WIFI SICURO PER ISTITUTI SCOLASTICI DI NUOVA GENERAZIONE - GUIDA ALLA SOLUZIONE FORTINET
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
WiFi Sicuro per istituti scolastici
di nuova generazione
GUIDA ALLA SOLUZIONE FORTINET
www.fortinet.it
WIFI SICURO PER ISTITUTI SCOLASTICI DI NUOVA GENERAZIONE L’EDUCAZIONE E LE NUOVE GENERAZIONI Negli ultimi 20 anni il mondo della scuola ha subito grandi trasformazioni. Siamo passati da un mondo fatto di singole istituzioni largamente isolate e legate ai metodi didattici tradizionali, a livelli di collaborazione e networking internazionale grazie alla rete. Questa situazione è guidata da una serie di fattori confluenti che hanno modificato la modalità lavorativa. In primo luogo i metodi educativi si sono evoluti rapidamente con la disponibilità di strumenti e contenuti ricchi e multimediali. In secondo luogo, il carattere ubiquitario di Internet continua a plasmare la vita delle “nuove generazioni” nella misura in cui la vita dei giovani è sempre più legata all’interazione con Internet. Infine, la disponibilità di conoscenze dal mondo a portata di mano aumenta notevolmente il rischio di esposizione ai rischi della nostra società globale. Per esaminare come possiamo sfruttare efficacemente le opportunità del mondo interconnesso, come l’accesso alla conoscenza in rete, la collaborazione tra gli istituti, mitigandone le minacce insite, dobbiamo comprendere a fondo i driver attuali e futuri delle istituzioni educative rispetto ai sistemi IT, la sicurezza informatica e Internet. La comprensione di questi aspetti combinati con le aspirazioni e le esigenze dei nostri studenti consentirà di mantenere la promessa della “istruzione di prossima generazione”. Informatica e vita negli istituti scolastici Per gli studenti, la fase dell’istruzione è sempre più spesso caratterizzata da un ampio uso di Internet. Oltre a fornire l'accesso a risorse informatiche e Web, un istituto scolastico ha anche la responsabilità di porre cura e diligenza nei servizi forniti ai propri utenti. Allo stesso tempo la maggioranza degli studenti si aspetta di poter collegare i propri dispositivi alla rete sia intra-net per i servizi scolastici che per l’accesso ad Internet. Ogni Istituto farà la propria decisione sulla progettazione della rete, ma dovrebbero essere definite chiare linee di demarcazione tra i livelli di accesso forniti agli studenti, al personale ed ai visitatori, e questi livelli dovrebbero essere implementati sia per l’accesso cablato che wireless.
WIFI SICURO PER ISTITUTI SCOLASTICI DI NUOVA GENERAZIONE LA SFIDA DEGLI EDUCATORI Policy di Utilizzo Indipendentemente dal fatto che gli utenti siano o meno oltre la maggiore età, è fondamentale adottare policy di accesso dimostrabili. Il pilastro fondamentale di questa responsabilità è una politica di utilizzo accettabile che sia applicata a tutto il personale, gli studenti ed i visitatori. Le politiche di accesso e controllo “e-safety” devono trovare un equilibrio tra accessibilità e protezione per ciascun tipo, funzione e categoria di utenza verificando i controlli messi in atto, che siano preventivi, detettivi o correttivi. Sistemi, reti ed applicazioni eterogenee Le reti degli istituti di istruzione sono molto raramente costruite da zero, si sono evolute in genere a “singhiozzo” con budget a progetto e a volte si sono realizzate in base ad iniziative guidate. Inoltre, gli istituti e le università che spesso richiedono la connettività a reti regionali o nazionali, come la rete GARR in Italia o la rete SINET globale, richiedono firewalling e segmentazione rispetto ad accessi locali. Gestire in modo