Ottenete governance sulle credenziali con il controllo degli accessi in base al ruolo

Proteggete le vostre password con i controlli degli accessi in base al ruolo e la sicurezza zero-trust.

Il principio dei privilegi minimi

Spesso le organizzazioni devono affrontare la sfida di fornire ai propri dipendenti le credenziali e gli accessi necessari per consentire loro di svolgere in modo efficiente la loro mansione, escludendo al contempo l'accesso ad altre informazioni riservate non necessarie.

Il principio dei privilegi minimi (Principle of Least Privilege, PoLP) vuole che un amministratore limiti al minimo i livelli di accesso e di autorizzazione per lo svolgimento delle mansioni. Tale principio garantisce che i dipendenti abbiano accesso soltanto a quanto è loro necessario, e non un accesso completo all'intera rete dell'organizzazione.

PoLP riduce la superficie d'attacco eliminando i privilegi non necessari che potrebbero essere sfruttati sia da un dipendente che vuole agire in malafede sia da un malintenzionato esterno in grado di compromettere le credenziali di un dipendente. Se non si applicano una corretta amministrazione delle credenziali e dei meccanismi di sicurezza, la vostra organizzazione rischia grosso a livello di sicurezza.

Controllate i livelli di accesso dell'organizzazione con nodi, ruoli e team

La possibilità di fornire accesso con privilegi minimi a tutti gli utenti è una caratteristica essenziale per un gestore di password aziendali. Keeper consente agli amministratori di ottimizzare i livelli di accesso della loro organizzazione a dati e credenziali riservati, dai team e gruppi fino a scendere al singolo utente.

Questa funzionalità fondamentale funziona perfettamente con l'architettura superiore di Keeper, composta da nodi, ruoli e team.

Nodi

I nodi sono un modo per organizzare gli utenti in gruppi distinti, in modo simile alle unità organizzative di Active Directory e costituiscono la base dell'architettura di Keeper. L'amministratore può creare dei nodi in base alla posizione, al reparto, alla divisione o a qualsiasi altra struttura. Di solito il nodo di livello massimo (nodo root) è impostato sul nome dell'organizzazione e tutti gli altri nodi possono essere creati al di sotto di esso.

Un vantaggio della definizione di più nodi è quello di aiutare a supportare il concetto di amministrazione delegata. Un amministratore delegato può vedersi concedere alcune o tutte le autorizzazioni amministrative, ma soltanto quelle che stanno al di sopra del rispettivo nodo o sottonodi. L'amministrazione delegata consente a diverse persone all'interno dell'organizzazione di gestire i controlli sui sottogruppi di team, utenti, ruoli e cartelle condivise.

Ruoli

I ruoli definiscono le autorizzazioni, controllano quali impostazioni delle funzionalità e di sicurezza si applicano a quali utenti e gestiscono le funzionalità amministrative. È poi possibile eseguire il provisioning degli utenti al di sotto dei rispettivi nodi, con i ruoli configurati in modo tale da soddisfare le specifiche esigenze dell'azienda.

I ruoli sono composti da regole di applicazione e controllano come gli utenti sono in grado di accedere alla cassetta di sicurezza di Keeper sui propri dispositivi. Qualsiasi quantità di regole sui ruoli può essere creata e poi applicata a uno o più utenti.

Team

I team vengono utilizzati per condividere gli account con privilegi e le cartelle condivise tra gruppi di utenti all'interno della cassetta di sicurezza di Keeper. I team possono anche essere utilizzati per assegnare facilmente ruoli a interi gruppi di utenti e garantire in tal modo la coerenza dei criteri di applicazione.

Poiché il modello di sicurezza di Keeper è basato sull'accesso con privilegi minimi, Keeper implementa regole che vanno in questa direzione, pertanto quando un utente è membro di più ruoli, la sua "rete di regole" risulta essere quella con le "maglie" più strette.

Rispondete alle diverse esigenze dei vostri controlli interni con le regole di applicazione basate sul ruolo

Keeper dà alla vostra organizzazione controllo e visibilità dettagliati sulle informazioni a cui gli utenti sono in grado di accedere e che possono gestire all'interno della piattaforma, avvalendosi dei controlli degli accessi in base al ruolo (RBAC) personalizzabili. Con un motore di regole per ruoli flessibile, potete limitare le restrizioni e l'accesso in base al profilo di rischio di un singolo utente.

