Che cos'è un Air Gap?

Un intervallo d'aria opera su un principio di disconnessione assoluta. Mentre la sicurezza di rete standard si basa su filtri software, uno spazio d'aria si basa sull'assenza fisica di un mezzo di trasmissione.

Per ottenere ciò, il sistema protetto ha tipicamente le sue schede di rete rimosse o disabilitate. Non ci sono cavi Ethernet collegati, nessuna antenna Wi-Fi attiva e nessun radio Bluetooth abilitato. Il sistema diventa effettivamente un'isola, invisibile al resto dell'oceano digitale.

Poiché il sistema non può comunicare tramite protocolli di rete standard, il trasferimento delle informazioni si basa su un metodo manuale. Per spostare i dati nell'ambiente isolato, un utente deve copiare fisicamente i file su supporti rimovibili e portarli alla macchina isolata. Questo processo crea un punto di intervento umano obbligatorio.

Questo flusso di lavoro manuale introduce un'attrito significativo che funge da caratteristica di sicurezza. Poiché non c'è connessione persistente, un hacker non può eseguire una shell di comando remota, esfiltrare dati in tempo reale o spostarsi lateralmente da una workstation infetta al server di backup. L'unico ponte attraverso il divario è temporaneo, fisico e rigorosamente controllato.

Tipi di configurazioni di isolamento d'aria

Le organizzazioni implementano l'isolamento d'aria attraverso vari setup architettonici, che vanno da dispositivi semplici disconnessi a vault aziendali sofisticati. Queste configurazioni sono scelte in base all'equilibrio tra i requisiti di sicurezza e la necessità di accessibilità operativa.

• Sistemi isolati autonomi: Questa è la configurazione più basilare, composta da un singolo computer o server che non ha assolutamente connessioni all'interfaccia di rete. Viene utilizzata principalmente per compiti altamente sensibili, come la gestione dell'autorità di certificazione radice o l'elaborazione di documenti classificati, dove l'input e l'output avvengono rigorosamente tramite supporti rimovibili ispezionati.
   
• Vaulting di librerie a nastro: Una configurazione tradizionale ma altamente efficace in cui i dati di backup vengono scritti su cartucce di nastro magnetico. Una volta completato il backup, i nastri vengono espulsi dalla libreria robotica e trasportati in una struttura di stoccaggio sicura e fuori sede, creando un divario letterale tra i dati e la rete.
   
• Diode hardware: Questa configurazione utilizza un dispositivo hardware specializzato che impone un flusso di informazioni unidirezionale a livello fisico. I dati possono essere inviati nella rete ad alta sicurezza (ad esempio, per archiviare i log), ma nessun segnale può tornare fisicamente alla rete sorgente, rendendo impossibile per un attaccante inviare segnali di comando e controllo all'esterno.
   
• Apparecchi di backup isolati: Questi sono apparecchi progettati appositamente per rimanere offline per impostazione predefinita. Il sistema si collega fisicamente o logicamente alla rete di produzione solo per la durata precisa di una finestra programmata, dopo di che si disconnette immediatamente o si spegne per ridurre al minimo la superficie di attacco.
   
• Vault di recupero gestiti: In questa configurazione, i dati critici vengono replicati in un ambiente isolato (spesso una camera pulita) completamente segregato dalla directory di produzione e dai servizi di rete. Questo vault è gestito da un insieme separato di credenziali e amministratori per prevenire che un attaccante con privilegi di amministratore rubati acceda alle copie sicure.

Vantaggi dell'Air Gapping

Implementare una strategia di isolamento fornisce il massimo livello di difesa per gli asset più critici di un'organizzazione. Staccando fisicamente i dati dalla rete, le aziende ottengono diversi vantaggi strategici che le soluzioni puramente software non possono replicare.

• Protezione da ransomware e malware: Il principale vantaggio è la sua capacità di fermare il movimento laterale di malware auto-propaganti; poiché non c'è connessione fisica per il codice da attraversare, il ransomware che cripta la rete di produzione non può raggiungere o infettare le copie, preservando uno stato pulito per il recupero.

