techfromthenet
  • Home
  • Hardware
  • Mercato
    • Nomine
    • Accordi
    • Attualità
  • Mobile
    • Notebook
    • Smartphone
    • Tablet
  • Networking
  • Sicurezza
    • Software
    • Piattaforme
    • Analisi
  • Software
    • Produttività
    • Sistemi operativi
  • Storage
  • Cloud
  • test
  • Interviste
HomeSicurezzaNews piattaformeSecrets Management: le considerazioni di Simone Mola, Thales

Secrets Management: le considerazioni di Simone Mola, Thales

La divisione di Data Security di Thales è riconosciuta, a livello mondiale e italiano, come leader nella protezione dei dati e della gestione delle chiavi crittografiche.

26 Ottobre 2023 Simone Mola (Branded content)
Secrets Management

Simone Mola, Regional Sales Manager di Thales, ci parla di Secrets Management, autenticazione digitale e, più in dettaglio, degli strumenti oggi disponibili.

Le moderne applicazioni, sia in cloud che on-premise, hanno accelerato l’esigenza di soluzioni che consentano di gestire correttamente le credenziali riservate che regolano l’accesso ai dati quando vengono trasferiti tra le applicazioni, come, l’invio di informazioni da una pagina web, la richiesta di un’API sicura, l’accesso a un database cloud o altri casi legati ai processi di trasformazione digitale. Tuttavia, affinché il controllo sia efficace, le aziende devono gestire i codici privilegiati durante l’intero ciclo di vita, funzionalità garantite dagli strumenti di Secrets Management.

Cosa si intende per codice digitale?

La definizione più semplice è quella di una credenziale di autenticazione digitale, di cui l’esempio più noto è la password. I codici si riferiscono a informazioni private fondamentali per sbloccare risorse protette o informazioni sensibili in strumenti, applicazioni, container, ambienti DevOps e cloud-native. Con la proliferazione di unità legate a computer, dispositivi IoT, app, API, container e microservizi, i codici legati alle singole funzioni sono aumentati a dismisura, rendendo necessaria la loro gestione automatizzata per limitare la possibilità e l’impatto di una compromissione.

la crittografia protegge dalla perdita di dati

Le sfide del Secrets Management

Una cattiva gestione dei codici digitali può esporre a rischi informatici. Il Report Data Breach Investigations del 2023 di Verizon indica che le credenziali compromesse sono il vettore principale tramite il quale gli attaccanti riescono a entrare nei sistemi. Sebbene il fattore umano sia coinvolto nel 74% delle violazioni di dati, le credenziali rubate consentono agli hacker di muoversi lateralmente all’interno della rete aziendale, acquisendo privilegi. Oltre l’80% delle violazioni su applicazioni basate sul web viene attribuito a credenziali rubate. Inoltre, quanto più complessi sono i codici digitali da gestire in azienda, tanto più difficile sarà archiviare e tracciare tutti i dati.

Dispersione dei codici e mancanza di una visibilità completa

I codici sono anche inseriti come credenziali memorizzate nelle applicazioni containerizzate, nelle piattaforme di Robotic Process Automation (RPA), nelle applicazioni business-critical e nelle pipeline di Continuous Integration/Continuous Deployment (CI/CD), generando una presenza pervasiva di codici digitali. In alcune aziende, si possono generare migliaia di codici SSH e, i metodi decentralizzati con cui gli amministratori e gli altri membri del team IT gestiscono queste informazioni, complicano la situazione. Serve una visibilità unificata su tutti gli ecosistemi IT per evitare falle nella sicurezza e difficoltà di auditing.

Codici predefiniti e strumenti DevOps

Le credenziali predefinite ‘hardcoded’ sono spesso distribuite e implementate con applicazioni e dispositivi IoT e sono facili da decifrare utilizzando strumenti di scansione e attacchi di tipo tradizionale. Gli ambienti DevOps amplificano ulteriormente la gestione dei codici digitali poiché i team utilizzano decine di architetture, configurazioni e altri strumenti come Ansible o Docker, affidandosi all’automazione e ad altri script che richiedono dati riservati per poter funzionare.

La necessità di soluzioni e best practices

I principi di un processo di Secrets Management efficace ed efficiente sono i seguenti:

  • Realizzare un inventario completo delle informazioni riservate per assicurare la protezione
  • Delineare una completa policy di Secrets Management con regole rigorose che disciplinino i codici (potenza, scadenza, revoca) e vietare l’uso di informazioni predefinite o codificate.
  • Automatizzare, automatizzare, automatizzare, riducendo l’elemento umano dal processo.
  • Crittografare i dati utilizzando una soluzione di Key Management, per memorizzare e gestire le chiavi, fornendole automaticamente quando necessario.
  • Variare frequentemente le informazioni sensibili.
  • Dividere i compiti e differenziare i dati utili dai codici.
  • Gestire i privilegi rispettando il principio del minimo privilegio e solo in base a ciascun ruolo.
  • Rilevare gli accessi non autorizzati e assicurarsi di avere un processo solido per il monitoraggio e l’identificazione degli accessi non autorizzati.
  • Educare i dipendenti di tutti i reparti sulle migliori policy di Secrets Management.