sicuro risorse regionali/nazionali o internazionali, reti cablate e reti wireless in modo sicuro può presentare costi e complessità che rappresentano una sfida impegnativa. Topologie, ed accessi ad alta densità La distribuzione di reti cablate può avere costi proibitivi o semplicemente impraticabili in alcune situazioni. Un'alternativa interessante è quella di fornire connettività wireless basata sui più recenti standard internazionali per fornire una rapida ed efficace estensione delle reti esistenti ad un intero istituto introducendo nuovi utilizzi. A differenza di estendere l'accesso ethernet, in alcuni luoghi come ad esempio aule o sale di soggiorno, vi è la necessità di capacità di distribuzione ad alta densità per affrontare un’elevata probabilità di interferenza canale, frequenza del canale e sovraccarico di punto di accesso oltre a fonti di disturbo esterne. Tutti questi fattori contribuiscono a bassi livelli di servizi wireless, se le reti non sono distribuite e configurate in modo appropriato. Identificazione degli utenti per la profilatura e la segmentazione L’identificazione delle diverse categorie di utenti (ad esempio studenti, personale, visitatori) e gli associati livelli di accesso alle risorse interne e ad Internet, può essere ottenuta in vari modi, ma il più comune è attraverso il riutilizzo dell’autenticazione degli utenti in rete. Adottare una tecnologia con politiche di sicurezza basate su identità e sul tipo di dispositivo utilizzato permette di definire e attuare confini ben definiti tra gli utenti e le risorse. Questo richiede solide funzionalità di interazione con i meccanismi di autenticazione in modo integrato, spingendosi fino ad integrare sistemi di strong authentication dual factor o l’utilizzo semplificato di certificati.
Gestione degli ospiti Negli istituti di istruzione moderni, è previsto che i visitatori (cioè genitori, studenti adulti, ecc) possano beneficiare di accesso a Internet. Idealmente, questo è proposto gratuitamente tramite meccanismi di autenticazione esplicita (captive portal) simili ai servizi di hot-spot, ma erogati direttamente dall’Istituto. Di conseguenza, l'infrastruttura è tenuta a fornire questo livello di servizio differenziato composto da punti di accesso wireless, gestione delle credenziali degli ospiti, pagine di benvenuto / login in aggiunta alla segregazione di sicurezza e al controllo sul traffico fatto dagli ospiti a salvaguardia delle risorse interne e al buon nome dell’istituto. Gestione della sicurezza dinamica La progettazione di sistemi IT e di sicurezza IT non può assumere tipologie di rete statiche. Dal punto di vista fisico, i dipartimenti possono essere trasferiti in edifici provvisori costruiti per ospitare eventi straordinari. Iniziative specifiche, progetti di ricerca temporanei o conferenze esterne possono richiedere un provisioning rapido e una ri-configurazione dei profili di sicurezza da attribuite alla rete. La capacità di reagire rapidamente e in modo sicuro a queste esigenze può fare la differenza fra il successo e il fallimento. La sfida del budget Sia nel settore pubblico che nel privato, i bilanci sono sottoposti a forti pressioni. I sistemi informatici di solito sono relegati ad essere secondari nel budget dietro ai costi per i servizi di front-line, il personale, i beni strumentali e real estate (per la parte privata dell’education). E' quindi importante riconoscere come l'IT e la relativa sicurezza possano consentire una migliore istruzione pur cercando di implementare piattaforme tecnologiche che riducano implicitamente la complessità ed i costi di implementazione e gestione.