• Prevenzione dell'accesso non autorizzato: L'air gapping neutralizza efficacemente i tentativi di hacking remoto e le intrusioni non autorizzate perché un attore minaccioso non può sfruttare vulnerabilità, forzare password o utilizzare credenziali compromesse per accedere a un sistema che è invisibile alla rete e a Internet.

• Garantire integrità e conformità: Molti quadri normativi (come GDPR, HIPAA e standard finanziari) richiedono misure rigorose per garantire che i dati non siano stati manomessi; l'air gapping soddisfa queste rigorose richieste di conformità garantendo che una volta archiviati i dati nell'ambiente isolato, rimangano immutabili e non alterati da forze esterne.

• Recupero da disastri e continuità aziendale: Un backup isolato funge da "polizza assicurativa" o "copia d'oro" definitiva, garantendo che anche in uno scenario peggiore in cui l'intero ambiente di produzione viene cancellato o bloccato, l'organizzazione conserva un insieme recuperabile di informazioni per riprendere le operazioni aziendali.

Sebbene l'air gapping offra una sicurezza superiore, introduce un significativo attrito operativo e complessità che possono ostacolare l'agilità. La dipendenza dai trasferimenti manuali di dati impedisce la sincronizzazione in tempo reale, il che significa che i dati separati sono sempre leggermente obsoleti rispetto all'ambiente di produzione attivo.

Inoltre, l'isolamento non è assoluto; il necessario collegamento tramite supporti rimovibili come le chiavette USB crea una vulnerabilità in cui il malware può essere trasportato manualmente attraverso il divario, come dimostrato dal famoso worm Stuxnet, rendendo i protocolli rigorosi di decontaminazione e sicurezza fisica altrettanto critici quanto la disconnessione stessa.

Sebbene il "vero" air gap tradizionale sia fisico, gli ambienti moderni spesso impiegano l'isolamento logico per raggiungere obiettivi protettivi simili con maggiore agilità.

Un air gap fisico è l'approccio "classico" in cui il sistema è completamente disconnesso dall'infrastruttura. Non ci sono cablaggi, né Wi-Fi, e l'hardware si trova in una posizione separata o in un rack sicuro.

Al contrario, un air gap logico si basa sulla segmentazione della rete e sui controlli software per creare isolamento. I dati di backup possono risiedere sulla stessa rete dell'ambiente di produzione, ma sono logicamente invisibili e inaccessibili agli utenti e alle applicazioni standard. Questo viene realizzato utilizzando politiche di archiviazione immutabili (WORM - Write Once, Read Many), domini di autenticazione distinti e configurazioni di rete a zero fiducia che rifiutano tutto il traffico tranne i flussi di backup specifici e autorizzati.

Le tecnologie di air gap sono essenziali in settori ad alto rischio dove la compromissione dei dati può avere conseguenze fisiche o finanziarie catastrofiche. Nei settori governativi e militari, gli air gap fisici sono il protocollo standard per proteggere informazioni top-secret e sistemi di controllo delle armi da spionaggio straniero.

Gli operatori di infrastrutture critiche, come le centrali elettriche e gli impianti di trattamento delle acque, si affidano a Sistemi di Controllo Industriale (ICS) e reti SCADA isolati per prevenire attacchi che potrebbero mettere in pericolo la sicurezza pubblica.

Nel frattempo, le istituzioni finanziarie utilizzano reti isolate per proteggere i terminali di transazione SWIFT e i registri bancari core da frodi, e le organizzazioni sanitarie adottano sempre più backup immutabili e logicamente air-gapped per proteggere i registri sensibili dei pazienti dalla crescente minaccia di malware che mira alla disponibilità degli ospedali.

Migliori Pratiche per Implementare Air Gaps

Implementare un air gap non è un compito "da impostare e dimenticare"; richiede una disciplina rigorosa per rimanere efficace contro minacce come ransomware.

