Le “machine identity” e la gestione dei secret sono componenti essenziali di una strategia di sicurezza Zero Trust, poiché forniscono un canale di autenticazione e comunicazione sicura tra le macchine di una rete. Includendole, le aziende possono garantire che solo le macchine/applicazioni fidate possano comunicare in rete, rilevando e impedendo tentativi di accesso non autorizzato. È necessario stabilire policy di gestione delle identità macchina per regolarne generazione, rinnovo e revoca e condurre verifiche e monitoraggi regolari per identificare eventuali attività anomale o non autorizzate. Questa complessità è implicitamente enfatizzata anche solo dal fatto che il termine non ha una traduzione letterale in italiano, senza rischiare di incorrere in ambiguità (si parla di macchine/dispositivi, applicativi, sistemi. Nel contesto di questo articolo sono intercambiabili e useremo “identità macchina” per convenzione).
Infatti, con la trasformazione digitale, il numero di macchine, tra applicazioni, container, script di automazione, macchine virtuali – continua a crescere in modo esponenziale, superando di 45 volte il numero delle identità umane. Per questo, è possibile supporre che abbiano anche un accesso maggiore a dati sensibili rispetto alle identità umane. Senza policy corrette e automazione, le identità macchina e i secret che usano diventano una superficie di attacco in costante ampliamento e di elevato interesse per i cybercriminali. Spesso però le identità macchina vengono trascurate dai team di sicurezza, componente che rappresenta per gli attaccanti un ulteriore punto di accesso ai dati sensibili dell’azienda.
L’identità di una macchina è un valore unico che distingue codice software, applicazioni, macchine virtuali o persino i dispositivi IoT fisici da altri in una rete. Viene utilizzata per autenticare e autorizzare la macchina ad accedere a risorse e servizi, utilizza secret, chiavi API, di accesso al cloud, certificati digitali e altre credenziali per consentire alle macchine di comunicare in modo sicuro con altri sistemi.
Oggi, le identità, sia umane che macchina, sono praticamente al centro di tutti gli attacchi. Quasi la metà richiede un accesso per consentire lo svolgimento dei differenti ruoli e, di conseguenza, rappresenta un vettore di attacco privilegiato. Il 51% delle aziende italiane ha affermato che l’accesso dei dipendenti più critici non è adeguatamente protetto e che un numero maggiore di macchine ha accesso sensibile rispetto agli esseri umani (42% contro 38%).
La natura dinamica degli ambienti ibridi e multi-cloud e le pratiche DevOps richiedono la rotazione automatica dei secret e la ciclicità nell’emissione, rinnovo e revoca delle identità delle macchine. I processi manuali sono soggetti a errori e non possono tenere il passo con la velocità di cambiamento degli ambienti IT moderni. Per proteggere le risorse digitali in modo olistico, è indispensabile implementare una solida strategia Zero Trust che includa un piano per la protezione e la gestione delle identità macchina e dei loro secret.
Quali obiettivi porsi nella definizione?
- Maggiore visibilità
Attualmente, il 62% dei team di sicurezza ha una visibilità limitata sul proprio ambiente, rendendo gravoso e inefficiente il compito di proteggere le identità umane e, soprattutto, quelle delle macchine. Una policy completa di gestione di secret e identità macchina può fornire alle aziende maggiore visibilità sulla rete, consentendo loro di monitorare da vicino e tenere traccia dei secret gestiti e non gestiti e delle attività delle macchine. Migliorando la visibilità, è possibile garantire il provisioning dei certificati in tutte le aree dell’infrastruttura IT, compresi gli ambienti ibridi e multi-cloud.
- Miglioramento della sicurezza
La gestione centralizzata di secret e identità macchina è un elemento chiave di una strategia Zero Trust completa. Funzionalità come la rotazione centralizzata dei secret aiutano a eliminare il problema di quelli hard-coded, consentendo alle aziende di verificare quali applicazioni e macchine utilizzano ciascun secret.
- Abilitazione di una trasformazione digitale a basso rischio
Il dinamismo degli ambienti ibridi e multi-cloud e le pratiche DevOps richiedono una gestione centrale agile di secret e identità macchina. L’integrazione automatica della sicurezza delle identità nelle pipeline CI/CD, ad esempio, garantisce che l’integrità dell’identità sia inserita nei processi di sviluppo e non sia solo un ripensamento.
- Miglioramento dell’efficienza operativa con strumenti di automazione
Inoltre, le integrazioni native con tool DevOps e servizi integrati (nativi) del cloud provider aumentano l’adozione di pratiche di coding sicure da parte degli sviluppatori, incrementando in ultima analisi la produttività complessiva e accelerando la distribuzione di nuovi servizi. Incorporare le identità macchina e la gestione dei secret in una strategia Zero Trust può aiutare le aziende a realizzare un’architettura di rete più solida e sicura, riducendo i costi associati agli approcci di sicurezza tradizionali e i tempi di implementazione di nuovi servizi, rendendo sicure le proprie reti e proteggendosi dalle minacce informatiche.
