Introduzione al manuale beem Basic Security Edition
Questo manuale è destinato agli amministratori IT, ai responsabili tecnici di progetto e ai partner coinvolti nell'onboarding e nella migrazione a beem Basic Security Edition.
Questo manuale ti guida nella migrazione di un ambiente esistente a beem Basic Security Edition e nell'onboarding del tuo tenant dedicato. Utilizza Building Block modulari con passaggi chiari per l'attivazione, la configurazione e la migrazione di ambienti sia esistenti che nuovi. Utilizza i Building Block per personalizzare una transizione fluida e un uso efficace delle funzionalità di beem Basic Security Edition.
Cosa sono i Building Blocks?
I Building Blocks offrono un approccio modulare all'implementazione di beem Basic Security Edition. Ogni blocco può essere applicato in ordini diversi per adattarsi agli obiettivi e all'ambiente della vostra organizzazione.
La condizione iniziale è la base di tutti i mattoncini. Da lì, puoi disporre i mattoncini nell'ordine che meglio si adatta alle tue esigenze.
I Building Blocks possono anche essere utilizzati in modo iterativo, consentendo di ripetere i passaggi durante la messa a punto o il miglioramento dei processi. Questa flessibilità garantisce che l'approccio di onboarding e migrazione possa essere adattato a qualsiasi situazione.
Condizione iniziale
Prima di ordinare beem Basic Security Edition, è necessario decidere come gestire il processo di onboarding. Sono disponibili tre opzioni:
- Swisscom Center of Excellence: pacchetti di servizi a pagamento con assistenza di esperti durante tutta la fase di pianificazione e migrazione. Ideale se desiderate un supporto strutturato.
- Partner: onboarding guidato da un partner certificato. Consigliato se già collabori con un partner di fiducia o hai bisogno di competenze esterne.
- Fai da te (DIY): gestito internamente dal tuo team IT. Adatto se disponi delle risorse, delle conoscenze e dell'esperienza necessarie e preferisci avere il pieno controllo.
La scelta dipende dalle risorse disponibili, dalle competenze interne e dalle esigenze di assistenza. Dopo aver deciso, è possibile effettuare l'ordine per beem Basic Security Edition e procedere con il provisioning dei tenant.
Tenant Provisioning
Una volta effettuato un ordine tramite beem Hub, Tenant Provisioning protegge automaticamente i dispositivi idonei (dispositivi mobili, PC, Mac, tablet e endpoint IoT con SIM Swisscom) tramite beemNet. La protezione è attiva a livello nazionale e in roaming. Le posizioni selezionate durante la configurazione vengono aggiunte al tenant insieme a questi dispositivi. Questo passaggio automatizzato getta le basi per la configurazione successiva: fin dall'inizio, i primi dispositivi e siti sono collegati alla rete sicura beemNet senza necessità di configurazione manuale.
Le funzionalità di sicurezza Internet sono abilitate per impostazione predefinita e bloccano immediatamente i siti Web dannosi e altre minacce online. Si noti che non tutti i prodotti SIM supportano sia la protezione che la connessione; alcuni offrono solo una delle due funzionalità. Se si intende utilizzare il mascheramento dell'indirizzo IP dell'endpoint, tenere presente che gli ambienti che richiedono IP pubblici fissi potrebbero necessitare di eccezioni o modelli alternativi. Valutare questi requisiti in anticipo per garantire un'implementazione senza intoppi.
Elementi costitutivi
l’app beem
L'app beem per Windows, macOS, iOS, iPadOS e Android protegge i dispositivi client quando si connettono tramite reti di terze parti o non protette (ad esempio, Wi-Fi pubbliche). Utilizza l'ispezione approfondita dei pacchetti per rilevare e bloccare il traffico non sicuro, offrendo una protezione granulare contro siti Web dannosi e reti compromesse.
Distribuzione
È possibile installare l'app in due modi:
- Self-service: gli utenti scaricano e installano l'app autonomamente.
- Distribuzione gestita: gli amministratori distribuiscono l'app sui dispositivi registrati tramite Gestione dispositivi.
Tutti i dispositivi sono gestiti centralmente nell'beem Hub.
Licenze
È necessaria una licenza utente valida per:
- Autenticazione senza password nell’app beem.
