← Indice pacchetto onboarding
Firewall Rulebase Review — Gonzato Group / Ind.i.a SpA
Pacchetto onboarding IT Gonzato · Fase P2 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Fotografare e razionalizzare le regole firewall/perimetro e la segmentazione multi-sede. Oggi le regole sono ad-hoc, stratificate nel tempo: tipicamente si accumulano regole any-any, port-forward dimenticati e VPN legacy. Con ~24 società su 5 continenti la superficie è ampia. Approccio non accusatorio: si documenta l'esistente, si marca ciò che è rischioso, si propone la bonifica concordata.
1. Inventario perimetro
| Sede / società | Apparato firewall | Modello/firmware | In supporto? | Gestore attuale | Config documentata? |
|---|
| [da compilare] | | | Sì/No | | Presente/Parziale/Assente |
2. Review regole — findings
Per ogni regola sospetta annotare: cosa fa, perché esiste (se noto), rischio, azione proposta.
| # regola | Origine → Destinazione | Servizio/porta | Uso noto? | Rischio (A/M/B) | Azione proposta | Stato |
|---|
| [da compilare] | | | | | mantieni/restringi/rimuovi | Presente/Parziale/Assente |
Pattern rischiosi da cercare esplicitamente
| Pattern | Presente? | Dove | Priorità bonifica |
|---|
Regole any-any (o any su destinazione/servizio) | Presente/Parziale/Assente | [da compilare] | Alta |
| Port-forward verso interno (RDP/SMB/DB esposti) | Presente/Parziale/Assente | [da compilare] | Alta |
| VPN legacy / protocolli deboli (PPTP, IKEv1, no-MFA) | Presente/Parziale/Assente | [da compilare] | Alta |
| Regole senza descrizione/owner | Presente/Parziale/Assente | [da compilare] | Media |
| Regole verso IP pubblici obsoleti / host dismessi | Presente/Parziale/Assente | [da compilare] | Media |
| Management firewall esposto su WAN | Presente/Parziale/Assente | [da compilare] | Alta |
| Accessi fornitori permanenti (non temporanei) | Presente/Parziale/Assente | [da compilare] | Media |
3. Segmentazione multi-sede
| Requisito | Stato | Note |
|---|
| Reti separate per società/sede | Presente/Parziale/Assente | [da compilare] |
| VLAN dedicata OT/produzione isolata dall'office | Presente/Parziale/Assente | Contenimento ransomware verso reparto |
| Segmento guest/Wi-Fi isolato | Presente/Parziale/Assente | [da compilare] |
| Traffico inter-sede filtrato (non trust totale site-to-site) | Presente/Parziale/Assente | [da compilare] |
| Segmento server separato da client | Presente/Parziale/Assente | [da compilare] |
| Default deny tra segmenti + regole esplicite | Presente/Parziale/Assente | [da compilare] |
4. Governance regole (target)
- Ogni regola deve avere: descrizione, owner, data creazione, motivazione.
- Regole temporanee con scadenza e riesame.
- Change tracciato (vedi processo change management).
- Backup config firewall versionato:
Presente / Parziale / Assente.
5. Checklist sintesi
- ☐ Inventario apparati perimetro completo
- ☐ Regole
any-any identificate e piano di restrizione - ☐ Port-forward mappati e giustificati o rimossi
- ☐ VPN legacy identificata e piano di migrazione (VPN moderna + MFA)
- ☐ Management firewall non esposto su WAN
- ☐ Segmentazione multi-sede verificata (OT isolato in primis)
- ☐ Regole prive di owner/descrizione bonificate
- ☐ Backup config firewall versionato
Prossimi passi
[da compilare: prioritizzare bonifica any-any e VPN legacy con finestra concordata, collegare a nis2-technical-gap-checklist.md § access control e a security-baseline-hardening.md]