Intervistiamo Simone Mola, Regional Sales Manager di Thales, per parlare dei processi per la gestione password, accessi e secrets management nelle aziende.
– Cosa si intende per Secrets Management?
In un mondo sempre più automatizzato, in cui i processi utenti-macchina e macchina-macchina devono essere veloci, affidabili e protetti da attacchi hacker, è necessario adottare strumenti dedicati per una autenticazione sicura. Una soluzione di Secrets Management si occupa di controllare l’intero ciclo di vita di tutti gli elementi, come gestione password, certificati, chiavi SSH, chiavi API e token applicativi, utilizzati nelle autenticazioni dei processi sopra indicati. Questi elementi sono utilizzati in script o tool di automazione, nei codici sorgenti, nei file di configurazione e ricoprono un ruolo di fondamentale importanza per la sicurezza e il buon funzionamento dei servizi in cui sono utilizzati.
– Perché è importante la “gestione dei segreti”?
Per rispondere a questa domanda, penso sia utile porsene un’altra, ossia “cosa succede quando i secrets non sono gestiti?”
Questi vengono memorizzati in chiaro su file o lasciati esposti in modo ‘non protetto’, non vengono aggiornati periodicamente e sono riutilizzati più volte quando dovrebbero essere temporanei o revocati dopo un tempo prefissato. Il tutto senza una minima traccia di utilizzo. Questa situazione porta ad ampliare la superficie di attacco, in quanto queste credenziali non gestite e dimenticate possono finire nelle mani sbagliate e causare un vero e proprio breach.
Una soluzione di secret management è quindi importante perché:
- protegge, gestisce ed automatizza l’intero ciclo di vita dei sectets (creazione, rotazione e cancellazione)
- centralizza e custodisce in un luogo unico e protetto i secrets
- fornisce secrets temporanei e ne revoca l’utilizzo
- traccia le operazioni di gestione ed utilizzo dei secrets così da aver tutto sotto controllo
- riduce gli errori umani e la superficie di attacco
- offre flessibilità, agilità e velocità di esecuzione richiesta dagli operatori DevOps e mantiene la sicurezza richiesta dai Security Manager
L’importanza di adottare validi strumenti di Secrets Management sono ancora più evidenti se si considera che il numero di tool, applicazioni, server e tutto ciò che possiamo riassumere sotto il nome “macchina” è in crescita esponenziale e si stima essere già di un ordine di grandezza superiore al numero di utenti: come utilizziamo giustamente soluzioni di Identity Management per gestire il ciclo di vita degli utenti, è altrettanto necessario utilizzare una soluzione di Secrets Management per la gestione dei secrets.
– Quale è l’offerta di Thales in termini di Secrets Management?
Thales è un gruppo che ricopre da anni un ruolo primario nel mercato della difesa, dello spazio e aerospazio e della sicurezza digitale. In particolare, la divisione di Data Security di Thales è riconosciuta, sia a livello mondiale sia italiano, come leader nella protezione dei dati e della gestione delle chiavi crittografiche. Thales ha recentemente aggiunto una soluzione innovativa di Secrets Management alla propria piattaforma di data security e key management, CipherTrust Data Security Platform. La soluzione è distribuita in Italia da Arrow Electronics, consente la protezione degli asset aziendali ed è una soluzione che si integra perfettamente con i servizi già adottati dalle imprese, offrendo una piattaforma capace di supportare anche le future integrazioni, in linea con i requisiti di conformità e le normative.
La soluzione CipherTrust Secrets Management mette a disposizione le funzionalità di creazione, salvataggio sicuro e centralizzato, rotazione, revoca e cancellazione dei secrets. Tutto questo con uno strumento cloud che permette di ridurre i tempi di implementazione ed utilizzo, senza preoccuparsi della gestione infrastrutturale. E’ per questo motivo che CipherTrust Secrets Management è indicata come una soluzione “vaultless”, ovvero non ci si deve preoccupare del vault, il database in cui sono salvati i secrets, in quanto questi è sempre disponibile, cresce con le esigenze di integrazione ed è protetto con una chiave crittografica che è in possesso del cliente nel key manager, CipherTrust Manager, verosimilmente on-premise. Anche nella soluzione di Secret Management, viene applicato il semplice principio che caratterizza da sempre Thales, di separare la chiave crittografica dal dato cifrato (in questo caso i secrets nel vault).
– Gestione password e non solo, quali sono le prospettive e i trend futuri per Thales?
Nuove normative e aggiornamenti di quelle esistenti pongono sempre più in evidenza le necessità di data security, data sovereignty, key e secrets management che le aziende devono adottare. Mettere a disposizione soluzioni sicure e complete, ma allo stesso tempo puntuali nel risolvere un problema preservando le prestazioni è l’impegno che Thales si prefigge ogni giorno aggiungendo nuove funzionalità ed integrazioni per la sicurezza dei clienti, attuali e futuri. Con la recente acquisizione di Imperva, rafforzando ed ampliando le capacità di protezione dati e applicativa, Thales mantiene il proprio ruolo di realtà primaria nel settore della cybersecurity.