Le cattive pratiche in materia di password sono una delle maggiori minacce alla sicurezza informatica delle aziende. Le password rubate o compromesse sono la causa di oltre l’80% delle violazioni di dati. Quando i dipendenti utilizzano password deboli, riutilizzano le password tra i vari account o conservano le loro password in modo insicuro (appunti, fogli di calcolo, ecc.), mettono a rischio i loro datori di lavoro.
Le organizzazioni spesso sfruttano i Password Manager aziendali per alleviare le cattive pratiche in materia di password dei dipendenti. Sfortunatamente, molte aziende utilizzano soluzioni di gestione delle password legacy che richiedono l’implementazione on-premise. Rispetto alle moderne soluzioni basate sul cloud, le implementazioni on-premise presentano tre sfide: scalabilità, sicurezza e affidabilità.
Scalabilità
Le soluzioni di gestione delle password nel cloud sono in grado di eseguire l’onboarding o l’offborading istantaneo degli utenti quando necessario. Anche la configurazione iniziale è rapida, senza bisogno di implementare l’infrastruttura o apportare modifiche alla rete come DNS, SMTP, ecc. D’altra parte, le soluzioni on-premise richiedono l’installazione di server e altre modifiche all’infrastruttura.
Inoltre, le soluzioni di gestione delle password nel cloud eliminano la necessità di acquistare, distribuire e mantenere hardware e software per la gestione delle password. D’altra parte, le soluzioni on-premise richiedono l’installazione di server che comportano costi, tempo e lavoro manuale maggiori.
Sicurezza
I fornitori di servizi di gestione delle password in cloud spesso effettuano investimenti significativi per garantire la protezione dei dati e la privacy. Molti data center per la gestione delle password nel cloud aderiscono a certificazioni e framework di sicurezza rigorosi come SOC2, ISO 27001, GDPR e FedRamp. I fornitori di gestione delle password in cloud gestiscono tutte le patch e i problemi di sicurezza e IT. I Password Manager on-premise richiedono che i team IT e di sicurezza mantengano l’infrastruttura sicura.
Inoltre, alcune soluzioni di gestione delle password on-premise sono state progettate senza il principio della crittografia zero-knowledge. Queste soluzioni on-premise possono criptare i dati a riposo, ma le chiavi per la decrittografia potrebbero essere disponibili all’amministratore che ha accesso all’infrastruttura. Conservare le chiavi di crittografia insieme ai dati a riposo è una buona ricetta per il disastro.
In un modello di crittografia zero-knowledge, le chiavi per decifrare i dati non vengono mai memorizzate e derivano dalla password principale dell’utente finale. In questo modello, un amministratore non ha la possibilità di decriptare arbitrariamente il vault di un utente.
Ci sono diversi vettori di attacco da considerare quando le chiavi di crittografia e le password crittografate vengono memorizzate nello stesso luogo. Un insider con accesso al software in hosting o al database di backend potrebbe accedervi senza lasciare traccia. Oppure, un aggiornamento del software dannoso da parte del fornitore potrebbe esfiltrare i dati.
Affidabilità
L’accesso alle credenziali di login è fondamentale per qualsiasi azienda, per cui i tempi di attività e l’affidabilità sono un fattore essenziale nella scelta dei gestori di password. Le soluzioni di gestione delle password in cloud offrono di solito un tasso di uptime superiore al 99,9%, oltre all’accesso offline che consente agli utenti di accedere alle password anche durante un improbabile downtime. Tuttavia, i Password Manager on-premise richiedono ai team IT di mantenere l’infrastruttura in funzione al massimo delle prestazioni e della disponibilità, il che è costoso e richiede tempo.
Molte organizzazioni hanno scelto le soluzioni di gestione delle password basate sul cloud rispetto alle soluzioni on-premise, con gli ostacoli tecnici menzionati. Ecco come la soluzione di gestione delle password basata sul cloud di Keeper può aiutarti.
Gestione delle password sicura e scalabile che si integra facilmente con l’infrastruttura e i processi di sicurezza
Keeper può essere distribuito su scala aziendale per qualsiasi numero di utenti, da piccole entità a organizzazioni con centinaia di migliaia di dipendenti e collaboratori. Il Cloud Security Vault di Keeper è ospitato da Amazon AWS in Nord America, Europa, Giappone, Canada e Australia, per garantire la privacy dei dati e la segregazione geografica per ospitare e gestire la soluzione e l’architettura di Keeper. L’utilizzo di Amazon AWS consente a Keeper di scalare le risorse su richiesta e di fornire ai clienti l’ambiente di archiviazione cloud più veloce e sicuro. Keeper Security opera in ambienti multi-zona e multi-regione per massimizzare i tempi di attività e fornire ai clienti tempi di risposta più rapidi.