- Protezione dei dispositivi dalle minacce informatiche.
- Accesso zero trust alle applicazioni aziendali per dipendenti e partner.
Per preparare:
- Definisci gli utenti che desideri inserire e i gruppi a cui dovrebbero appartenere.
- Ordina e assegna le licenze necessarie nell'Hub beem.
- Utilizza i gruppi come criteri nelle politiche di accesso per il controllo delle applicazioni basato sul contesto.
INFO
Quando gestisci account e gruppi UNID, concentrati sull'allineamento con i requisiti aziendali piuttosto che sull'ottimizzazione eccessiva delle assegnazioni delle licenze.
Esperienza utente e amministratore
- Gli utenti finali ricevono notifiche push specifiche per dispositivo in tempo reale e possono visualizzare la loro dashboard di sicurezza personale nell'app. La dashboard mostra i contenuti bloccati e gli incidenti prevenuti.
- Gli amministratori visualizzano un pannello di controllo della sicurezza aggregato e anonimizzato a livello aziendale, che offre visibilità sulla protezione complessiva preservando la privacy individuale.
Device Management
La gestione dei dispositivi offre un controllo centralizzato dei dispositivi client che eseguono Windows, macOS, iOS, iPadOS e Android. Consente di applicare misure di sicurezza e proteggere i dati aziendali su tutti i dispositivi.
Capacità
- Blocca da remoto i dispositivi smarriti o rubati.
- Cancella i dati aziendali dai dispositivi registrati senza influire sui contenuti personali.
- Applicare criteri predefiniti per i dispositivi che vengono aggiornati continuamente.
Attivazione
Dopo il tuo ordine iniziale, puoi attivare la Gestione dispositivi nell'beem Hub. Questo processo collega la piattaforma di gestione dei dispositivi mobili (MDM) al tuo tenant beem Basic Security Edition.
Configurazione
- Decidere se gestire tutti i sistemi operativi supportati o solo quelli selezionati.
- Completa tutte le operazioni di configurazione specifiche del sistema operativo direttamente nell'beem Hub (ad esempio, creando e collegando un account Apple Business Manager per gestire i dispositivi iOS e macOS).
- Una volta attivato, scegli tra le politiche predefinite per i dispositivi e assegnale ai gruppi di dispositivi pertinenti.
Rilevamento delle applicazioni
L'Application Discovery è il processo che consiste nell'identificare tutte le applicazioni aziendali presenti nel proprio ambiente, decidere chi può accedervi e definire in che modo è possibile raggiungerle. Si applica alle applicazioni ospitate su server locali, in cloud privati o pubblici e su piattaforme SaaS.
Scopo
Prima della migrazione è fondamentale disporre di un inventario completo delle applicazioni. Senza di esso, applicazioni importanti potrebbero rimanere non protette o configurate in modo errato. Quando si crea l'inventario, è opportuno considerare domande quali:
- Come accedono attualmente gli utenti a questa applicazione? Solo internamente o anche esternamente?
- L'accesso è fornito tramite VPN, accesso remoto o direttamente tramite il cloud?
- Quali gruppi o ruoli richiedono l'accesso?
- L'applicazione funziona in locale, nel cloud o come SaaS?
Ciò garantisce che le applicazioni siano catalogate in base sia ai modelli di accesso tecnici che ai requisiti aziendali.
Rilevamento automatico in beem Basic Security Edition
Per supportare questo processo, beem Basic Security Edition offre una funzione automatizzata di rilevamento delle applicazioni.
- Modalità di apprendimento: funziona per un periodo configurabile (ad esempio, diverse settimane) per acquisire l'utilizzo normale.
- Analisi passiva: monitora il traffico LAN/WAN utilizzando lo sniffing dei protocolli, l'euristica e l'aggregazione per identificare i possibili server delle applicazioni.
- Scansione attiva: integra i metodi passivi sondando i nodi di rete che potrebbero non generare traffico elevato.
- Catalogo SaaS: una libreria integrata di circa 8.000 applicazioni SaaS consente il rilevamento automatico di molti servizi comuni.
Il risultato è una visione consolidata delle applicazioni in uso, che semplifica la configurazione dei metadati delle applicazioni e dei percorsi nel beem Fabric.
