beemNet

beemNet è una rete privata che protegge tutti i dispositivi e le reti connessi dalle minacce informatiche provenienti da Internet, migliorando al contempo la privacy attraverso l'anonimizzazione e la crittografia mirate.

I clienti possono scegliere tra quattro Security Editions, ciascuna adattata alle diverse esigenze di protezione all'interno del beem Hub:

• Essential
• Standard
• Plus
• Premium

Ogni Security Edition si basa sulla precedente, con i livelli più alti che includono tutte le funzionalità di quelli inferiori.

Le Security Editions Essential e Standard sono progettate come offerte "Activation-Business" altamente standardizzate. A partire dalla Standard Security Edition, viene fornito un tenant dedicato, che consente di passare senza problemi alle Security Edition superiori.

Accesso a beemNet

L'accesso a beemNet è consentito tramite licenze utente e licenze di localizzazione. Le licenze di localizzazione sono opzioni beemNet che vengono combinate con la connessione al sito, integrandola così nella rete beemNet. Le licenze d'uso con un abbonamento di telefonia mobile vengono integrate nel servizio attivando un'opzione beemNet offerta da Swisscom per la rispettiva connessione e collegando la connessione con un'identità utente. Ciò rende disponibili le funzionalità associate all'utente autenticato.

Gli utenti che non dispongono di una connessione mobile o la cui connessione mobile non può essere combinata con il servizio possono essere integrati nel servizio con una licenza utente senza abbonamento mobile ("Licenza Protect") offerta separatamente da Swisscom.

Infrastrutture

Swisscom gestisce quattro punti di presenza (PoP) geograficamente ridondanti all'interno della Svizzera, con meccanismi di failover automatici integrati per garantire la disponibilità continua del servizio in tutte le località.

Firewall come servizio (FWaaS) e Secure Web Gateway (SWG)

FWaaS offre la possibilità di identificare le applicazioni attraverso varie caratteristiche, quali Layer-7 Deep Packet Inspection (DPI), URL, numeri di protocollo e di porta, indirizzi IP di destinazione e altro ancora. Questo viene utilizzato in combinazione con un controllo completo basato su regole. Il proxy DNS protegge le voci DNS attraverso le informazioni provenienti dai server DNS autorevoli e dai feed di reputazione DNS per bloccare l'accesso ai siti Web non attendibili o dannosi. La reputazione di URL e IP, la categorizzazione e il filtraggio consentono una navigazione sicura e bloccano i siti web dannosi. Il proxy TLS/SSL apre e ispeziona il traffico crittografato per rilevare le minacce e prevenire le fughe di dati. IPS rileva e previene le vulnerabilità sulla base di firme e anomalie. L'aggiornamento delle firme di vulnerabilità e del rilevamento delle anomalie in tempo reale garantisce una protezione continua.

Figura: Componente di inoltro Versa SASE che illustra la sicurezza a più livelli e il flusso di elaborazione del traffico all'interno dell'infrastruttura di beemNet.

La gestione, la protezione e il monitoraggio efficienti costituiscono le fondamenta del controllo sicuro degli accessi web. I Policies predefiniti e la prioritizzazione della larghezza di banda ottimizzano il traffico web. La difesa dalle minacce offre una protezione completa contro i siti web dannosi e consente una risposta rapida ai nuovi modelli di attacco. La prevenzione in tempo reale delle fughe di dati protegge le trasmissioni non autorizzate e garantisce la conformità alle normative. La sicurezza per i dipendenti mobili consente l'accesso protetto al web da qualsiasi luogo e dispositivo. Il monitoraggio in tempo reale assicura un controllo continuo e il blocco dei contenuti inappropriati per garantire un accesso al web sicuro e gestito. Insieme, questi componenti formano una soluzione di sicurezza olistica per un accesso al web sicuro e gestito:

• Firewall stateful
• Visibilità dell'applicazione
• Firewall di nuova generazione
• Filtraggio IP

La capacità di identificazione delle applicazioni FWAAS identifica tutte le applicazioni con caratteristiche quali Layer 7 Deep Packet Inspection (DPI), URL, numeri di protocollo e di porta, indirizzi IP di destinazione e altro ancora, in combinazione con un controllo completo basato su criteri.

