciascun sito, utente o istanza del servizio.

La piccola applicazione SD-WAN Connector consente di connettere qualsiasi sito cloud o locale che esegue servizi o server Windows o Linux per l'accesso diretto alle applicazioni tramite ZTNA e li rende disponibili alla tua forza lavoro.

Azure Monitor e il sottostante Azure Log Analytics sono la soluzione Microsoft per raccogliere, monitorare, analizzare e intervenire sui dati di telemetria provenienti da qualsiasi applicazione ospitata in Azure e in ambienti locali, e persino dalle corrispondenti apparecchiature di rete e sicurezza. Ciò consente ai clienti di automatizzare l'analisi dei dati sottostanti, impostare avvisi e utilizzare informazioni dettagliate basate sull'apprendimento automatico per identificare e risolvere rapidamente i problemi relativi alla sicurezza e alla connettività della propria infrastruttura cloud, senza accedere alle macchine o ai dispositivi effettivi. Puoi configurare SecureEdge per inviare dati di log pertinenti per la sicurezza, la connettività, la SD-WAN e la point-to-site ad Azure Log Analytics per ulteriori analisi.

Azure Secured Hub è un Azure Virtual WAN protetto con policy di sicurezza e routing associate, configurate da Azure Firewall Manager, con sicurezza in uscita fornita da un servizio provider partner di sicurezza di Azure approvato. Barracuda SecureEdge è pienamente compatibile per l'implementazione in questi scenari, per fornire connettività SD-WAN e sicurezza firewall di nuova generazione a ogni sito e accesso privato ad alte prestazioni alle risorse cloud per gli endpoint.

SecureEdge Manager fornisce un'interfaccia dashboard personalizzabile ma intuitiva per una rapida panoramica di utenti, minacce, attività sulla rete, stato dell'infrastruttura e stato della connettività SD-WAN. Con pochi clic è possibile accedere a dashboard aggiuntive con configurazioni personalizzate, composte da decine di riquadri predefiniti.