Modelli di connettività
Ogni tipo di applicazione richiede un approccio di connettività diverso. Durante la fase di individuazione, pianificare quale modello applicare a ciascuna applicazione:
- Applicazioni private in locale (Edge Interceptor):
- Le applicazioni ospitate su server locali possono essere pubblicate in modo sicuro utilizzando il router Swisscom Centro Business.
- Il router inoltra il traffico Internet in entrata direttamente all'host finale nella LAN (ingresso), eliminando la necessità di un firewall separato in loco in questa configurazione.
- Le linee guida di sicurezza possono essere definite per indirizzo IP pubblico fisso o FQDN.
- Applicazioni private nel cloud (tunnel):
- Le app private ospitate nel cloud sono protette tramite tunnel crittografati tra i dispositivi client e l'infrastruttura cloud.
- La connettività basata su tunnel supporta diversi modelli di implementazione (ad esempio IaaS, PaaS) e garantisce l'applicazione coerente delle politiche in diversi ambienti.
- Applicazioni SaaS (CASB in linea):
- Il traffico SaaS è protetto da un broker di sicurezza dell'accesso al cloud (CASB) in linea, che monitora l'attività e applica le politiche in tempo reale.
- È possibile selezionare dal catalogo SaaS supportato per applicare controlli zero trust ai servizi scelti.
Perché è importante la diagnosi precoce
Mappare le applicazioni e i requisiti di connettività all'inizio evita di dover rifare il lavoro più avanti nella migrazione. Sapendo se un'app appartiene a un modello Edge Interceptor, tunnel o CASB, puoi allineare la configurazione di beem Basic Security Edition al tuo ambiente aziendale fin dall'inizio. Durante il processo di individuazione, è necessario prendere in considerazione diversi approcci di connettività in base alla distribuzione delle applicazioni: le applicazioni on-premise richiedono in genere modelli di connettività Edge Interception, le applicazioni ospitate su cloud sono gestite al meglio tramite connessioni tunnel sicure, mentre le applicazioni Software-as-a-Service traggono vantaggio dall'integrazione inline Cloud Access Security Broker (CASB). Comprendere tempestivamente questi requisiti di connettività aiuta a determinare la configurazione beem Basic appropriata per ogni tipo di applicazione.
Accesso a Internet
beem Basic Security Edition offre sicurezza Internet integrata per tutti i dispositivi connessi. Le funzionalità di protezione dalle minacce e di privacy sono attive per impostazione predefinita, garantendo agli utenti una navigazione sicura con il blocco automatico di siti Web dannosi, tentativi di phishing e reti non sicure. La piattaforma dà la priorità alla sicurezza Internet sin dall'inizio, garantendo una protezione immediata contro le minacce basate sul Web.
Occultamento dell'indirizzo IP dell'endpoint
Una caratteristica fondamentale di beem Basic Security Edition è Endpoint IP Address Cloaking, che nasconde gli indirizzi IP dei dispositivi e dei siti dall'Internet pubblico.
- Come funziona: Carrier-Grade Network Address Translation (CGNAT) tratta i tuoi IP privati come non instradabili e li sostituisce con un indirizzo IP pubblico condiviso dal pool beem.
- Cosa vedono gli altri: i siti web e i servizi esterni vedono l'IP pubblico svizzero condiviso, mai l'IP effettivo del cliente o del sito.
- Comportamento predefinito: il cloaking è abilitato per impostazione predefinita per dispositivi e posizioni.
Benefici
- Privacy: impedisce ai siti web e a terze parti di tracciare gli indirizzi IP dei singoli dispositivi.
- Sicurezza: riduce l'esposizione ad attacchi mirati come DoS o ingegneria sociale.
- Conformità: garantisce che l'indirizzo IP pubblico presentato a Internet sia sempre svizzero, supportando la protezione dei dati e i requisiti normativi.
Eccezioni e pianificazione
Se hai bisogno di connettività in entrata (ad esempio, IP pubblico fisso per pubblicare servizi), puoi disabilitare il cloaking per ogni posizione. In questi casi:
- Eccezione per singola località: il cloaking può essere disabilitato per siti specifici.
- Limitazioni: l'utilizzo di IP pubblici fissi con cloaking disabilitato può creare problemi di configurazione.
