L’azienda digitale moderna si affida ad applicazioni sia commerciali che sviluppate internamente od open-source per portare avanti la propria attività, e sfrutta sempre più l’infrastruttura IT automatizzata e le metodologie DevOps per accelerare lo sviluppo e l’innovazione. Mentre le applicazioni e gli ambienti IT variano notevolmente da un’organizzazione all’altra, una cosa resta costante: qualsiasi applicazione, script, tool di automazione o altra identità non umana si affida a una qualche forma di credenziale privilegiata per accedere ad altri strumenti, applicazioni e dati.
Cos’è un segreto?
Queste credenziali privilegiate per entità non umane vengono spesso dette “secret” e si riferiscono a un’informazione riservata che funge da chiave per sbloccare risorse protette o informazioni riservate in strumenti, applicazioni, container e ambienti DevOps o nativi sul cloud.
Alcuni dei tipi più comuni di segreti includono:
- Credenziali di account privilegiati
- Password
- Certificati
- Chiavi SSH
- Chiavi API
- Chiavi di crittografia
Sfide chiave per la gestione dei segreti
Un utente non umano che abbia accesso a un segreto ottiene automaticamente l’accesso in tempo reale e il permesso per qualsiasi risorsa che appartenga al proprietario del segreto. Gli aggressori informatici lo sanno, e prendono di mira i segreti per ottenere l’accesso non autorizzato a ulteriori segreti e host e portare a termine la propria missione. Un attacco informatico mirato ai segreti può spesso diffondersi ben oltre l’ambito iniziale della violazione.
I segreti sono diffusi capillarmente. Includono le credenziali incorporate nel codice delle applicazioni containerizzate (es. Red Hat OpenShift, Kubernetes o Pivotal); i processi di automazione (es. Ansible Playbooks, Puppet o Chef); le applicazioni business-critical, che possono essere sia soluzioni sviluppate internamente che COTS (Commercial Off-The-Shelf); i software di sicurezza, come gli scanner di vulnerabilità; i server di applicazioni e i software gestionali IT, le piattaforme di automazione robotizzata dei processi (RPA) e la catena di strumenti CI/CD (Continuous Integration/Continuous Deployment).
I processi automatizzati sono incredibilmente potenti. Possono accedere a dati protetti, scalare a velocità impareggiabili, sfruttare risorse sul cloud ed eseguire processi aziendali istantaneamente. Ma come dimostrano le violazioni alla cyber-sicurezza più conosciute, i processi automatici sono esposti agli attacchi informatici più sofisticati, che arrivano improvvisi e si diffondono con grande rapidità. Le organizzazioni devono quindi proteggere i segreti assegnati alle identità non umane per proteggersi dagli attacchi e mitigare il rischio.
Cos’è la gestione dei segreti?
Si tratta di una buona pratica di sicurezza informatica per le aziende digitali: la gestione dei segreti consente alle organizzazioni di applicare le policy di sicurezza alle identità non umane con coerenza. La gestione dei segreti assicura che solo le entità autenticate e autorizzate possano accedere alle risorse disponibili su piattaforme, stack di tool e ambienti cloud.
Un’iniziativa mirata alla gestione dei segreti include solitamente i seguenti passaggi. Molte di queste metodologie e tecniche vengono utilizzate anche per proteggere gli accessi privilegiati da parte di utenti umani.
- Autenticazione di tutte le richieste di accesso che utilizzano credenziali non umane.
- Applicazione del principio dei privilegi minimi.
- Applicazione del controllo degli accessi in base al ruolo (RBAC) e rotazione regolare di secret e credenziali.
- Automazione della gestione dei segreti e applicazione di policy di accesso coerenti.
- Tracciamento di tutti gli accessi e conservazione di un percorso di verifica completo.
- Rimozione dei segreti dal codice, dai file di configurazione e da altre aree non protette.
Quali sono i casi di utilizzo più comuni della gestione dei segreti?
Gestione dei segreti per proteggere le pipeline CI/CD. Gli strumenti della pipeline CI/CD più diffusi, come Jenkins, Ansible, Puppet e Chef sono progettati per efficienza e velocità, ma possono introdurre nuove sfide alla sicurezza. Questi strumenti per la gestione automatica della configurazione richiedono segreti per accedere a risorse come database, server SSH e servizi HTTPs. Tali segreti vengono spesso codificati o conservati nei file di configurazione o nel codice di questi strumenti (JenkinsFiles, playbook, script o codice sorgente). Una gestione efficace dei segreti consente alle organizzazioni di rimuovere questi segreti codificati dagli strumenti DevOps all’interno della pipeline CI/CD, garantendo nel contempo percorsi di audit completi, il RBAC basato su policy e la rotazione dei segreti stessi.
Gestione dei segreti per la protezione dei container. I team DevOps e di engineering si affidano sempre più a container per accelerare lo sviluppo e migliorare portabilità e produttività. I container richiedono segreti per accedere a informazioni critiche e sensibili. Tuttavia, essendo i container effimeri (nel senso che hanno vita breve), può essere difficile tenerne traccia, quindi l’accesso a risorse specifiche può essere difficile da gestire e proteggere. Le contromisure di sicurezza per la gestione dei segreti consentono ai team di autenticare le richieste di accesso ai container di segreti con attributi nativi della piattaforma del container, e di gestire i segreti tramite policy RBAC per un controllo granulare.
Gestione dei segreti per gestire ambienti elastici con auto-scaling.
I provider di servizi cloud offrono capacità di auto-scaling per supportare l’elasticità (effimera) e approcci economici con pagamento proporzionale all’espansione. Questo migliora l’efficienza, ma crea anche nuove sfide per la gestione della sicurezza – specialmente in termini di scalabilità. Implementando le buone pratiche di gestione dei segreti, le organizzazioni possono eliminare la necessità di operatori umani che applichino manualmente le policy a ogni nuovo host, assegnando in tempo reale all’host un’identità per poi autenticare in sicurezza l’applicazione chiamante in base alla policy di sicurezza predefinita.
Gestione dei segreti per proteggere le applicazioni sia sviluppate internamente che COTS.
Applicazioni e script sviluppati internamente, così come gli strumenti e le soluzioni di terzi, ad esempio i tool di sicurezza, RPA, di automazione e di gestione IT, spesso richiedono un accesso privilegiato di alto livello esteso all’intera infrastruttura aziendale per completare le mansioni di competenza. Per essere efficaci e minimizzare i rischi, le metodologie di gestione dei segreti devono prevedere la rimozione delle credenziali codificate da applicazioni e script sviluppati internamente, nonché la memorizzazione e gestione di tutti segreti da una posizione centrale, con rotazione regolare.
