Provincia di Perugia – Sicurezza Perimetrale

Provincia di Perugia – Sicurezza Perimetrale

Fedele interprete del suo territorio, la Provincia di Perugia costituisce il più profondo legame che tiene uniti i 59 Comuni di quella parte dell’Umbria che dall’Alta Valle del Tevere, sotto i colli di Perugia si biforca in direzione di Todi, sulla destra, e di Spoleto, sulla sinistra, formando nuove valli ampie e fertili, le vere e proprie “valli umbre”, illuminate, a occidente, dallo specchio del Lago Trasimeno e vigilate, a oriente, dal fresco baluardo degli Appennini, che occupano, a sud, l’ultimo confine d’acqua, di terra e di cielo sul quale si adagia la Valnerina. Geografia e storia, istituzioni e territorio, democrazia e sviluppo, ambiente e cultura dell’Umbria di domani tendono all’ente Provincia come a un dinamico punto di riferimento lungo la tendenza dei valori di ieri di questa terra a mettersi in campo anche nella società futura.

ESIGENZA

Sinapsi  ha portato avanti con la Provincia di Perugia un progetto incentrato sulla gestione centralizzata della sicurezza. L’esigenza principale era quella di  amministrare il numero elevato di caselle di posta, per loro punto nevralgico dell’attività in quanto  canale di comunicazione e gestione  con tutti gli entri provinciali della regione Umbria.

La loro infrastruttura si compone di circa 80 server, sistemi AS400 e circa 2000 utenze di posta, dislocate tra le varie sedi di tutto il territorio provinciale. La Privincia di Perugia si è dimostrata molto aperta alla sperimentazione e  a testare nuovi prodotti IT in grado di rispondere sempre meglio alle loro necessità.

Le sfide da superare erano di diversa natura. Da un lato la Provincia di Perugia  voleva sostituire l’esistente sistema di content filtering, basato su una soluzione Websense, che presentava costi di licensing eccessivi e costi di licenza aggiuntivi di terze parti, oltre a una gestione voluminosa dal punto di vista amministrativo.

Dall’altro si voleva devirtualizzare l’infrastruttura di gestione del traffico utenti, per separare le funzionalità di network rispetto alle funzionalità di sistemi veri e propri. Da qui si sono poi evoluti dei filoni paralleli:

– controllo e filtraggio della navigazione verso internet

– Sicurezza e ispezione del traffico mail sia in entrata che in uscita

Un’altra sfida ancora era quella di arrivare a utilizzare policy di sicurezza basate su gruppi di utenti active directory e non basandosi su singoli indirizzi IP. Proprio questa è

stata la problematica che ha richiesto più tempo di analisi per non andare a impattare sulla privacy degli utenti (tema fortemente sentito e applicato all’interno della Provincia di Perugia): Sinapsi ha risposto alle esigenze di privacy facendo in modo che i dati non fossero raggruppati in un unico contenitore, così da non tracciare le attività dei singoli utenti.

SOLUZIONE

Sinapsi nello sviluppo di questo progetto ha consigliato al cliente due differenti appliance Watchguard: XCS 570 e XTM 810 proprio per rispondere pienamente alle varie esigenze della Provincia di Perugia tra cui, fondamentale,  la necessità di un introduzione trasparente nell’infrastruttura cliente,  in virtù dei collegamenti geografici con le altre sedi dislocate sul territorio provinciale.

Sinapsi ha dovuto rivolgere particolare attenzione nella cura dei dettagli e nella cautela con la quale apportare il minor numero possibile di stavolgimenti all’interno della realtà pubblica di centrale importanza quale la Provincia di Perugia.

Si è  dovuto ragionare a fondo su come inserire le appliance WatchGuard nella struttura preesistente; Sinapsi nell’implementazione è passata attraverso

3 major release del progetto , con relativi 3 stravolgimenti rispetto all’idea iniziale, per poter arrivare a garantire una soluzione  completa e perfettamente fruibile da tutti gli utenti.

La soluzione WatchGuard è andata a posizionarsi in un punto nevralgico che ha visto il convergere delle 3 reti del cliente verso il territorio provinciale. I test sono iniziati a maggio 2011 con 2 macchine di prova fornite da WatchGuard. In quei mesi sono

state testate le funzionalità di base idonee a risolvere quelle che erano le esigenze iniziali. Il progetto pilota è poi partito a gennaio 2012 per passare di li a poco direttamente in produzione.

I prodotti implementati alla Provincia di Perugia sono stati due XTM 810 in configurati in cluster, macchine alla quali è stata delegata tutta la parte di intercettazione del traffico di rete dell’Ente e di tutte le sedi provinciali collegate e due macchine XCS 570, a cui è stata delegata la funzionalità di web filtering, e antispam.

BENEFICI E RISULTATI

Nel giro di una mese  Sinapsi è riuscita ad inserire completamente la soluzione WatchGuard all’interno dell’infrastruttura della Provincia di Perugia abilitando delle feature che non erano previste inizialmente.

Quali ad esempio la packet inspection su Https rispetto a Skype e Facebook.

Con la nuova configurazione WatchGuard  è stato possibile utilizzare entrambi gli strumenti rispettando appieno secondo i termini di sicurezza che si era preposto l’ente.

Mentre normalmente le aziende private cercano di  bloccare applicazioni e portali social network, la Provincia di Perugia aveva l’esigenza di utilizzarlo ai fini delle proprie politiche di comunicazione con gli altri enti e soprattutto verso il cittadino. Sinapsi è riuscita ad implementarne il normale utilizzo senza affatto intaccare le politiche di sicurezza di base.

L’application control dell’XTM 810 ha permesso di creare delle regole customizzate per Skype e di operare trasversalmente su tutto il parco installato. Applicare delle regole di application ha permesso inoltre un innalzamento del livello di sicurezza abbandonando l’approccio fisico per entrare nell’ottica di application management.

Uno dei benefit più evidenti a breve termine è stata la possibilità di dismettere anche una vecchia macchina che gestiva l’antispam. Sinapsi ha consolidato tutta l’infrastruttura perimetrale, con posta elettronica, navigazione e accesso a internet tramite apparati WatchGuard. Fondamentale nella perfetta riuscita del progetto è stato realizzare tutto quanto illustrato senza toccare l’infrastruttura di rete preesistente; Sinapsi si è inserita con gli apparati nel modo più trasparente possibile introducendo tutte le funzionalità WatchGuard senza stravolgere l’infrastruttura preesistente.

L’ appliance WatchGuard XCS 810 è stato destinato invece alle funzioni di web filtering e gestione del flusso mail che permettesse una gestione organizzata per dipartimenti, piuttosto che per aree funzionali. Sinapsi ha portato in casa tutta la parte di antispam e gestione email con benefici immediati.

Si è trattato di una necessità concreta in quanto alcune sedi periferiche sono collegate in Vpn ai due firewall XTM e gestite come traffico interno, pertanto anch’esse vengono filtrate e controllate come se fossero interni alla struttura della Provincia di Perugia.

E’ stato fondamentale per Sinapsi saper anche gestire delle eccezioni. La Provincia di Perugia gestisce normalmente picchi da 5.000 email a settimana e spesso sul dominio arrivavano numerosi virus e spam. Con l’implementazione degli appliance WatchGuard i tecnici Sinapsi sono in grado di capire da dove vengono generate queste email, se sono falsi positivi e se possono essere priorizzate.

Ad oggi è anche possibile gestire l’antispam al contrario controllando il traffico mail che esce verso il mondo internet.