Ad esempio, potreste limitare l'accesso alla cassetta di sicurezza da parte degli amministratori IT al di fuori della rete aziendale. Oppure potreste dare agli assistenti amministrativi la possibilità di concedere i diritti di accesso ai nuovi utenti, gestire i team e redigere i resoconti. L'intera procedura è completamente personalizzabile tramite un'interfaccia intuitiva.

Dalla console, gli amministratori hanno accesso a una solida raccolta di Regole di applicazione, che controllano le modalità con cui gli utenti accedono e interagiscono con la cassetta di sicurezza e quali funzionalità possono utilizzare.

Caratteristiche:

Regole di complessità della password e valori biometrici
Autenticazione multifattoriale, scadenza dei token e limitazione dei dispositivi
Limitazioni per l'accesso offline
Elenchi degli indirizzi IP consentiti, restrizioni alla condivisione ed esportazione dei dati
Trasferimenti di account (rimozione degli accessi a ex dipendenti e casi di emergenza)
Autorizzazioni amministrative

L'architettura a nodi di Keeper si ridimensiona a qualsiasi dimensione dell'organizzazione

Per apprezzare appieno la potenza e la flessibilità dei controlli degli accessi in base al ruolo di Keeper è necessario capire la struttura organizzativa che viene implementata quando si distribuisce Keeper all'interno della vostra organizzazione.

L'ambiente di sicurezza aziendale è in continua evoluzione e richiede facilità d'uso e flessibilità a livello di protezione interna. Keeper è progettata per ridimensionarsi in base alle dimensioni di qualsiasi organizzazione. Funzionalità quali le autorizzazioni in base al ruolo, la condivisione all'interno di un team, le verifiche di reparto e l'amministrazione delegata supportano la vostra attività nella sua crescita e nei suoi cambiamenti. Quando i dipendenti assumono nuove responsabilità nella loro mansione o cambiano posizione all'interno dell'organigramma, Keeper aggiorna i loro ruoli tramite Active Directory, affinché abbiano le autorizzazioni adeguate.

Eliminate il rischio di perdita di dati essenziali quando un dipendente lascia l'organizzazione

Le funzionalità zero-knowledge di Keeper relative al trasferimento di account consentono ai clienti aziendali di stare tranquilli quando un ex dipendente se ne va dall'azienda, perché non si porterà via informazioni essenziali.

Tramite l'uso della funzionalità sicura "Trasferimento account" di Keeper, la cassetta di sicurezza di un utente può essere chiusa e poi trasferita a un altro utente all'interno dell'organizzazione. La procedura di trasferimento dell'account rimane completamente zero-knowledge e la responsabilità della sua esecuzione può essere limitata in base ai ruoli creati.

Ad esempio, gli amministratori IT possono fare in modo che solo il responsabile della progettazione possa trasferire la cassetta di sicurezza di un progettista oppure che il responsabile del marketing possa trasferire solo la cassetta di sicurezza di un coordinatore del marketing.

Risorse

Blog

Casi concreti

Domande frequenti

Cos'è il controllo degli accessi in base al ruolo (RBAC)?

Il controllo degli accessi in base al ruolo (RBAC), o anche sicurezza in base al ruolo, è un modello di controllo degli accessi in cui il ruolo dell'utente all'interno dell'organizzazione determina il tipo di risorse di rete a cui può accedere. Obiettivo della RBAC è garantire che gli utenti non possano accedere a sistemi e a dati che non siano legati alle loro mansioni, migliorando la conformità, evitando perdite di dati e, qualora le credenziali dell'utente siano compromesse, ostacolando il malintenzionato nei suoi spostamenti laterali all'interno della rete.

Cos'è la gestione degli accessi con privilegi?

L'espressione gestione degli accessi con privilegi (PAM) si riferisce agli strumenti e alla tecnologia utilizzati dalle organizzazioni per proteggere, controllare e monitorare l'accesso alle informazioni e alle risorse più importanti, come gli account amministrativi locali e quelli di dominio. La PAM aiuta le organizzazioni a proteggersi dagli attacchi informatici in quanto impedisce l'accesso con privilegi non autorizzato agli account.

Differenze tra RBAC e ABAC

La differenza principale tra il controllo degli accessi in base al ruolo (RBAC) e il controllo degli accessi in base all'attributo (ABAC) sta nelle modalità in cui ciascun metodo fornisce accesso alla rete. Il RBAC consente di concedere l'accesso in base al ruolo, mentre l'ABAC consente di concedere l'accesso tramite le caratteristiche dell'utente, quali il tipo di azioni eseguite, la posizione, il dispositivo e molto altro.