Stateful Packet Inspection (SPI)

Stateful Packet Inspection (SPI) è una funzionalità di sicurezza fondamentale integrata nella nostra piattaforma SASE per fornire una protezione firewall intelligente e sensibile al contesto per tutto il traffico Internet. A differenza del filtraggio stateless, che valuta solo i singoli pacchetti, SPI tiene traccia dell'intero stato e contesto delle sessioni di rete, consentendo alla piattaforma di prendere decisioni informate sulla legittimità del traffico. Nella nostra soluzione, SPI viene applicato tramite Regole di protezione Internet, che vengono applicate per tenant e valutano dinamicamente il traffico in base a una combinazione di criteri di corrispondenza (ad esempio, applicazioni, utenti, geolocalizzazione, indirizzi IP e protocolli) e azioni di applicazione della sicurezza predefinite (ad esempio, consenti, rifiuta o ispezione basata sul profilo). SPI garantisce che il traffico venga valutato non solo in base alla fonte e alla destinazione, ma anche in base ai modelli comportamentali e alla conformità al protocollo. Ad esempio, è in grado di riconoscere e convalidare la sequenza corretta di un handshake TCP o rilevare deviazioni dal normale comportamento della sessione, rifiutando automaticamente connessioni sospette o malformate. La logica di ispezione è integrata nel motore di applicazione del firewall e funziona in combinazione con:

• Filtraggio delle applicazioni e degli URL
• IPS (Sistema di prevenzione delle intrusioni)
• Deep Packet Inspection (DPI)
• Decrittografia TLS/SSL
• Reputazione IP e sicurezza DNS
• Politiche di accesso basate sui ruoli e sull'identità

Questo approccio stratificato consente a SPI di essere altamente efficace nel rilevare l'hijacking di sessione, l'abuso di protocollo e le connessioni spoofed, mantenendo al contempo le prestazioni grazie all'elaborazione ottimizzata nel punto di presenza (PoP). Come parte dell'architettura beemNet, SPI svolge un ruolo chiave nel fornire un accesso a Internet sicuro e conforme alle politiche per gli utenti fissi e mobili, in linea con i livelli di sicurezza di Swisscom.

Deep Packet Inspection (DPI)

L'ispezione approfondita dei pacchetti (DPI) è una tecnica di ispezione fondamentale utilizzata nella nostra infrastruttura beemNet basata su SASE. Analizza l'intero payload dei pacchetti di dati, non solo le informazioni dell'intestazione, per rilevare e controllare in tempo reale modelli di traffico complessi e minacce. Il DPI consente una visibilità e un filtraggio avanzati esaminando il contenuto del traffico Internet, consentendo l'applicazione di regole basate su:

• Conformità al protocollo e anomalie
• Firme e comportamenti delle applicazioni
• Malware incorporato, spyware o altre minacce
• Potenziali fughe di dati (DLP)
• Violazioni delle norme e contenuti inappropriati

Nella nostra soluzione, il DPI viene attivato principalmente dal Security Level 2 in su. In questa fase, il traffico, comprese le connessioni crittografate, viene decrittografato dal proxy TLS/SSL e ispezionato in linea. Il DPI funziona in combinazione con:

• Stateful Packet Inspection (SPI)
• Filtraggio URL e IP
• Motori antivirus e antimalware
• Sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS)

Il DPI è essenziale per rilevare minacce avanzate che aggirano i firewall tradizionali e consente l'applicazione di controlli di sicurezza granulari. La sua efficacia si basa su aggiornamenti continui del riconoscimento dei protocolli, delle firme delle minacce e dell'euristica comportamentale. Come parte dello stack di sicurezza beemNet, il DPI contribuisce in modo significativo alla capacità di bloccare i contenuti dannosi, applicare le policy di utilizzo e garantire la conformità alle normative, il tutto mantenendo un'esperienza utente senza soluzione di continuità.

Proxy DNS e sicurezza

DNS Proxy & Security è una soluzione completa progettata per proteggere le reti e i client a livello DNS, combinando funzionalità avanzate di filtraggio, intelligence sulle minacce e gestione del traffico. Include i seguenti componenti principali: DNS Forwarder, DNS Split Proxy, DNS Proxy, DNS Threat Feeds e DNS Firewall.

• Il proxy DNS svolge un ruolo centrale nella protezione del traffico DNS. Sfrutta le informazioni provenienti da server DNS autorevoli e feed di reputazione DNS costantemente aggiornati per bloccare l'accesso a domini non affidabili, sconosciuti o dannosi, compresi quelli associati alle infrastrutture di comando e controllo (C&C) utilizzate dagli aggressori. Migliora inoltre la velocità di risoluzione DNS e semplifica la gestione DNS.
• La sicurezza e il filtraggio DNS proteggono da un'ampia gamma di minacce basate sul DNS, tra cui il dirottamento DNS, gli attacchi di riflessione e amplificazione, il phishing, il malware, il ransomware e le botnet. Questa protezione viene applicata direttamente a livello DNS, prevenendo le minacce prima che raggiungano la rete o gli endpoint.
• Il DNS forwarder viene utilizzato quando un server DNS non è in grado di risolvere una query utilizzando le sue tabelle DNS locali e deve inoltrare la richiesta a un resolver esterno.
• Il DNS Split Proxy migliora l'efficienza separando le query DNS interne (ad esempio, all'interno di un dominio aziendale) da quelle esterne, garantendo prestazioni ottimali di instradamento e risoluzione.
• I feed delle minacce DNS sono set di dati dinamici e globali che forniscono informazioni in tempo reale sui domini dannosi. Questi feed vengono aggiornati continuamente utilizzando i dati provenienti da centinaia di sensori in tutto il mondo, consentendo il blocco proattivo dei domini appena registrati o sospetti fino a quando la loro reputazione non viene verificata.
• Il DNS Firewall ispeziona ogni query DNS e blocca l'accesso a domini identificati come pericolosi, come siti di phishing o server web compromessi, aggiungendo così un ulteriore Security Level. Insieme, questi componenti formano una solida architettura di sicurezza DNS che non solo accelera la risoluzione dei domini, ma riduce anche significativamente la superficie di attacco impedendo l'accesso a domini dannosi nella fase più precoce possibile.