Come scegliere un valido strumento di Secrets Management

Ogni cloud provider dispone di un proprio servizio. Ad esempio, AWS consiglia AWS secret manager, mentre Google consiglia il suo secret manager e Azure Key Vault. In un ambiente multi-cloud, è necessaria una soluzione di gestione dei codici che abbracci i vari cloud provider e occorre valutare l’utilizzo di una soluzione neutrale di gestione dei codici in ambito multi-cloud.

milioni di password rubate con il leak Anti Public

Elementi da considerare per scegliere la soluzione giusta

  • Effettuare una ricerca di mercato e identificare le migliori soluzioni anche open-source.
  • Considerare le proprie esigenze e i casi d’uso specifici analizzando se gli strumenti identificati potranno soddisfare le esigenze future e valutare le soluzioni di integrazione scalabili con il supporto di un’ampia gamma di plugin.
  • Valutare il livello di sicurezza e crittografia fornito dallo strumento.
  • Considerare la facilità di integrazione con altri strumenti e sistemi. La piattaforma ideale deve essere agnostica e deve funzionare in ambienti IT cloud e legacy, supportando le piattaforme cloud più comuni, come Kubernetes e Docker.
  • Valutare il livello di supporto e di documentazione fornito dal vendor.
  • Considerare i costi e i vincoli di budget, i costi nascosti possono aumentare le spese.
  • Tenere presente i requisiti di sovranità dei dati e di conformità per ogni giurisdizione.
  • Valutare di effettuare un proof of concept prima di prendere una decisione definitiva.

Conclusioni

Strumenti di Secrets Management, crittografia e key management aiutano le imprese a prevenire l’accesso non autorizzato a dati e sistemi sensibili. Tuttavia, affinché la protezione sia efficace e solida, le organizzazioni devono tenersi aggiornate sulle minacce emergenti e adattare le loro risposte di conseguenza. Thales è un gruppo che ricopre da anni un ruolo primario nel mercato della difesa, dello spazio e aerospazio e della sicurezza digitale.

In particolare, la divisione di Data Security di Thales è riconosciuta, sia a livello mondiale sia italiano, come leader nella protezione dei dati e della gestione delle chiavi crittografiche. La soluzione CipherTrust di Thales, distribuita in Italia da Arrow Electronics, consente la protezione degli asset aziendali ed è una soluzione che si integra perfettamente con i servizi già adottati dalle imprese, offrendo una piattaforma capace di supportare anche le future integrazioni, in linea con i requisiti di conformità e le normative.

Per ulteriori informazioni sulla soluzione CipherTrust Secrets Management consultare il link.

Related Posts:

  • gestione password
    Gestione password e secrets, intervista a Simone Mola
  • big data
    Big data e raccolta dati, come evolve il mercato?
  • gestione del rischio qualys Qualys
    Qualys API Security riduce la superficie di attacco
  • Agentic AI
    Nuove funzionalità di Agentic AI per i dati business…
  • attacchi IT
    Adottare un’autenticazione avanzata previene gli attacchi IT
  • cyberattacchi difesa informatica SOC attacchi ransomware sicurezza informatica Pubblica amministrazione
    API e sicurezza, ora serve un approccio guidato dall’AI
  • autenticazione digitale
  • cloud
  • credenziali
  • Home
  • imprese
  • login
  • microservizi
  • protezione
  • Secrets Management
  • sicurezza
container securityPrecedente

Proteggere le applicazioni con Kaspersky Container Security

kubernetesSuccessivo

VMware spinge sulle modern application e Kubernetes

Ultimi articoli

dark web

Dark web e social engineering, l’evoluzione del malware bancario

reti wireless

AI e trasformazione delle reti wireless per la crescita del ROI

service management

Innovaway adotta la piattaforma HCL BigFix Service Management

snowflake

Investire in AI produce ritorni concreti e misurabili. La ricerca di Snowflake

UPS Schneider Electric

UPS Schneider Electric, arriva il trifase efficiente Easy 3S Pro

Focus

cybersecurity

Un pilastro della cybersecurity: l’osservabilità dei dati

education

Education, come renderla più moderna e inclusiva con il digitale

data center

Tra cloud, AI e sostenibilità, i data center sono strategici

ERP

ERP e intelligenza artificiale come piattaforma aziendale

edge computing

Edge computing: infrastrutture decentrate della rete globale

Test

rete wireless

FRITZ!Mesh Set 1700, rete wireless con copertura totale

NAS asustor

Asustor Lockerstor 4 Gen2+ (AS6704T v2), NAS per piccole imprese

scanner documentale

PFU ScanSnap iX2500, scanner documentale touchscreen

notebook Acer TravelMate X4 14 AI

Produttività on-the-go con il notebook Acer TravelMate X4 14 AI

acronis true image

Acronis True Image 2026, protezione cyber per le imprese

SCOPRI IL MONDO QNAP

Sicurezza

dark web

Dark web e social engineering, l’evoluzione del malware bancario

endpoint security

Competitività per gli MSP: WatchGuard Endpoint Security Portfolio

Giornata Mondiale della Salute

Giornata Mondiale della Salute, i rischi della digitalizzazione della sanità

cyberattacchi

Nel 2025 cyberattacchi più veloci, intelligenti e mirati

digitale settore manifatturiero crittografia vulnerability management

Sicurezza ai tempi dell’AI: la fiducia digitale è fondamentale

  • Contatti
  • Redazione
  • Privacy Policy
  • Cookie Policy

Avalon Media srl, via Brioschi, 29 20842 Besana in Brianza. P.Iva: 08119820960