Oggi le aziende utilizzano in maniera sempre più intensa applicazioni e servizi digitali nel cloud, per aumentare la loro agilità e flessibilità in rapporto alle dinamiche di mercato, e rispondere con efficienza e rapidità alle esigenze degli utenti finali, in continuo cambiamento. L’uso intenso del cloud contribuisce però ad aumentare i rischi di distribuzione incontrollata delle credenziali segrete che consentono l’accesso ad applicazioni e servizi. La necessità chiave è quindi trovare una soluzione per riprendere il controllo di informazioni e dati riservati.
Infrastrutture IT multi-cloud: i rischi di protezione delle credenziali
Gli attuali scenari e casi d’uso delle credenziali risultano molto differenti da quelli del passato: se, prima, nome utente e password servivano a un singolo soggetto per accedere, ad esempio, a un database su un server del data center aziendale, ora, in piena trasformazione digitale, le credenziali vengono usate di continuo da molteplici utenti, sviluppatori, dipendenti, dirigenti, per accedere a infrastrutture, applicazioni, servizi cloud. Le credenziali servono anche alle piattaforme, per stabilire l’autenticità delle identità digitali. Queste credenziali possono includere, oltre a nomi utente e password, certificati SSL e TLS, chiavi di cifratura, token API, e vengono usate quotidianamente per utilizzare servizi SaaS (software a-a-service), piattaforme di sviluppo software, infrastrutture multi-cloud. In tali ambienti IT altamente distribuiti, e privi di meccanismi di controllo, la gestione delle credenziali finisce per diventare molto frammentata e poco sicura.
Perdita di governance sui dati segreti
Una prima, grave conseguenza della gestione non strutturata delle credenziali è che, alla fine, non si sa più dove sono memorizzate: tipicamente, nome utente e password di accesso a un database possono, ad esempio, trovarsi codificati in chiaro (plaintext) nel codice sorgente dell’applicazione, nel file di configurazione, nel sistema di controllo versione, in un repository o in una wiki. In tutti questi casi, non esiste un sistema di controllo che, attraverso un registro, permetta di risalire a chi ha fatto cosa con quel nome utente e password. Quindi, in caso di violazione delle credenziali, e pubblicazione sul web di password e database riservati, sarà anche difficile intervenire per mitigare il problema, in quanto non sarà possibile stabilire, ad esempio, se il furto di credenziali è avvenuto all’interno, o è stato perpetrato da soggetti esterni all’organizzazione.
Centralizzare la gestione delle credenziali con Vault
Lo strumento Vault, realizzato da HashiCorp, uno dei partner tecnologici di Sourcesense, permette di riportare ordine e visibilità nel caos delle credenziali. Come? Vault è un sistema centralizzato di cifratura e gestione dei dati segreti, basato sulle identità. In altre parole, i servizi di crittografia che fornisce sono controllati da raffinati metodi di autenticazione e autorizzazione. I vari client, come utenti, app, macchine, vengono autenticati e autorizzati prima di consentire loro l’accesso ai dati segreti o a informazioni sensibili. Inoltre, ogni politica che regola azioni e accessibilità è legata allo specifico percorso di ciascun client.
Al contempo, utilizzando l’interfaccia unificata di Vault, è possibile verificare in ogni momento, attraverso registri di controllo dettagliati, chi, dove, come e quando ha eseguito date operazioni con le credenziali segrete. Sempre tramite Vault, le modifiche di regole e policy di accesso possono essere gestite e distribuite in tutta l’infrastruttura attraverso una sola console centralizzata: ciò consente di semplificare e razionalizzare in maniera notevole l’amministrazione delle credenziali segrete.
Oltre a fornire un repository sicuro per lo storage di password, token API, chiavi di cifratura, certificati e quant’altro, Vault permette di governare il ciclo di vita completo di tali dati, automatizzando, ad esempio, i processi di creazione, erogazione, scadenza, revoca, rinnovo delle password.
Vault è scaricabile online e installabile su differenti sistemi operativi (Windows, Linux, MacOS), ma, tramite HCP Vault (HashiCorp Cloud Platform), è fruibile anche in versione “hosted”, gestita da HashiCorp, per consentire alle varie organizzazioni di diventare subito operative.
A proposito della collaborazione con l’azienda californiana, Sourcesense è partner di HashiCorp non soltanto nella fornitura di abbonamenti e consulenza dedicati allo strumento Vault: i servizi di Sourcesense sono erogati anche per tutte le altre soluzioni HashiCorp, che includono vari tool e piattaforme, tra cui Boundary, Consul, Terraform, Packer, Waypoint, Nomad, Vagrant. Sourcesense ha le competenze e l’esperienza per gestire il progetto in ogni sua fase, compreso il processo di assetto e implementazione costituito dal VAP (vault acceleration program).