Buongiorno,
Leggendo attentamente il capitolato tecnico dell’accordo quadro SPC noto una relativa carenza per i requisiti minimi di sicurezza ICT.
Ottime le condizioni per disaster recovery e business continuity ma non vi sono misure di sicurezza dettagliate per le VM esposte ad internet.
Il servizio dà la possibilità di gestire un Vfirewall impostando regole ma non gli strumenti per soddisfare i requisiti minimi di sicurezza ict ABSC 13 in particolare:
- Utilizzare sul perimetro della rete strumenti automatici per bloccare, limitare ovvero monitorare in maniera puntuale, sul traffico uscente dalla propria rete, l’impiego di crittografia non autorizzata o l’accesso a siti che consentano lo scambio e la potenziale esfiltrazione di informazioni.
- Implementare strumenti DLP (Data Loss Prevention) di rete per monitorare e controllare i flussi di dati all’interno della rete in maniera da evidenziare eventuali anomalie.
Qualsiasi anomalia rispetto al normale traffico di rete deve essere registrata anche per consentirne l’analisi off line. - Monitorare il traffico uscente rilevando le connessioni che usano la crittografia senza che ciò sia previsto.
- Bloccare il traffico da e verso url presenti in una blacklist.
L’unica soluzione tecnica che mi verrebbe in mente per mettere in sicurezza tale opzione è creare un canale VPN dalla nostra rete alla VM così da uniformare il perimetro di sicurezza. Non sarebbe opportuno inserire questi servizi nell’accordo quadro?