URL e IP-Reputation

beem NGFW offre un ricco set di funzionalità di categorizzazione e filtraggio di URL e IP in oltre 80 categorie di URL per consentire una navigazione sicura e bloccare i siti dannosi. Gli URL sono classificati in base alla reputazione, al rischio e all'affidabilità. Oltre alle classi predefinite, beem supporta classi definite dall'utente/personalizzate che possono essere create e gestite secondo necessità. Centinaia di milioni di domini e più di 13 miliardi di URL vengono valutati e classificati per ottenere la massima copertura delle minacce.

86 categorie di URL predefinite, tra cui AI generativa e Internet in generale, per migliorare la produttività dei dipendenti; siti inappropriati come il gioco d'azzardo o la pornografia per evitare responsabilità legali; gestione della larghezza di banda, tra cui siti vocali e video.

• Il database degli URL viene aggiornato periodicamente tramite gli aggiornamenti dei pacchetti di sicurezza, senza bisogno di VOS o di aggiornamenti del software.
• Ricerca in cloud in tempo reale delle categorie di URL per quelle non categorizzate nella cache VOS
• Categorie URL personalizzate basate su Regex e/o corrispondenza stringa fissa
• Schermate personalizzabili del captive portal per l'applicazione dei criteri e il reindirizzamento
• Supporto per le pagine Blocca, Informa, Chiedi, Giustifica, Annulla e Autorizza

Proxy e decodifica TLS e SSL

• Protegge dalle minacce nascoste nel traffico crittografato aprendo e ispezionando il traffico TLS/SSL e applicando criteri di sicurezza aggiuntivi per la protezione delle minacce e dei dati.
• Indirizza il traffico crittografato in base alle firme delle applicazioni, esegue la scansione del contenuto crittografato per la prevenzione di malware ed exploit e rileva e previene la fuga di dati per garantire la conformità aziendale.
• Supporto per le modalità trasparente o split-proxy.
• Supporta le versioni 1.0, 1.1, 1.2 e 1.3 di TLS e ha anticipato il supporto di TLS v1.3 rispetto a molti fornitori di sicurezza. Raccomandazione di utilizzare TLS 1.3 con TLS Proxy: beem raccomanda l'uso di TLS 1.3 per una maggiore sicurezza, in quanto incorpora miglioramenti per garantire la riservatezza e l'integrità delle comunicazioni.
• La Perfect Forward Secrecy (PFS) impiega l'uso di chiavi effimere per superare i problemi di riservatezza. La PFS è obbligatoria con TLS 1.3. Generando una chiave di sessione unica per ogni sessione avviata da un utente, anche la compromissione di una singola chiave di sessione non influirà su altri dati oltre a quelli scambiati nella sessione specifica protetta da quella particolare chiave.
• Alcune parti dell'handshake (valori del certificato del server, come CName e SAN) sono criptate. In questo modo si impedisce a terzi malintenzionati (che si affidano all'esame dei certificati del server) di origliare la connessione.

Intrusion Detection System (IDS)

Un sistema di rilevamento delle intrusioni (IDS) è un componente di monitoraggio passivo utilizzato per analizzare il traffico di rete e identificare attività sospette o non autorizzate. Funziona fuori banda, ovvero riceve una copia speculare del traffico anziché essere in linea con il flusso. L'IDS ispeziona il traffico utilizzando:

• Rilevamento basato sulle firme: confronta i modelli di traffico con un database aggiornato regolarmente delle firme delle minacce note.
• Rilevamento basato sulle anomalie: identifica le deviazioni rispetto alle linee di base del traffico stabilite per rilevare attacchi nuovi o zero-day. Gli amministratori possono definire profili di vulnerabilità che specificano regole di rilevamento, soglie e azioni di risposta (ad esempio, avvisi o registrazione).
  Questi profili possono essere:
• Predefiniti, che coprono casi d'uso tipici come la protezione dei client, il rilevamento di malware o le minacce specifiche del sistema operativo.
• Personalizzato, dove le regole vengono adattate alle esigenze organizzative (ad esempio, filtrate in base al punteggio CVSS, al sistema operativo o alla direzione del traffico). Il sistema IDS registra gli eventi rilevati e, se necessario, acquisisce i dati dei pacchetti per un'analisi più approfondita. Questi registri e acquisizioni vengono in genere inoltrati a un sistema di analisi centralizzato per garantire visibilità e correlazione. Posizionando gli IDS nei punti di connessione interni (ad esempio tra VLAN o sistemi critici), le organizzazioni ottengono una visibilità approfondita sul traffico est-ovest, facilitando l'individuazione dei movimenti laterali o delle minacce interne.