Inoltre, Keeper si integra rapidamente e senza problemi con qualsiasi soluzione di identità on-premise o basata sul cloud, tra cui AD, LDAP, Azure, SCIM e gli IdP conformi a SAML. Questo include soluzioni SSO come Azure, Okta, Centrify, BeyondTrust, Google Workspace, JumpCloud, OneLogin e Ping Identity. Keeper fornisce anche API per gli sviluppatori, che permettono di integrare Keeper con qualsiasi tipo di ambiente on-premise, basato su cloud o hybrid-cloud. Per il monitoraggio e la reportistica degli eventi, Keeper si integra perfettamente con tutte le principali soluzioni di gestione degli eventi e delle informazioni sulla sicurezza (SIEM), tra cui Splunk, Sumo Logic, LogRhythm, IBM, DEVO, Datadog e qualsiasi sistema che supporti eventi in formato Syslog.
Sicurezza delle password zero-trust e zero-knowledge
Keeper detiene la più lunga certificazione SOC 2 e ISO 27001 del settore. Per i clienti dell’UE, Keeper è conforme al GDPR con centri dati isolati nell’area dell’UE.
Per i clienti del settore pubblico negli Stati Uniti, Keeper Government Cloud è autorizzato FedRAMP (impatto moderato) e conforme alla normativa ITAR. L’ISMS di Keeper garantisce l’attuazione di rigorosi controlli di sicurezza per proteggere i dati dei clienti e assicurare il funzionamento sicuro di prodotti e servizi.
Keeper Security crea i suoi prodotti utilizzando un framework di sicurezza zero-trust che si basa sul non fidarsi di nessun utente all’interno dell’architettura. Lo zero-trust presuppone che tutti gli utenti e i dispositivi possano essere potenzialmente compromessi e quindi ogni utente deve essere verificato e autenticato prima di poter accedere a un sito web, a un’applicazione o a un sistema. Questo framework è alla base della sicurezza informatica di Keeper. La piattaforma offre agli amministratori IT una visibilità completa su tutti gli utenti, i sistemi e i dispositivi a cui accedono, contribuendo a garantire la conformità con i mandati normativi e di settore. Per avere una struttura zero-turst in un’organizzazione, questa deve avere una sicurezza delle password di livello mondiale, supportata da un’architettura di sicurezza zero-knowledge.
Crittografia zero-knowledge
Keeper è un fornitore di servizi di sicurezza zero-knowledge. Le credenziali dell’utente vengono crittografate localmente sul dispositivo e il testo cifrato viene memorizzato in forma criptata nell’ambiente AWS di Keeper. Keeper implementa un sistema di crittografia a più livelli basato su chiavi generate dal cliente. Le chiavi a livello di record e di cartella sono generate sul dispositivo locale, che cripta ogni record del Vault memorizzato (ad esempio, la password). Le chiavi vengono generate localmente sul dispositivo per preservare la zero-knowldge e per supportare funzioni avanzate come la condivisione di record e cartelle. Per gli utenti che accedono con la tecnologia SSO o senza password, viene utilizzata la crittografia a curva ellittica per criptare e decriptare i dati a livello di dispositivo. I molteplici livelli di crittografia assicurano che anche se una singola chiave venisse compromessa, l’accesso agli altri record sarebbe limitato. Chiamiamo questo limitare il “raggio d’esplosione”. Poiché il cloud di Keeper memorizza solo il testo crittografato, i dipendenti e i fornitori di infrastrutture di Keeper Security non sono in grado di accedere o decifrare i dati dei clienti.
Tempi di attività più affidabili e accesso offline
Keeper è ospitato su AWS con un impegno di uptime e disponibilità del 99,99%. Altri Password Manager sono ospitati nei loro data center personalizzati, che causano ripetuti downtime. Keeper sa che le tue domande sono importanti e ti offre la possibilità di parlare con una persona in carne e ossa al telefono. Il supporto live di Keeper è disponibile 24×7. Keeper offre anche una formazione sul prodotto e un onboarding con l’abbonamento. Clicca qui per conoscere lo stato di uptime di Keeper.
La modalità offline di Keeper consente agli utenti di accedere al proprio vault da qualsiasi dispositivo quando non sono in grado di connettersi online a Keeper o al proprio identity provider. L’accesso offline è disponibile per Keeper Web Vault, per l’applicazione desktop e per le applicazioni mobili iOS e Android. I dati della cassaforte vengono archiviati in un formato crittografato accessibile unicamente se l’utente fornisce la propria password principale o l’autenticazione biometrica. Più utenti possono condividere un singolo dispositivo, ad esempio, un computer portatile, e tutti avranno la propria cassaforte archiviata in modo sicuro su quel PC quando è offline. La protezione di autodistruzione cancella tutti i dati memorizzati localmente dopo 5 tentativi di accesso falliti.
In breve
Le soluzioni di gestione delle password tradizionali che richiedono un’implementazione on-premise pongono problemi di scalabilità, sicurezza e affidabilità rispetto alle moderne soluzioni basate sul cloud. Se desideri ottenere una soluzione sicura e completa per la gestione delle password basata sul cloud, richiedi una demo a un membro del nostro team.