- Raccomandazioni: ove possibile, adottare alternative moderne e centralizzate per mantenere un elevato Security Level pur soddisfacendo i requisiti di connettività.
Accesso Zero Trust per applicazioni aziendali private
Le applicazioni aziendali private e i dati aziendali possono essere protetti utilizzando un modello di accesso zero trust. Queste applicazioni possono essere ospitate su server locali all'interno della rete aziendale o distribuite nel cloud.
Per i dispositivi client che fanno già parte di beemNet, l'accesso zero trust alle applicazioni private è supportato anche senza l’app beem.
Approccio di implementazione
Le organizzazioni possono introdurre l'accesso zero trust in più fasi:
- Inizia dalle applicazioni critiche: proteggi innanzitutto i servizi fondamentali per l'azienda per ridurre i rischi più elevati.
- Espandere gradualmente: estendere la protezione ad altre applicazioni nel tempo, utilizzando lo stesso framework zero trust.
- Allinearsi alle priorità aziendali: assicurarsi che le fasi di migrazione corrispondano alle esigenze operative e alle risorse disponibili.
Questo approccio graduale riduce al minimo le interruzioni, riduce la complessità e garantisce che le funzioni aziendali essenziali siano protette sin dall'inizio dell'implementazione.
Accesso Zero Trust per Software as a Service (SaaS)
L'accesso alle applicazioni SaaS selezionate può essere protetto e controllato utilizzando i principi di accesso zero trust.
Un broker di sicurezza per l'accesso al cloud (CASB) in linea applica le politiche in tempo reale. Con un proxy forward, CASB può applicare controlli di accesso zero trust sia all'interno che all'esterno di beemNet, a seconda della scelta di implementazione.
Ciò garantisce che solo gli utenti autenticati e autorizzati abbiano accesso alle applicazioni SaaS, con politiche applicate in modo coerente indipendentemente dalla posizione.
Connetti e proteggi i server locali (web)
È possibile esporre in modo sicuro i server web locali a Internet quando il sito del server è collegato a beemNet tramite una connessione a banda larga Swisscom.
- Metodi di accesso: i server locali possono essere pubblicati utilizzando un indirizzo IP fisso o un DNS dinamico (DynDNS).
- Controlli di sicurezza: le linee guida di sicurezza vengono applicate per IP fisso o nome di dominio completo (FQDN).
- Gestione del traffico: il router Swisscom Centro Business inoltra il traffico Internet in entrata (ingress) all'host finale nella LAN utilizzando la funzionalità Edge Interceptor.
- Impatto sull'infrastruttura: questa configurazione elimina la necessità di un firewall separato in loco, poiché il routing e l'applicazione delle misure di sicurezza vengono gestiti tramite il router e le politiche beem.
Preparazione della rete e del traffico
Prima di implementare beem Basic Security Edition, è necessario preparare la rete per supportare una connettività sicura e prestazioni affidabili.
Accesso al server locale
Se prevedi di rendere accessibili da Internet i server locali (web):
- Connettività: i server devono essere collegati a beemNet tramite una connessione a banda larga Swisscom.
- Metodi di pubblicazione: i server possono essere pubblicati utilizzando indirizzi IP fissi o DNS dinamico (DynDNS).
- Applicazione delle misure di sicurezza: è possibile definire linee guida di sicurezza per ogni IP fisso o nome di dominio completo (FQDN).
- Gestione del traffico: il traffico Internet in entrata (ingress) viene inoltrato direttamente all'host LAN tramite la funzionalità Edge Interceptor integrata nel router Swisscom Centro Business.
- Impatto: questa configurazione elimina la necessità di un firewall locale separato.
Attività di preparazione della rete
Per garantire un inserimento agevole e una stabilità a lungo termine:
- Valutare le politiche di routing: rivedere il routing di rete esistente per confermare la compatibilità con l'integrazione di beemNet.
- Pianificazione della larghezza di banda: verificare che sia disponibile una capacità sufficiente per gestire il traffico crittografato e protetto.
- Progettazione dell'integrazione: allineare l'indirizzamento IP, il DNS e i modelli di connettività con la configurazione di base pianificata di beem.
Una preparazione adeguata riduce il rischio di interruzioni durante l'implementazione e garantisce che i servizi beem Basic funzionino con sicurezza e prestazioni ottimali sin dall'inizio.