Sistema di prevenzione delle intrusioni (IPS)

Un sistema di prevenzione delle intrusioni (IPS) è un meccanismo di sicurezza in linea che non solo rileva le attività dannose, ma le blocca attivamente. A differenza dell'IDS, l'IPS si trova direttamente nel percorso del traffico e può eliminare o rifiutare i pacchetti in tempo reale. Tutto il traffico passa attraverso l'IPS prima di essere inoltrato, consentendo una risposta immediata alle minacce rilevate. I metodi di rilevamento includono:

• Rilevamento basato sulle firme: confronta il traffico in entrata con un database curato di firme di attacchi noti.
• Rilevamento basato sulle anomalie: confronta il comportamento del traffico in tempo reale con valori di riferimento prestabiliti per rilevare attività insolite. Le azioni che possono essere applicate dall'IPS includono:
• Eliminazione di pacchetti dannosi o intere sessioni
• Reimpostazione delle connessioni dal lato client o server
• Registrazione degli eventi con acquisizione dei pacchetti opzionale
• Generazione di avvisi per i team di sicurezza Il sistema utilizza profili di vulnerabilità, ovvero raccolte di regole di rilevamento classificate in base a criteri quali:
• Intervallo di punteggi CVSS
• Sistema operativo o applicazione
• Vettore di attacco o protocollo
• Tipo di regola (firma o anomalia) I profili possono essere predefiniti o personalizzati utilizzando un editor di regole che consente di filtrare in base all'ID della minaccia, alla gravità o all'affidabilità del rilevamento. Inoltre, gli amministratori possono caricare le proprie regole personalizzate in formati standard (ad esempio compatibili con Snort), che vengono compilate e applicate al traffico. Per evitare interruzioni del servizio, il sistema supporta la compilazione asincrona delle regole, il che significa che è possibile preparare nuove regole in background mentre quelle precedenti rimangono attive. Per un controllo più accurato, è possibile configurare soglie ed eccezioni, consentendo, ad esempio, a indirizzi IP specifici di bypassare determinate regole o limitando le azioni in base ai tassi di successo entro intervalli di tempo definiti. Un IPS svolge un ruolo fondamentale nel prevenire lo sfruttamento delle vulnerabilità e garantire che il traffico non autorizzato venga intercettato prima che raggiunga le risorse protette.

Scansione malware e antivirus

La protezione dai malware è un elemento fondamentale dello stack di sicurezza beemNet ed è progettata per rilevare e bloccare i software dannosi prima che possano compromettere gli endpoint o le reti. Ciò include minacce quali virus, worm, trojan, ransomware, spyware e altro codice indesiderato che potrebbe tentare di sottrarre dati o interrompere i servizi. Per garantire una protezione affidabile, beemNet integra il rilevamento dei malware direttamente nella sua pipeline di ispezione del traffico. Questa ispezione viene eseguita in tempo reale e si applica sia ai protocolli web che a quelli di posta elettronica, supportando:

• Ispezione multiprotocollo: esegue la scansione del traffico sui protocolli comunemente utilizzati, tra cui HTTP, FTP, SMTP, POP3, IMAP e MAPI.
• Analisi bidirezionale: ispeziona sia i flussi in upload che quelli in download per identificare il malware che tenta di entrare o uscire dalla rete.
• Filtraggio per tipo di file: filtra in base al formato del file, al tipo MIME o alla firma per impedire la consegna di contenuti dannosi.
• Applicazione basata su Policy: Applica azioni predefinite o personalizzate (ad esempio, Alert, Deny, Reject) in linea con i criteri di Security Policies.

Questa funzionalità è disponibile a partire dal Security Level 2 e svolge un ruolo fondamentale nella protezione degli utenti in tutte le reti connesse.

Gli amministratori possono configurare profili personalizzati di protezione dai malware, definendo:

• I protocolli e le indicazioni per la scansione (ad esempio, solo download o entrambe le direzioni).
• Tipi o categorie di file da includere nell'ambito della scansione.
• Azioni di applicazione per le minacce rilevate: Avviso, Consenti, Nega, Rifiuta. I profili possono anche includere tag e metadati per il filtraggio, la creazione di report e l'assegnazione di criteri. I log relativi al rilevamento di malware possono essere inoltrati a una piattaforma di analisi centralizzata per la correlazione e la risposta agli incidenti. La protezione dai malware è una funzionalità fondamentale per prevenire compromissioni, fughe di dati e interruzioni del sistema su tutti i dispositivi e servizi connessi.

