Application Access Control: tutto inizia con il DNS
Uno scenario per una sicurezza maggiore e un controllo avanzato in un’ottica Zero Trust.
“La maggior parte delle connessioni IP iniziano con una query DNS e questo rende il DNS uno dei primi attori fondamentali e centrali nelle comunicazioni fra le applicazioni. Per questo motivo con esso si può garantire un grosso contribuito alla sicurezza delle infrastrutture, dei dati e degli utenti, filtrando specifici siti e destinazioni e controllando l’accesso alle applicazioni”. Così, Fabrizio Tosi, Sales Account Executive di EfficientIP, introduce un caso d’uso delle soluzioni del vendor in uno scenario in cui l’Application Access Control è generalmente associato all’autenticazione dell’utente. L’idea è che mentre fornire le credenziali di accesso è un servizio standard delle applicazioni, si può fare enforcement sul controllo anche a livello di rete e che distinguere gli utenti autorizzati dai non autorizzati può essere fatto applicandovi dei filtri.
“Il DNS lavora prima che la connessione venga stabilita e applicare dei filtri il prima possibile è un grosso contributo allo Zero Trust”, prosegue Tosi. Andando nel dettaglio, viene spiegato che durante la risoluzione di un dominio, il DNS è in grado di dare una risposta differente usando le RPZ (Response Policy Zone). Queste possono permettere di proteggere un utente da destinazioni malevole o non volute con filtri basati su reputation o feeds di Threat Intelligence. Il filtro via DNS può anche essere utilizzato per proteggere l’infrastruttura e le applicazioni da specifiche sorgenti di rete, limitando l’accesso dei dispositivi a determinate applicazioni o destinazioni.
“La soluzione innovativa di EfficientIP è in grado di filtrare a livello DNS le richieste di risoluzione di un dominio provenienti da un client o da un dispositivo offrendo, in modo esclusivo, la possibilità di fare micro segmentazione di rete in scenari eterogenei”, spiega Alessandro Pilotti, Customer Solutions Architect di EfficientIP. Il riferimento è al DNS Client Query Filtering (CQF) studiato per “permettere di applicare policy DNS su specifici gruppi di client, come ad esempio ‘allow list’ per dispositivi IoT, con connessioni consentite solo verso domini di destinazione conosciuti e validati. Inoltre si possono applicare dei filtri restrittivi su categorie di siti web per user standard e un accesso più libero a specifiche persone.”