Disattivazione VPN
La migrazione dalle soluzioni VPN tradizionali a beem Basic Security Edition richiede un approccio graduale per evitare interruzioni e garantire la continuità dell'accesso.
Passaggi chiave
- Valutazione: esaminare tutte le connessioni VPN esistenti e identificare quali applicazioni e gruppi di utenti attualmente dipendono da esse.
- Sostituzione: trasferire gradualmente queste connessioni a metodi di accesso zero trust supportati da beem Basic.
- Implementazione graduale: sostituire l'utilizzo della VPN in più fasi, verificando ogni fase prima di procedere.
- Disattivazione: disattivare l'infrastruttura VPN legacy solo dopo aver verificato che tutti gli utenti interessati dispongano di un accesso sicuro e affidabile tramite beem Basic.
Guida
- Eseguire il processo in più fasi, anziché in un unico passaggio, per ridurre al minimo il rischio di interruzione dell'attività.
- Assicurarsi sempre che le applicazioni critiche rimangano accessibili durante ogni fase.
- Documentare ogni fase in modo che le dipendenze e le eccezioni siano completamente risolte prima dello spegnimento definitivo. Questo approccio garantisce che la dismissione della VPN rafforzi la sicurezza mantenendo al contempo ininterrotte le operazioni aziendali.
Disattivazione del firewall
Con beem Basic Security Edition, l'infrastruttura firewall tradizionale on-premise può essere dismessa in modo controllato, poiché la piattaforma offre funzioni di sicurezza integrate.
Passaggi chiave
- Documentazione: acquisire tutte le regole firewall, le tabelle NAT e le politiche di sicurezza attualmente in uso.
- Mappatura: tradurre queste regole in politiche beem Basic equivalenti all'interno dell'beem Hub.
- Test: verificare che le nuove politiche garantiscano l'accesso e la protezione previsti senza introdurre lacune.
- Rimozione graduale: disattivare gradualmente i dispositivi firewall legacy, solo dopo aver verificato con successo ogni fase.
Funzionalità di sicurezza integrate
La necessità di dispositivi firewall autonomi è ridotta perché beem Basic Security Edition offre:
- Ispezione approfondita dei pacchetti per un'analisi granulare del traffico.
- Rilevamento avanzato delle minacce contro il traffico dannoso e i tentativi di intrusione.
- Applicazione centralizzata delle politiche a tutti gli utenti e dispositivi.
Questo approccio consente alle organizzazioni di semplificare l'infrastruttura, beneficiare di una gestione unificata della sicurezza e mantenere comunque un controllo granulare sull'accesso alla rete e sulla postura di sicurezza.
Disattivazione dell'infrastruttura desktop virtuale (VDI)
L'infrastruttura desktop virtuale (VDI) legacy può essere gradualmente eliminata man mano che l'accesso zero trust sostituisce i metodi tradizionali di distribuzione delle applicazioni. Ciò riduce la dipendenza dagli ambienti VDI centralizzati, consentendo al contempo un accesso sicuro e indipendente dal dispositivo.
Passaggi chiave
- Inventario: esaminare tutte le applicazioni attualmente fornite tramite VDI e classificarle (critiche per l'azienda vs. non critiche).
- Migrazione: accesso dell'applicazione di transizione al modello zero trust, che consente un utilizzo sicuro su dispositivi gestiti e non gestiti.
- Riduzione graduale: disattivare le risorse VDI in modo incrementale, verificando ogni fase per garantire che le applicazioni migrate funzionino come previsto.
- Ritiro definitivo: ritirare completamente l'ambiente VDI solo dopo aver verificato che tutte le applicazioni richieste funzionino in modo sicuro e affidabile tramite beem Basic Security Edition.
Benefici
- Flessibilità: le applicazioni diventano accessibili su una gamma più ampia di dispositivi senza richiedere una sessione VDI.
- Sicurezza: l'accesso zero trust applica controlli basati sull'identità e sul contesto per ogni applicazione.
- Continuità: la dismissione graduale evita interruzioni dell'attività garantendo che ogni fase sia testata e convalidata prima di procedere.