WIFI SICURO PER ISTITUTI SCOLASTICI DI NUOVA GENERAZIONE
LA NEXT GENERATION
NELL’EDUCATION CON FORTINET
Introduzione
Fortinet è un fornitore globale di soluzioni di sicurezza IT per le organizzazioni di ogni dimensione. I clienti
beneficiano di un ampio portafoglio di prodotti best-in-class che toccano la maggior parte degli aspetti
dell’IT come la sicurezza di rete wired e wireless, sicurezza delle applicazioni web, sicurezza della posta
elettronica e la protezione dei database, per citarne solo alcuni. La leadership di Fortinet è stata riconosciuta
dal mercato e dagli analisti di settore attraverso numerose certificazioni industriali nell’ambito della sicurezza
ed il superamento di test di terze parti come il VB100 per l’engine Anti- Virus, Spam VB100, NSS, Gartner
e IDC. La maggior parte dei prodotti di Fortinet sono costantemente aggiornati grazie una rete globale di
ricerca e risposta alle minacce con relativa piattaforma di distribuzione degli aggiornamenti conosciuta come
FortiGuard che fornisce aggiornamenti in tempo reale delle signature e dei motori di scansione per minacce
globali.
I fondamentali della sicurezza per gli istituti scolastici
Il cuore del portfolio di soluzioni di sicurezza Fortinet è lo Unified Threat Management (UTM), soluzione
gateway di sicurezza integrata Fortigate. I FortiGate sono una piattaforma scalabile per Firewall, Anti-Virus,
Anti-Spam, DLP (Data leakage prevention), IDS/IPS (Intrusion detection/protection) e Wireless Lan Controller
dotati di un feature set completo.
Lo schema mostra come i prodotti Fortinet possano essere installati per risolvere le
sfide fondamentali che gli istituti scolastici devono affrontare oggi.
A) Service Provider / Authority: in molte circostanze, un istituto di insegnamento non può avere le competenze o le risorse per mantenere il pieno controllo della gestione della propria sicurezza Informatica. In questo caso si può ricorrere ad un'autorità pubblica locale o ad un'organizzazione privata per delegarne la gestione. I prodotti Fortinet possono essere facilmente implementati in entrambi i casi (gestione interna o come servizio) o in modalità ibrida in cui l'istituzione mantiene il controllo delegando alcuni elementi di gestione e visibilità della sicurezza. B) Copertura di un Istituto: l’estensione della rete in modo rapido e conveniente in vaste aree e tra edifici anche in zone edificate è essenziale per l'erogazione dei servizi. Le opzioni di reti cablate hanno spesso costi proibitivi soprattutto se i collegamenti sono di natura temporanea. Fortinet risolve questa sfida attraverso il suo meshing e le caratteristiche di estensione della rete wireless. La copertura è facilitata da access point dual radio ad alte performance, adatti all’installazione outdoor e indoor e dall’utilizzo di funzionalità avanzate di beam forming così da aumentare notevolmente le performance della rete dati. Questa combinazione consente un deployment rapido di collegamenti con elementi distanti centinaia di metri in modo economico. Gli stessi meccanismi di meshing WiFi possono essere agevolmente impiegati per coprire stabili storici inagibili al cablaggio fisico. C) Duty-of-Care & Governance: la protezione è fondamentale. I dispositivi FortiGate sono firewall UTM leader di mercato e certificati da enti terze parti. L’integrazione della componente Wifi all’interno di un sistema di sicurezza avanzatissimo, consente di realizzare con un unico sistema i temi di copertura radio e di sicurezza, segregazione e controllo. L’attivazione di politiche di web-filtering consente ad esempio l’erogazione di contenuti Internet limitati e adatti all’ambiente education per gli studenti, e la fruizione di contenuti più estesi per il personale docente e di servizio. La stessa piattaforma, attraverso la segmentazione per user identity, fornisce diversi livelli di accesso in rete e in Internet e traffic shaping per ruoli come il personale, studenti e visitatori. La notifica delle violazioni dei criteri completa la governance dell’attuazione di politiche di utilizzo accettabili. D) Copertura aule: in ambienti attivi e dinamici quali le aule, gli studenti richiedono l'accesso immediato dal proprio dispositivo. Dall’altro lato, l’adozione di strumenti interattivi quali tablet e lavagne digitali, richiedono connessioni alla rete. Con uno strumento che, oltre alla copertura wireless, sia in grado di erogare i controlli di sicurezza opportuni sul traffico in base al tipo di device impiegato e al tipo di utente, è possibile pianificare in modo sicuro l’utilizzo dei device privati di studenti e corpo docente a scopo educativo. Una rete wireless ad alta densità di accesso deve far fronte ad una grande variabilità nel numero di client, carico e tipi di traffico. L’appliance FortiGate con il suo controller wireless integrato insieme ai FortiAPs fornisce tutte le funzionalità necessarie ad erogare connessioni WiFi stabili e performanti anche in questi ambiti sfidanti. Se combinato con FortiAuthenticator per l'identità federata, la piattaforma diventa un potente volano per garantire Bring-Your-Own Device (BYOD) end-to-end sicuro e segregato.
