Con il multicloud, si devono tracciare un numero maggiore di secret. Ogni secret è una potenziale vulnerabilità, così entra in gioco la gestione SaaS. Paolo Lossa, Country Sales Director di CyberArk Italia, ne spiega i vantaggi.
Affidarsi al cloud per alcune operazioni aziendali era visto come una tecnologia all’avanguardia, fino a non molto tempo fa. Oggi il cloud è quantomai essenziale per accelerare la crescita, migliorare l’efficienza e rimanere competitivi, tanto che la maggior parte delle organizzazioni dispone di più cloud pubblici, oltre ad ambienti cloud privati e on-premise. Come sottolineato in una ricerca di CyberArk, l’85% degli intervistati ha dichiarato che entro il 2023 utilizzerà tre o più fornitori di servizi cloud.
Secret e multicloud
E gli sviluppatori realizzano sempre più applicazioni nel cloud, il 71% secondo l’indagine Technology Spending Intentions 2023 di Enterprise Strategy Group (ESG). L’automazione, DevOps e l’ascesa degli ambienti cloud hanno portato a un’esplosione delle identità macchina (o non umane). Applicazioni, workload nel cloud, container, servizi e altre attività automatizzate richiedono tutti identità macchina. E sono tantissime.
Aumentano i cloud e le identità non umane, aumentano anche i secret
Tutte queste identità non umane utilizzano account, credenziali e secret per accedere a sistemi e risorse critiche e svolgere il proprio lavoro. E il numero di secret da gestire è in aumento. Questo significa che i team di sicurezza devono tenere traccia di un numero maggiore di secreti, distribuiti in una varietà di ambienti: cloud pubblico, privato e on-premise. Tutti con metodi diversi di archiviazione, accesso e gestione.
L’esempio di Uber
Ogni secret è una potenziale vulnerabilità, in quanto gli attaccanti possono utilizzare quelli compromessi per accedere a sistemi e risorse critiche. La violazione di Uber del 2022 è solo un esempio recente. In questo caso i secret hard-coded per una soluzione di gestione degli accessi privilegiati (PAM) sono stati direttamente incorporati ed esposti in uno script PowerShell che l’attaccante ha utilizzato per ottenere l’accesso come amministratore a tutti i secret archiviati nel sistema.
Secret e multicloud, quali sono i vantaggi di una gestione SaaS
Questo diventa una vera e propria frustrazione per i team di sicurezza, man mano che le organizzazioni proseguono nella migrazione al cloud e nella trasformazione. Inoltre, anche il fatto di dover spostare le applicazioni da un ambiente all’altro può diventare una seccatura per i team di sviluppo e sicurezza. Considerando che molte divisioni di security non hanno larghezza di banda necessaria per gestire separatamente i secret in ogni ambiente e strumento in cui sono archiviati o per implementare e mantenere una soluzione di gestione dei secret self-hosted. È qui che entra in gioco la gestione dei secret SaaS.
Cinque vantaggi della gestione dei segreti SaaS
Una soluzione di gestione centralizzata dei secret basata su SaaS aiuta a risolvere molti problemi per i team di sicurezza e di sviluppo che operano in ambienti ibridi o multicloud.
- Riduce la proliferazione dei vault. Quando si lavora in più ambienti cloud o ibridi, il numero di vault separati per credenziali e secret può diventare rapidamente eccessivo. Una soluzione di gestione centralizzata dei secret può fornire un unico pannello su cui lavorare. Evitando così ai team di sicurezza di risalire a ogni singolo vault per ruotare e gestire le password e raccogliere le informazioni da diversi vault per creare un trail audit.
Secret e multicloud
- Consente la portabilità nel cloud. Parte dell’efficacia del cloud è la possibilità offerta agli sviluppatori di creare e distribuire applicazioni velocemente. Tuttavia, affidandosi alle funzionalità native di gestione dei secret della piattaforma su cui è costruita l’applicazione, si resta vincolati all’uso di quella piattaforma, e questo diventa un problema in caso sia necessario spostare un’applicazione da un ambiente a un altro. Con una soluzione di gestione centralizzata dei secret, è possibile creare applicazioni in qualsiasi piattaforma cloud prescelta dagli sviluppatori per ogni caso d’uso specifico. Oppure spostarle da cloud a cloud o da on-prem a cloud senza creare una mole di lavoro aggiuntivo per gestire i secret utilizzati in tali applicazioni e senza dover riscrivere le applicazioni per un nuovo cloud.
Operare in un solo sistema
- Fornisce un’esperienza uniforme per team di sicurezza e sviluppatori. Invece di far apprendere ai team di sicurezza diverse piattaforme di gestione dei segreti (che possono richiedere tempo e risorse extra), una soluzione centralizzata consente di applicare i criteri in modo unificato, operando in un solo sistema. Ciò permette di risparmiare tempo e denaro per la formazione (senza doversi preoccupare di aggiungere altro personale per supportare ogni cloud provider). Così il team di security può concentrarsi sulla fornitura di valore di business.
Risparmiare tempo e denato
- Automatizza la rotazione e altre policy di sicurezza. Una soluzione centralizzata basata su SaaS consente di automatizzare attività un tempo manuali. Come ad esempio la rotazione dei secret e l’applicazione di determinate policy di sicurezza. Ciò permette ai team di sicurezza di risparmiare tempo, soprattutto se si considera l’elevato numero di secret e identità che devono essere ruotati regolarmente tra più fornitori di servizi cloud.
- Accelera il time-to-value e libera risorse. Una soluzione basata su SaaS consente di sfruttare i vantaggi del cloud anche per il software di gestione dei secret. I team di security non devono preoccuparsi di gestire e mantenere la propria soluzione di gestione (o più soluzioni). Possono invece concentrare tempo e attenzione sulle attività di sicurezza cruciali da portare a termine.
La conclusione
L’aumento nel numero di cloud e ambienti ibridi non deve necessariamente comportare un aggravio di lavoro per i team di sicurezza o gli sviluppatori. La centralizzazione della gestione dei segreti con una soluzione basata su SaaS può facilitare il compito e consentire ai team di sfruttare tutta la potenza degli ambienti cloud.