Approcci di implementazione con beem Basic
I componenti di base di beem Basic Security Edition possono essere combinati in diverse sequenze per soddisfare le esigenze di ciascuna organizzazione. Questo approccio modulare garantisce che la migrazione possa essere adattata alle priorità aziendali, all'infrastruttura esistente e alle risorse disponibili.
Questo capitolo fornisce esempi di percorsi di implementazione. Ciascun percorso illustra come i Building Block possono essere organizzati per supportare un obiettivo specifico, come l'implementazione incentrata sulla sicurezza, la gestione dei dispositivi, la visibilità delle applicazioni o la conformità. Gli esempi evidenziano anche la flessibilità del framework: le organizzazioni possono seguire una sequenza consigliata o adattare l'ordine dei Building Block in base al proprio ambiente e alla propria strategia.
Principi di attuazione
Gli esempi seguenti illustrano come i Building Block di beem Basic Security Edition possono essere combinati in diverse sequenze di migrazione. Ogni sequenza è progettata per una specifica situazione aziendale o priorità, come la sicurezza immediata, la gestione dei dispositivi, la visibilità delle applicazioni o la conformità.
Gli esempi sono redatti in un linguaggio chiaro e non tecnico, in modo che i responsabili delle decisioni, i partner e gli amministratori possano comprendere le opzioni disponibili e scegliere il percorso più adatto alla propria organizzazione.
Esempi
Sequenza A: Approccio incentrato sulla sicurezza
Per le aziende che danno priorità alla protezione immediata contro le minacce informatiche Questa sequenza è ideale se desideri proteggere i tuoi dispositivi e i tuoi dati da hacker, phishing o siti web dannosi il più rapidamente possibile.
Ideale per: piccole imprese o aziende con lavoratori remoti preoccupati per i rischi legati alla sicurezza.
Sequenza B: Approccio incentrato sul dispositivo
Per le aziende con molti dispositivi o lavoratori mobili Questa sequenza è ideale se desideri concentrarti sulla gestione e la protezione dei dispositivi, come telefoni e laptop, utilizzati dai dipendenti che lavorano da sedi diverse.
Ideale per: aziende con politiche BYOD (Bring Your Own Device) o dipendenti che lavorano da remoto.
Sequenza C: Approccio incentrato sull'applicazione
Per le aziende che desiderano comprendere il proprio panorama applicativo prima di proteggersi dall' Questa sequenza è perfetta se disponete di molte app e desiderate mapparle prima di apportare modifiche, per assicurarvi che nulla venga tralasciato.
Ideale per: aziende con ambienti applicativi complessi che necessitano di una panoramica chiara prima della migrazione.
Sequenza D: Approccio basato sulla conformità
Per le aziende che operano in settori regolamentati e necessitano di una documentazione completa Questa sequenza è pensata per le aziende che devono seguire regole rigorose (ad esempio, nel settore sanitario o finanziario) e necessitano di monitorare ogni fase della migrazione.
Ideale per: aziende che operano in settori regolamentati che necessitano di registrazioni dettagliate e piena conformità.
Sequenza E: Approccio all'avvio
Per le nuove imprese con sistemi esistenti minimi Questa sequenza è destinata alle startup o alle nuove imprese che partono da zero con pochi o nessun sistema IT esistente, concentrandosi su una configurazione rapida e semplice.
Ideale per: nuove aziende o startup che stanno sviluppando il proprio sistema IT partendo da zero.
Sequenza G: Approccio ibrido cloud-first
Per le aziende che fanno ampio uso di applicazioni cloud con alcuni sistemi on-premise Questa sequenza è destinata alle aziende che utilizzano principalmente applicazioni cloud (ad esempio Salesforce) ma dispongono anche di alcuni sistemi on-premise, dando priorità alla sicurezza cloud.
Ideale per: aziende con una combinazione di sistemi cloud e on-premise, che danno priorità alla sicurezza cloud.
Sequenza H: Approccio incentrato sull'IoT
Questa sequenza è perfetta per le aziende in cui i dispositivi IoT (ad esempio, localizzatori GPS nei camion, sensori nelle fabbriche o telecamere negli edifici) sono fondamentali, concentrandosi sulla sicurezza e la gestione di questi dispositivi.
Ideale per: aziende con molti dispositivi IoT, come società di logistica con localizzatori GPS, fabbriche con macchinari intelligenti o edifici con sensori e telecamere.