Antivirus (AV)

La scansione antivirus (AV) è una funzione fondamentale delle piattaforme di sicurezza di rete e degli endpoint, progettata per rilevare e prevenire malware noti sulla base del riconoscimento di modelli e dell'analisi comportamentale. Funge da prima linea di difesa contro minacce diffuse come virus basati su file, trojan, ransomware e altro codice dannoso. I motori AV funzionano in genere sulla base dei seguenti principi:

• Rilevamento basato su firme: confronto di file e payload con un database di hash e modelli di malware noti.
• Analisi euristica e comportamentale: identificazione di comportamenti sospetti, quali autoreplicazione, iniezione di codice o accesso anomalo al file system.
• Aggiornamenti in tempo reale: database delle firme costantemente aggiornati per affrontare le minacce appena scoperte. La scansione antivirus è integrata con:
• Ispezione del traffico web (HTTP, HTTPS)
• Scansione delle e-mail (SMTP, POP3, IMAP, MAPI)
• Download e upload di file
• Scansione offline dei file nell'archivio cloud o tramite ispezione basata su API È possibile configurare le Security Policy per specificare le azioni da intraprendere in caso di rilevamento di malware:
• Consenti (solo registro)
• Avviso (invia notifica)
• Rifiuta (blocca la consegna)
• Rifiuta (interrompi attivamente la connessione)
• Azione consigliata (in base al punteggio di rischio o alle impostazioni predefinite delle politiche) L'ispezione AV è un livello fondamentale nelle strategie di difesa approfondita, specialmente se combinata con sandboxing, servizi di reputazione e sistemi di rilevamento delle anomalie. Se configurata correttamente, la scansione AV offre una protezione di base efficace con un impatto minimo sulle prestazioni.

Gateway di livello applicativo (ALG) e controllo delle applicazioni

L'Application Layer Gateway (ALG) è una funzione di rete che facilita la corretta gestione dei protocolli applicativi che richiedono assegnazioni dinamiche di porte e indirizzamento IP incorporato, in particolare quando il traffico è soggetto a NAT (Network Address Translation) o all'ispezione del firewall. Alcuni protocolli, come FTP, SIP, PPTP, TFTP e IKE ESP, stabiliscono sessioni dati secondarie o includono informazioni IP e sulla porta nel loro payload. Senza ALG, queste sessioni spesso falliscono quando attraversano dispositivi NAT o firewall rigorosi, poiché le connessioni dinamiche non vengono tradotte correttamente o non sono consentite.

ALG opera secondo i seguenti principi:

• Interpretazione del traffico di controllo di protocolli applicativi specifici
• Modifica degli indirizzi IP e delle porte incorporati secondo necessità per il NAT traversal
• Creazione dinamica di regole firewall temporanee (pinholes) per consentire il traffico di ritorno legittimo
• Mantenere la consapevolezza della sessione per rimuovere le regole al termine delle sessioni

Esempio di utilizzo: FTP in modalità attiva

In modalità FTP attiva, vengono create due sessioni:

• Una sessione di controllo (ad esempio, porta 21) per gestire comandi come l'elenco delle directory o le azioni sui file.
• Una sessione dati in cui il server avvia una connessione al client per trasferire i file.

Senza ALG, i firewall o i dispositivi NAT non sono in grado di riconoscere o consentire la sessione dati in entrata, specialmente se il client risiede dietro un indirizzo IP privato. ALG ispeziona il canale di controllo, estrae le informazioni IP/porta necessarie, le riscrive in modo appropriato e apre un foro nel firewall o nel dispositivo NAT per consentire il corretto svolgimento della sessione.

Integrazione rete di accesso

Integrazione con beem Office tramite l'opzione beemNet

L'integrazione di beem Office con beemNet è ottenuta tramite un'opzione beemNet specifica per il sito. Ciò consente a tutti i dispositivi presenti in quell'ufficio di essere protetti dal perimetro di sicurezza beemNet. Il router beem Office (ad es. Centro Business Router) stabilisce la connessione ai PoP beemNet, consentendo un accesso a Internet sicuro e conforme alle politiche aziendali per tutti i dispositivi collegati.

Integrazione con Smart Business Connect (senza BNS)

Le linee Smart Business Connect possono essere integrate in beemNet attivando un'opzione beemNet per la rispettiva connessione. L'integrazione attualmente supporta solo linee Smart Business Connect senza l'opzione Business Network Solution (BNS). Questa limitazione si applica alla fase iniziale di implementazione dell'integrazione di beemNet.

Integrazione con NATEL® go tramite l'opzione beemNet

Gli utenti mobili con un abbonamento NATEL® go possono essere integrati nell'ecosistema beemNet tramite l'attivazione di una licenza utente. Una volta collegato all'identità di un utente, il traffico viene protetto tramite l’app beem, garantendo comunicazioni crittografate e conformi alle politiche su qualsiasi rete (ad esempio WLAN, mobile).