WIFI SICURO PER ISTITUTI SCOLASTICI DI NUOVA GENERAZIONE Gli studenti ed i loro device Il fenomeno del BYOD è prevalente nell'ambiente educativo dei paesi evoluti. La maggior parte degli studenti sono dotati di dispositivi intelligenti e desiderano connettersi sia ad Internet che alle risorse dell’istituto scolastico. Infatti oggi molti si affidano a questi dispositivi all'interno delle aule come strumento di frontline per l'istruzione e per scopi sociali nelle aree comuni o durante gli intervalli. L’abilitazione al BYOD però porta a molti problemi di sicurezza che richiedono una rete sicura BYOD-Ready. Fortinet offre numerose funzionalità che consentono una strategia di gestione del BYOD sicura e semplificata: A) Integrazione fra controllo di sicurezza e Wireless In ogni soluzione wireless ci sono tre componenti principali, la o le radio, il controller wireless e i servizi di sicurezza di rete. Con una soluzione basata su Fortinet, il wireless controller è integrato nello stesso apparecchio FortiGate che eroga anche i servizi di sicurezza. Oltre ad offrire di gran lunga un maggiore livello di sicurezza, questa configurazione riduce significativamente i costi di approvvigionamento, installazione e gestione, eliminando la complessità. B) Identificazione dei Device e attribuzione di profili di sicurezza I Firewall UTM FortiGate sono in grado di riconoscere i tipi di dispositivi mobili, anche senza integrarsi con l'autenticazione utente o il tracciamento del traffico complesso. Questa funzionalità consente agli amministratori una visione chiara sulle percentuali relative ai tipi di dispositivi in rete e di conseguenza eseguire una pianificazione. Inoltre, i profili di sicurezza possono essere attribuiti a tipi di dispositivi specifici, migliorando il livello o il controllo necessario in situazioni BYOD. C) Client Reputation In concomitanza con l'identificazione del dispositivo, le apparecchiature FortiGate possono raccogliere informazioni statistiche riguardanti la posizione di sicurezza di ogni cliente. Ciò è determinato da una serie di fattori ponderati, tra cui l’attività web, l'uso di giochi o di siti P2P, virus / malware / botnet o attacchi provenienti da un utente, i tentativi di connessioni inibite, ecc. L’impiego della client reputation accelera l'identificazione degli utenti che sono stati infettati da malware o che tentano di utilizzare in maniera inappropriata il servizio offerto loro. D) User Identity Management Gestire la completa diversità dei profili utente è essenziale per una rete sicura BYOD –Ready o comunque con accessi di categorie di utenti differenti. Gli utenti devono poter essere distinti nell’accesso ad esempio tra studenti, ospiti wireless dotati di un dispositivo non dell’istituto, personale docente o di servizio e amministratori IT con privilegi totali. L’identificazione degli utenti fornisce la possibilità di applicare diritti di accesso e protezioni in funzione del profilo degli utenti stessi. Correlando autenticazione basata su standard con i meccanismi di autenticazione esistenti si arriva all'integrazione della sicurezza di rete e accesso WiFi con il resto delle risorse IT. Gli amministratori e gli account ad alto privilegio di accesso spesso richiedono l'autenticazione a due fattori per rafforzare la gestione delle identità. La soluzione di Fortinet Identity Management si articola intorno al FortiAuthenticator che combina gli standard di autenticazione basato su certificati digitali, server LDAP e Radius adatto a installazioni base o per grandi numeri di utenze. I FortiTokens sono grado di integrarsi con FortiAuthenticator per fornire meccanismi di dual factor authentication e sono disponibili come token hardware o software o come chiave di token come repository di certificati.