• Definire controlli di accesso rigorosi: Limitare l'accesso fisico all'ambiente air-gapped a un numero minimo di personale verificato e applicare una "regola delle due persone" per operazioni critiche per prevenire minacce interne.
   
• Sanitizzare i media rimovibili: Stabilire una stazione di scansione obbligatoria per analizzare tutte le unità USB o i dischi esterni per malware prima che vengano mai collegati al sistema sicuro.
   
• Automatizzare l'isolamento logico: Se si utilizza un gap d'aria logico, assicurarsi che il negozio sia immutabile (WORM) e gestito da un sistema di autenticazione completamente separato (ad esempio, non collegato al principale directory aziendale).
   
• Testare regolarmente il turnaround: Un gap d'aria è inutile se i dati non possono essere recuperati; pianificare esercitazioni periodiche per recuperare fisicamente, montare e ripristinare i dati dall'ambiente isolato per verificare l'integrità e i tempi di recupero.

Gap d'aria vs Altre Misure

Mentre gli strumenti di sicurezza standard sono essenziali per la difesa quotidiana, operano su reti connesse, mentre un gap d'aria si basa su un'isolamento totale.

• Gap d'aria vs firewall e IDS: I firewall e i sistemi di rilevamento delle intrusioni (IDS) filtrano il traffico in base a regole e firme, ma se un exploit zero-day bypassa questi filtri software, la rete è esposta; un gap d'aria, al contrario, previene fisicamente qualsiasi flusso di traffico, rendendo impossibili gli exploit remoti indipendentemente dalle vulnerabilità software.
   
• Gap d'aria vs segmentazione della rete: La segmentazione della rete (utilizzando VLAN) limita il movimento laterale dividendo una rete in zone più piccole, ma queste zone rimangono in realtà connesse e potenzialmente attraversabili tramite misconfigurazioni o furto di credenziali; un gap d'aria rimuove completamente la connessione, offrendo un confine fisico più netto che la segmentazione logica non può emulare.
   
• Gap d'aria vs isolamento basato su cloud: L'isolamento basato su cloud (spesso chiamato "backup immutabile") crea un gap d'aria logico bloccando i dati contro le modifiche (WORM) all'interno di un ambiente connesso; mentre è altamente efficace per il recupero rapido da malware, manca della disconnessione assoluta di un gap d'aria fisico, che protegge contro compromissioni a livello di piattaforma o minacce interne con accesso cloud amministrativo.

Come OVHcloud Implementa i Concetti di Sicurezza del Gap d'Aria

OVHcloud integra i principi di isolamento e immutabilità nella sua architettura per fornire una protezione robusta che rispecchia il tradizionale gap d'aria.

• Isolamento dei dati e soluzioni di backup dati sicuri<1>: La soluzione di archiviazione a freddo di OVHcloud sfrutta la tecnologia delle librerie a nastro IBM per memorizzare i dati offline per la conservazione a lungo termine; questo fornisce un equivalente moderno e automatizzato di un gap d'aria fisico in cui i dati vengono scritti su nastro e fisicamente disaccoppiati dall'ecosistema del disco attivo fino a quando non viene richiesta la restituzione.
   
• Prontezza anti-ransomware e recupero da disastri<1>: Supportando il blocco degli oggetti (WORM) sul suo Object Storage compatibile con S3, OVHcloud consente agli utenti di creare backup immutabili che non possono essere crittografati, modificati o eliminati da malware o attori malintenzionati per una durata prestabilita, creando effettivamente un gap d'aria logico per un turnaround immediato in caso di disastro.
   
• Approccio alla conformità e sovranità di OVHcloud: OVHcloud garantisce che i dati rimangano in realtà e legalmente separati attraverso il suo rigoroso framework di sovranità dei dati; i dati sono archiviati in data center localizzati (immuni da leggi extraterritoriali come il CLOUD Act degli Stati Uniti per i clienti non statunitensi) e protetti da rigorosi controlli di accesso fisico, garantendo che il "gap" protegga sia dalle minacce informatiche che dai rischi geopolitici.