Integrazione con la rete mobile Swisscom tramite licenze utente Protect & Connect

Gli utenti che non dispongono di un abbonamento mobile aziendale possono essere integrati con una licenza Protect & Connect. Ciò garantisce loro l'accesso ai servizi beemNet su un massimo di un dispositivo e include l'uso dell’app beem. La licenza Protect & Connect assicura che il traffico venga instradato attraverso il Security Level di Swisscom, applicando tutti i Security Level e le ispezioni.

Occultamento dell'indirizzo IP dell'endpoint

La funzione "Nascondi indirizzo IP endpoint" garantisce che gli indirizzi IP dei dispositivi client e delle posizioni protetti con beem rimangano nascosti. Ciò è possibile grazie all'uso della "Carrier-Grade Network Address Translation (CGNAT)", una tecnica che utilizza lo spazio di indirizzi condiviso specificato nella RFC 6598, destinata alle reti dei service provider come quella di Swisscom. Utilizzando CGNAT, beem considera gli indirizzi IP dei clienti come privati, mantenendoli nascosti alla rete Internet pubblica. Di conseguenza, i proprietari di siti web e soggetti simili vedono solo un indirizzo IP pubblico generico proveniente da un pool condiviso di indirizzi IP pubblici, garantendo che gli indirizzi IP effettivi dei visitatori di beem rimangano nascosti e protetti. Ciò impedisce ai siti web di visualizzare e tracciare gli indirizzi IP dei singoli dispositivi. Di conseguenza, la privacy e la sicurezza risultano migliorate, garantendo una protezione più efficace contro attacchi mirati come il Denial-of-Service (DoS) e il Social Engineering.

Mascheramento dell'identità della fonte (utente)

Per preservare la privacy degli utenti e proteggere gli endpoint da attacchi mirati, l'indirizzo IP pubblico dei dispositivi degli utenti viene oscurato durante l'accesso a Internet. Ciò garantisce che l'indirizzo sorgente effettivo non sia visibile a entità esterne, riducendo la tracciabilità e la superficie di attacco. Anche con l'occultamento abilitato, garantiamo sempre che l'indirizzo IP pubblico condiviso presentato a Internet sia svizzero.

Gestione unificata degli endpoint

Sicurezza e-mail per SMTP, IMAP, MAPI, POP3

La sicurezza delle e-mail è garantita tramite un proxy che controlla i protocolli di posta elettronica quali SMTP, IMAP, POP3 e MAPI. L'ispezione comprende:

• Rilevamento di malware basato su firme
• Filtraggio di spam e phishing
• Scansione dei contenuti e degli allegati
• Blocco di mittenti e domini dannosi

Gli IP fissi sono necessari per la comunicazione da server a server. Questa funzione è disponibile a partire dalla Premium Security Edition e integra strategie più ampie di Data Loss Prevention (DLP).

Traffico in uscita

Accesso a Internet tramite beemNet

Tutto il traffico Internet in uscita viene instradato attraverso l'infrastruttura beemNet, applicando le politiche a livello DNS, IP e applicativo. Gli utenti beneficiano di servizi di filtraggio degli URL, Deep Packet Inspection (DPI), decrittografia TLS/SSL e servizi di reputazione delle minacce. Swisscom può applicare una limitazione della larghezza di banda per dispositivo o sito al fine di garantire livelli di protezione costanti su tutta la propria infrastruttura condivisa.

WARNING

I servizi che richiedono IP pubblici (ad esempio, dynDNS) non sono compatibili con beemNet a causa del cloaking dell'IP.

Traffico in entrata (accesso ad applicazioni e reti private)

L'Edge Interceptor

Tutto il traffico in entrata verso un ambiente protetto da beemNet viene negato per impostazione predefinita, tenendo così a bada le minacce informatiche. D'altra parte, questo significa anche che l'accesso legittimo alle reti protette da beemNet viene bloccato, ad esempio se un dipendente lavora da casa e ha bisogno di accedere a un server aziendale protetto da beemNet.

Per consentire tale accesso, beem offre la funzione Edge Interceptor, che consente l'accesso sicuro alle reti, ai server e alle applicazioni aziendali basato su ZTNA. Intercetta il traffico di dati in entrata e, se consentito, lo instrada in modo sicuro attraverso la beemNet fino alla destinazione corretta.

A differenza del port forwarding convenzionale, che comporta un rischio intrinseco per la sicurezza, l'Edge Interceptor funziona come un punto di accesso sicuro, applicando i criteri di sicurezza beemNet e ZTNA senza influire sulle impostazioni del firewall esistente.

Le seguenti guide forniscono istruzioni passo passo per configurare l'accesso sicuro ai server e alle applicazioni private protette da beemNet. Trovate la guida specifica del vostro prodotto e seguite la procedura di configurazione corrispondente.