WIFI SICURO PER ISTITUTI SCOLASTICI DI NUOVA GENERAZIONE LA CAMPANELLA FINALE... Indipendentemente dal fatto che gli utenti siano o meno oltre la maggiore età, è fondamentale adottare policy Gli istituti scolastici stanno cercando di espandere le loro infrastrutture IT per soddisfare la domanda da parte degli studenti, del personale e la comunità imprenditoriale. Le linee guida nazionali di istruzione si appoggiano sempre più pesantemente sul sistemi IT avanzati, l’inter-connettività e Internet per soddisfare gli obiettivi di istruzione e di ricerca. Gli istituti si stanno adeguando ad erogare servizi di accesso WiFi per integrare nuovi metodi di didattica e servizi alla propria utenza. Ad oggi sono tre i vincoli che rallentano tale trasformazione , i costi, la complessità e la sicurezza. Fortinet è leader mondiale nelle soluzioni di sicurezza IT per l'istruzione ed e’ da sempre focalizzato proprio sulla semplificazione dell'implementazione e della sicurezza ed il contenimento dei costi. Probabilmente abbiamo già attivato un’infrastruttura IT in un istituto nella vostra regione a favore della prossima generazione di giovani adulti. Lasciate che vi mostriamo come possiamo fare lo stesso per voi.
Fortinet è il fornitore mondiale di soluzioni di sicurezza reti ad alta prestazione che offre ai propri clienti la possibilità
di proteggere e controllare la proprio infrastruttura IT. Le nostre tecnologie mirate ed integrate, unite ai nostri servizi
Security Intelligence FortiGuard, offrono quell’alta prestazione e completa protezione dei contenuti che richiedono
i nostri clienti per sentirsi più sicuri all’interno di un panorama sempre più minaccioso. Più di 125,000 clienti in
tutto il mondo fra cui la maggior parte delle società mondiali “2012 Fortune Global 100”, service provider e governi
usano oggi l’ampio portfolio Fortinet per migliorare la loro sicurezza, la loro infrastruttura, e ridurre tutti i costi di
proprietà. Dagli endpoint e i cellulari, dal perimetro al nucleo - fra cui database, messaggi e applicazioni Web -
Fortinet aiuta a proteggere la rete in costante evoluzione all’interno di ogni industria e regione nel mondo.
AMERICAS HEADQUARTERS EMEA HEADQUARTERS FORTINET ITALIA
1090 Kifer Road 120 rue Albert Caquot Via del Casale Solaro, 119 - 00143 Roma
Sunnyvale, CA 94086 Sophia Antipolis Tel +39.06.5157.3330
United States France 06560 Via Giovanni da Udine, 34 - 20146 Milano
Tel +1.408.235.7700 Tel +33.4.8987.0510 Tel +39.02.380.9348
Fax +1.408.235.7737 Fax +33.4.8987.0501 info@fortinet.it
www.fortinet.com/sales www.fortinet.it
www.fortinet.com
www.fortinet.it
Copyright© 2013 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, and FortiGuard®, are registered trademarks of Fortinet, Inc., and other Fortinet
names herein may also be trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance metrics
contained herin were attained in internal lab tests under ideal conditions, and performance may vary. Network variables, different network environments
and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties,
whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet's General Counsel, with a purchaser that
expressly warrants that the identified product will perform according to the performance metrics herein. For absolute clarity, any such warranty will be limited
to performance in the same ideal conditions as in Fortinet's internal lab tests. Fortinet disclaims in full any guarantees. Fortinet reserves the right to change,
modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable.Puoi anche leggere
