Top-level heading

Sapienza Università di Roma
Centro InfoSapienza
opens a new windowSapienza Università di Roma
|
Centro InfoSapienza

Best practice per l’esposizione su rete pubblica dei servizi di Ateneo

Premessa
L’Ateneo ha una propria infrastruttura di rete che mette in collegamento tra di loro l’Amministrazione centrale, le strutture, il sistema bibliotecario ed altri enti di ricerca.

Prima di collegare un dispositivo, accedere alla rete o di offrire un servizio alla propria comunità, è opportuno prendere visione dei due regolamenti principali 

I servizi in rete
Nella fase di valutazione di sviluppo o acquisto di un servizio occorre analizzare tutte le tipologie di utenti che dovranno accedere al servizio per determinare il corretto posizionamento sulla rete. Non sempre è necessario rendere un servizio raggiungibile e visibile dalla rete pubblica.

Possiamo individuare le seguenti tipologie di rete:

  • Rete pubblica: è internet. Il servizio è visibile dall’esterno dell’ateneo.
  • Rete di Ateneo: è la porzione di rete condivisa tra le diverse strutture. Un servizio esposto in questa rete è fruibile solo all’interno dell’Ateneo o attraverso la VPN di Ateneo.
  • Rete di struttura: è l’insieme di reti gestite autonomamente dalla struttura per attività amministrative, didattiche o ricerca. Le reti con le diverse finalità dovrebbero essere separate fisicamente o logicamente.


E’ fortemente raccomandato limitare l’uso di indirizzi pubblici sui dispositivi, specialmente dove non è un requisito del servizio. E’ preferibile proteggere il dispositivo pubblicando all'esterno solo i servizi necessari. In alcuni casi potrebbe essere necessario rivedere la propria topologia di rete.

Nel momento in cui si espongono i servizi sulla rete pubblica o sulla rete di Ateneo si raccomanda di:

  • verificare la reale necessità di esporre il servizio pubblicamente, valutando i rischi di sicurezza e l’onere di gestione.
  • proteggere adeguatamente i dispositivi di rete esposti
  • rendere raggiungibili solo le porte necessarie
  • usare sempre connessioni cifrate tramite algoritmi di cifratura robusti anche quando trasmettono informazioni pubbliche.
  • aggiornare periodicamente i server, i servizi ed i moduli dei servizi esposti.
  • disattivare nel dispositivo i protocolli o i servizi non strettamente necessari
  • definire il ciclo di vita del servizio (definire o comunicare la data di dismissione)
  • valutare l’adeguata protezione per il tipo di dato pubblicato o trasmesso (pubblico, personale, riservato, etc)
  • verificare periodicamente la validità dei certificati
  • non usare certificati autofirmati
  • limitare il numero di dispositivi Firewall o VPN
  • non esporre servizi incompleti o di prova

Su rete pubblica, generalmente è vietato:

  • esporre console di gestione e servizi di management: SSH, ILO, IPMI, IDRAC, NAS, sistemi di virtualizzazione, etc.
  • esporre servizi di controllo remoto: RDP, VNC, AnyDesk, WinRM, TeamViewer, etc.
  • esporre servizi di condivisione: FTP, FTPS, SFTP, etc.