Distinzione tra On-Net e Off-Net

Quando si configura Edge Interceptor, è importante distinguere tra connessioni On-Net e Off-Net, poiché ognuna di esse ha implicazioni diverse per il processo di configurazione. I termini On-Net e Off-Net si riferiscono al luogo in cui avviene il traffico di dati: Il traffico On-Net rimane all'interno della rete BeemNet, mentre il traffico Off-Net va oltre.

On-Net

On-Net significa che un utente, un dispositivo o un'applicazione si connette dall'interno della beemNet utilizzando prodotti Swisscom come beem Office, Smart Business Connect o Protect & Connect. In questo caso, il traffico dati rimane completamente all'interno della dorsale sicura di Swisscom e non esce mai verso la rete Internet pubblica. È considerata una zona interna e sicura perché tutti gli utenti e i dispositivi sono verificati attraverso l'identità del prodotto beemNet.

Esempi On-Net:

• Un ingegnere lavora presso una sede aziendale Smart Business Connect e accede a un server presso il sito protetto dell'altra azienda.
• Un dipendente in viaggio accede a un'applicazione aziendale utilizzando il suo computer portatile mentre è online con una SIM Protect & Connect Mobile.
• Due filiali dell'azienda, entrambe dotate di Beem Office, si inviano reciprocamente i file.

Off-Net

L'accesso off-net, invece, viene avviato dall'esterno dell'ecosistema beemNet attraverso la rete Internet pubblica. In questo caso, l'Edge Interceptor agisce come un gateway protettivo, applicando regole di accesso basate su ZTNA prima di consentire l'accesso. Sebbene il traffico Off-Net percorra un percorso più rischioso attraverso la rete Internet pubblica, l'Edge Interceptor consente un traffico in entrata e un accesso esterno sicuro e controllato.

Esempi Off-Net:

• Un dipendente lavora in remoto sul Wi-Fi dell'hotel e utilizza l'App beem per accedere a un'applicazione aziendale.
• Un partner commerciale deve stabilire una connessione a un NAS aziendale protetto da beemNet dal proprio provider Internet.
• Il server cloud di un'azienda su AWS riceve traffico dai clienti online e le loro richieste vengono filtrate e inoltrate in modo sicuro nella beemNet.

INFO

Per beem Office e Smart Business Connect, l'accesso alle applicazioni private è disponibile con le edizioni Standard, Plus e Premium di beem Security.

Per Enterprise Connect, l'accesso alle applicazioni private è disponibile con le edizioni Plus e Premium beem Security.

Ulteriori prodotti e opzioni di configurazione saranno introdotti man mano che le capacità di beemNet si amplieranno.

Guide alla configurazione del traffico in entrata

beem Office, Smart Business Connect ed Enterprise Connect XS

Guida alla configurazione On-Net

Informazioni sulla configurazione On-Net

Questa guida spiega come configurare un accesso On-Net sicuro utilizzando un Centro Business Router e integrandolo con le politiche di sicurezza e ZTNA di Concerto. Poiché le connessioni On-Net operano interamente all'interno della beemNet, non sono necessarie VPN o tunnel. I sistemi protetti da beemNet sono accessibili attraverso indirizzi IP esposti in modo sicuro.

Le connessioni in entrata sollecitate e non sollecitate possono essere impostate utilizzando la stessa procedura (parte 2), ma ciascuna deve essere configurata separatamente.

Parte 1: Inoltro delle porte del router Centro Business

• Aprire l'Admin Dashboard del Centro Business Router.
  Spostarsi su Rete → Inoltro porte.
• Fare clic su Aggiungi nuova regola.
• Selezionare un IP pubblico.
• Scegliere una porta.
• Scegliere l'IP LAN del sistema di destinazione.
• Per la Porta locale, scegliere Stessa porta o Definita in modo personalizzato.
• Salvare le configurazioni.

Parte 2: Configurazione di Concerto IP

• Aprire Concerto e navigare → Configura → Protezione in tempo reale → Protezione app private e fare clic su Add + per avviare il processo di configurazione.

• Passo 1 Applicazioni: Saltare questo passaggio.

• Passo 2 Utenti e gruppi:

  • Per abilitare il traffico in entrata sollecitate, selezionare User groups. Nelle opzioni di personalizzazione selezionare profilo gestito-saml-oneidb e scegliere il gruppo di utenti per cui si desidera abilitare il traffico in entrata.
  • Per abilitare il traffico in entrata non sollecitate, selezionare User device groups e selezionare l'opzione VSIA_VSPA-Default.

• Passo 3 Posizione del punto finale: Saltare questo passaggio.

• Passo 4 Posizioni geografiche: Saltare questo passaggio.

