Cos'è la gestione dei segreti?
- Glossario IAM
- Cos'è la gestione dei segreti?
La gestione dei segreti è la procedura per organizzare, gestire e proteggere i segreti dell'infrastruttura IT. Consente alle organizzazioni di archiviare, trasmettere e controllare in modo sicuro i segreti. Protegge i segreti dagli accessi non autorizzati e fa sì che i sistemi di un'organizzazione funzionino correttamente. Un secrets manager è un sistema di archiviazione sicuro e un'unica fonte di verità per le credenziali con privilegi, le chiavi API e altre informazioni altamente sensibili utilizzate nelle infrastrutture IT.
Continuate la lettura per scoprire cos'è la gestione delle chiavi segrete e cosa potete fare per proteggere l'ambiente dei dati della vostra azienda.
Cos'è una chiave segreta?
In un ambiente dati IT, i segreti sono credenziali con privilegi non umani, spesso utilizzate da sistemi e applicazioni per l'autenticazione o come input per un algoritmo di crittografia. I segreti consentono alle applicazioni e ai sistemi di trasmettere dati e richiedere servizi tra di loro. Sblocca applicazioni, servizi e risorse IT contenenti informazioni altamente sensibili e sistemi con privilegi.
Tra le più comuni tipologie di chiavi segrete:
- Credenziali di accesso per utenti non umani
- Stringhe di connessione per database
- Chiavi crittografiche
- Credenziali di accesso ai servizi in cloud
- Chiavi dell'interfaccia di programmazione delle applicazioni (API)
- Token di accesso
- Chiavi SSH (Secure Shell)
Perché è importante la gestione delle chiavi segrete?
La gestione dei segreti è una migliore pratica di sicurezza informatica al fine dell'applicazione costante delle politiche di sicurezza per le credenziali di autenticazione non umane, assicurando che solo gli enti autenticati e autorizzati possano accedere alle risorse contenenti dati riservati e app e sistemi altamente sensibili. Grazie a uno strumento di gestione dei segreti, le organizzazioni hanno visibilità su dove si trovano i segreti, chi può accedervi e come vengono utilizzati.
Man mano che le organizzazioni crescono, i team IT e DevOps di ritrovano ad affrontare un problema chiamato espansione dei segreti. Questo accade quando un'organizzazione ha troppi segreti da gestire. I segreti sono sparsi per tutta l'organizzazione e conservati in luoghi poco sicuri con metodi poco sicuri. Senza una politica o uno strumento di gestione dei segreti centralizzato, ciascun team all'interno di un'organizzazione gestice i segreti in modo indipendente, il che può risultare in una cattiva gestione dei segreti. Nel frattempo, gli amministratori IT non hanno la possibilità di visualizzare, ispezionare e controllare in maniera centralizzata l'archiviazione e l'utilizzo di questi segreti.
Migliori pratiche per la gestione dei segreti
Essendo così numerose, le sole chiavi SSH possono essere migliaia in alcune organizzazioni, e usare una soluzione per la gestione dei segreti come Keeper Secrets Manager® è fondamentale. Utilizzando uno strumento di gestione dei segreti, sarà possibile archiviare i segreti in un unico luogo crittografato, consentendo alle organizzazioni di tracciarli, accedervi, gestirli e controllarli facilmente.
Tuttavia, uno strumento tecnico non può fare tutto. Oltre a implementare un secrets manager, le organizzazioni devono anche seguire le migliori pratiche per la gestione dei segreti.
Gestisci privilegi e utenti autorizzati
Dopo aver centralizzato e protetto i segreti con una soluzione per la gestione dei segreti, il passo successivo è garantire che solo le persone e i sistemi autorizzati possano accedervi. Questo è possibile grazie al controllo degli accessi basato sui ruoli (RBAC). L'RBAC definisce i ruoli e le autorizzazioni in base alla funzione lavorativa di un utente all'interno dell'organizzazione per limitare l'accesso al sistema agli utenti autorizzati. L'RBAC contribuisce a impedire agli utenti non autorizzati di accedere ai segreti.
Le organizzazioni devono anche gestire i privilegi per tali segreti, visto che consentono l'accesso a dati altamente sensibili. Se i privilegi non vengono gestiti, le organizzazioni rischiano che vengano utilizzati in modo improprio nella forma di minacce interne e di movimenti laterali da parte dei criminali informatici all'interno della loro rete. È necessario implementare l'accesso con privilegi minimi, un concetto di sicurezza informatica che consente agli utenti e ai sistemi di accedere solo alle risorse sensibili necessarie per svolgere il proprio lavoro e niente più. Il modo migliore per gestire i privilegi e implementare l'accesso con privilegi minimi è utilizzando uno strumento per la gestione degli accessi con privilegi (PAM).
Ruota i segreti
Molte organizzazioni utilizzano segreti statici permettendo a troppi utenti di accedervi nel corso del tempo. Al fine di evitare che i segreti vengano compromessi e utilizzati in modo improprio, le organizzazioni devono ruotarli regolarmente secondo un programma prestabilito per limitare la durata della loro vita. La rotazione dei segreti limita il tempo nel corso del quale un utente può accedere ai segreti, consentendo l'accesso per il tempo necessario per svolgere il proprio lavoro. Impedisce che i segreti vengano accidentalmente diffusi per via di utenti negligenti o malintenzionati. Le organizzazioni devono inoltre proteggere i segreti con password forti e univoche e mediante l'autenticazione a più fattori.
Differenzia i segreti dagli identificatori
Le organizzazioni devono raccogliere ogni segreto all'interno della loro organizzazione per garantire che sia al sicuro dagli accessi non autorizzati. Tuttavia, quando li raccolgono, devono distinguere tra segreti e identificatori.
Un identificatore è il modo in cui un sistema di gestione degli accessi alle identità (IAM) o altre entità si rivolge a un'identità digitale. I nomi utente e gli indirizzi e-mail sono un esempio comune di identificatori. Gli identificatori sono spesso condivisi liberamente all'interno e persino all'esterno di un'organizzazione. Vengono utilizzati per garantire l'accesso generico alle risorse e ai sistemi dell'organizzazione.
I segreti, al contrario, sono altamente confidenziali. Se un segreto viene compromesso, i malintenzionati possono usarlo per accedere a sistemi dai privilegi elevati e l'organizzazione potrebbe subire danni gravi o addirittura catastrofici. È necessario monitorare e controllare rigorosamente i segreti per impedire l'accesso non autorizzato a dati e sistemi sensibili.