Ultimamente si sente molto parlare di Zero Trust, un modello di sicurezza basato sulla cessione minima dei privilegi e sull’autenticazione costante. Questo modello può essere applicato a tutte le identità presenti in una rete aziendale, anche a quelle macchina: ce ne parla Massimo Carlotti, Sales Engineering Manager Italy di CyberArk.
Anche le macchine devono identificarsi
Con identità macchina s’intende un valore unico che distingue codice software, applicazioni, macchine virtuali o persino i dispositivi IoT fisici da altri in una rete. Viene utilizzata per autenticare e autorizzare una macchina ad accedere a risorse e servizi tramite certificati digitali e altre credenziali, per consentire alle macchine di comunicare in modo sicuro con altri sistemi.
Le identità macchina sono tanto importanti (e vulnerabili) quanto le identità umane, e sono in costante aumento: si stima infatti che le identità macchina siano 45 volte più numerose di quelle umane. Inoltre, nella maggior parte dei casi, queste hanno accesso a una quantità di dati sensibili maggiore rispetto alle identità umane. Vanno quindi gestite con attenzione, attraverso policy per la regolazione della generazione, rinnovo e revoca, e tramite verifiche e monitoraggi regolari per identificare eventuali attività anomale o non autorizzate. Senza questi controlli, le identità macchina rischiano di diventare un punto di ingresso per gli attacchi dei criminali informatici.
Spesso, però, le identità macchina vengono trascurate dai team di sicurezza. Infatti, il 51% delle aziende italiane ha affermato che l’accesso alle componenti più critiche delle infrastrutture IT non è adeguatamente protetto e che un numero maggiore di macchine ha accesso sensibile rispetto agli esseri umani (42% contro 38%).
Come definire una strategia Zero Trust per le identità macchina?
Data la natura dinamica degli ambienti ibridi e multi-cloud, la gestione e l’aggiornamento manuale delle identità macchina risulta pressochè impossibile. Infatti, i processi manuali sono soggetti a errori e non possono tenere il passo con la velocità di cambiamento degli ambienti IT moderni. Per proteggere queste preziose risorse, bisogna adottare processi automatici basati sui principi del modello Zero Trust: vediamo quali sono gli obiettivi da porsi nella definizione.
Aumentare la visibilità degli ambienti
La mancanza di visibilità è un problema critico e, purtroppo, molto diffuso. Basti pensare che il 62% dei team di sicurezza ha visibilità limitata sul proprio ambiente. Questa problematica rende gravosa e inefficiente il compito di proteggere le identità umane e, soprattutto, quelle macchina. Robuste e complete policy di gestione dei segreti e delle identità macchina possono fornire alle aziende maggiore visibilità sulla rete, consentendo loro di monitorare da vicino e tenere traccia delle identità gestite e non, e delle attività delle macchine.
Definire processi centralizzati, agili e automatizzati
Uno degli elementi chiave per implementare una strategia Zero Trust completa è la gestione centralizzata delle identità macchina. Funzionalità come la rotazione centralizzata delle credenziali consentono alle aziende di verificare quali applicazioni e macchine fanno uso di un determinato insieme di credenziali e chiavi. Fortunatamente, sul mercato sono presenti numerose soluzioni per la gestione centralizzata delle identità, tra le quali quella offerta da CyberArk.
Inoltre, per stare al passo con il dinamismo degli ambienti cloud e le pratiche DevOps, serve implementare una gestione agile delle identità. L’integrazione automatica della sicurezza delle identità nelle pipeline CI/CD, ad esempio, garantisce che l’integrità dell’identità sia inserita nei processi di sviluppo. Un ulteriore vantaggio dell’automazione è l’adozione di pratiche di coding sicure da parte degli sviluppatori degli applicativi, che a sua volta aumenta la produttività complessiva e accelera la distribuzione di nuovi servizi.
Per ulteriori informazioni, vi invitiamo a consultare la pagina web di CyberArk dedicata alla sicurezza delle identità.
- Windley, Phillip (Autore)