• Passo 5 Livello di rete 3-4: Aprire la scheda Indirizzo di destinazione e fare clic su Add Adress Group. Inserire l'indirizzo IP pubblico fisso del router Centro Business (compresa la sottorete, ad esempio ".xx/32") e definire un nome e un tag.

• Passo 6 Applicazione della sicurezza: Selezionare Allow

• Passo 7 Revisione e distribuzione: Controllare e salvare le configurazioni.

Una volta completata la procedura di impostazione e tornati alla pagina Private App Protection, assicurarsi di fare clic su Publish per terminare l'impostazione.

Configurazione Off-Net

Informazioni sulla configurazione Off-Net

L'accesso Off-Net viene stabilito impostando tunnel VPN site-to-site per tutti i gateway beemNet. L'infrastruttura beemNet è costituita da quattro Point of Presence (PoP) ridondanti dal punto di vista geografico in Svizzera, ciascuno dotato di un meccanismo di failover automatico. Il risultato è un totale di otto gateway - quattro attivi e quattro in standby - che devono essere tutti collegati attraverso tunnel sicuri per garantire una connettività e una ridondanza ottimali.

Questo processo è complesso ed elaborato e (al momento) non può essere implementato tramite un'interfaccia snella e facile da usare. Per questo motivo, vi invitiamo a contattare Swisscom se avete bisogno di configurare connessioni Off-Net. Una volta impostate, potete gestire le politiche di sicurezza e di zero-trust della vostra azienda in Concerto come di consueto.

Enterprise Connect Central Internet

Informazioni sulla configurazione Internet di Enterprise Connect Central

Questa guida spiega come impostare l'accesso sicuro utilizzando Enterprise Connect Dashboard e Concerto. Questo avviene creando un collegamento VPN in uscita per stabilire un percorso di rete sicuro, configurando il port forwarding per instradare il traffico in entrata da un IP pubblico al server interno corretto e applicando i criteri di sicurezza e ZTNA di Concerto per consentire il traffico e l'accesso in entrata.

Gli accessi per il traffico sollecitato e non sollecitato possono essere configurati utilizzando lo stesso processo (parte 3), ma devono essere impostati separatamente.

Parte 1: Attivare beemNet e abilitare il collegamento in uscita per Access VPN

• Aprire Enterprise Connect Dashboard e navigare in Servizi di rete → Impostazioni.
• Cercate il riquadro beem e assicuratevi che lo stato sia On.
• Spostarsi in Sicurezza e fare clic sul riquadro Collegamenti in uscita.
• Fare clic su + per generare un link in uscita specifico per la VPN. Accettare la configurazione facendo clic sul segno di spunta e salvare.
• Andate alla cassa in alto a destra e inviate le vostre configurazioni.

Parte 2: Configurazione dell'inoltro delle porte

• Aprire Enterprise Connect Dashboard e navigare in Network Services → Security.
• Fare clic sul riquadro S-SPAT-Links e quindi su + per aggiungere una nuova regola:
  • Inserire un nome e il proprio IP pubblico.
  • Scegliere Sorgente VPN.
  • Inserire l'indirizzo IP privato del server di destinazione.
  • Scegliere Protocollo TCP/UDP.
  • Configurare le Porte di destinazione di origine.
  • Configurare le Porte di destinazione tradotte.
• Confermate con il segno di spunta e andate alla cassa in alto a destra per inviare le vostre configurazioni.

Parte 3: Consentire le connessioni in entrata

• Aprire Concerto e navigare → Configura → Protezione in tempo reale → Protezione app private e fare clic su Add + per avviare il processo di configurazione.

• Passo 1 Applicazioni: Saltare questo passaggio.

• Passo 2 "Utenti e gruppi":

  • Per abilitare il traffico in entrata sollecitato, selezionare User groups. Nelle opzioni di personalizzazione selezionare profilo gestito-saml-oneidb e scegliere il gruppo di utenti per cui si desidera abilitare il traffico in entrata.
  • Per abilitare il traffico in entrata non sollecitato, selezionare User device groups e selezionare l'opzione VSIA_VSPA-Default.

• Passo 3 Posizione del punto finale: Saltare questo passaggio.

• Passo 4 Posizioni geografiche: Saltare questo passaggio.

• Passo 5 Livello di rete 3-4: Aprire la scheda Indirizzo di destinazione e fare clic su Add Adress Group. Inserire l'indirizzo IP del collegamento VPN in uscita come configurato nella parte 1.

• Passo 6 Applicazione della sicurezza: Selezionare Allow

• Passo 7 Revisione e distribuzione: Controllare e salvare le configurazioni.

Una volta completata la procedura di impostazione e tornati alla pagina Private App Protection, assicurarsi di fare clic su Publish per terminare l'impostazione.

Si raccomanda di utilizzare le guide di configurazione in inglese. Concerto può essere tradotto automaticamente dai browser web o da altre applicazioni, il che può portare a imprecisioni o incoerenze con le guide di configurazione tradotte su docs.