PAM 
La maggior parte delle soluzioni Zero Trust Network Access (ZTNA) affermano di eliminare i rischi di sicurezza basati sul perimetro, ma molte in realtà introducono nuove
Pubblicato il Luglio 28, 2025
Con l’aumentare dell’automazione e della distribuzione dell’infrastruttura, il numero di identità non umane (NHI) negli ambienti aziendali ha silenziosamente superato quello degli utenti umani. Adesso queste NHI svolgono un ruolo fondamentale in ogni aspetto, dalle pipeline DevOps ai flussi di lavoro basati sull’AI, spesso affidandosi a segreti come chiavi API, certificati e token per accedere ai sistemi ed eseguire attività critiche.
Anche se le NHI fanno di più, vengono protette di meno. Questo disallineamento sta diventando un serio problema, ma Keeper può aiutare le organizzazioni a colmare il divario.
Cosa sono le identità non umane e perché sono importanti?
Le identità non umane sono esattamente ciò che sembrano: entità che interagiscono con i sistemi IT senza alcun intervento umano. Distribuiscono app, accedono a dati, si connettono a vari ambienti ed eseguono attività automatizzate su larga scala. Si trovano ovunque, ad esempio in:
- Script che eseguono il provisioning delle istanze cloud
- Bot che gestiscono i flussi di lavoro
- Contenitori Kubernetes che eseguono microservizi
- Agenti di Machine Learning (ML) che si connettono allo storage e al calcolo
- Account di servizio che gestiscono i lavori di backup e le integrazioni
Le NHI svolgono un ruolo importante nelle operazioni aziendali, ma i controlli degli accessi legacy non sono stati progettati per supportare il modo in cui le macchine si autenticano e comunicano oggi.
Perché le NHI rappresentano un rischio crescente per la sicurezza informatica
Negli ambienti nativi del cloud, DevOps e basati sull’AI, spesso le NHI superano gli utenti umani in termini di numeri. E diversamente dalle identità umane, è raro che seguano procedure di onboarding, autenticazione o controllo degli accessi strutturate.
E questo è un problema. Ecco perché le NHI sono diventate un bersaglio di alto valore:
- Mancanza di visibilità: le NHI sono spesso create ad hoc, utilizzate nell’automazione o integrate in profondità nell’infrastruttura, il che le rende facili da dimenticare e difficili da monitorare.
- Credenziali statiche e codificate: molte usano password predefinite, token di lunga durata o segreti incorporati direttamente nel codice sorgente, che rappresentano facili punti di accesso per i criminali informatici.
- Privilegi eccessivi e persistenti: senza un controllo granulare degli accessi, spesso le NHI dispongono di permessi estesi e superflui e non hanno limiti di sessione.
- Supervisione limitata: gli strumenti di gestione delle identità e degli accessi (IAM) tradizionali si concentrano sulle identità umane. Spesso le NHI non rientrano nei modelli di governance formali.
Di conseguenza, i criminali informatici prendono sempre più di mira queste identità poco protette per aumentare i privilegi, muoversi lateralmente e mantenere l’accesso a lungo termine all’interno dei sistemi.
Il ruolo della gestione dei segreti e del PAM nella sicurezza dell’NHI
La protezione delle NHI inizia con il riconoscere che le loro esigenze e i loro rischi sono fondamentalmente diversi da quelli legati agli utenti umani. Le NHI non accedono tramite un’interfaccia utente (UI) né utilizzano password nel senso tradizionale. Si basano su segreti, token e autenticazioni macchina-macchina.
È qui che entrano in gioco la gestione degli accessi con privilegi (PAM) e la gestione dei segreti. Insieme, affrontano le sfide specifiche della sicurezza NHI:
- La gestione dei segreti protegge le credenziali sensibili come le chiavi API, le chiavi SSH, i certificati e i token memorizzandoli in modo sicuro e tenendoli fuori dal codice sorgente. Questi segreti vengono forniti solo quando necessario, e l’accesso può essere limitato per utente, sistema o arco temporale.
- La PAM definisce chi o cosa può accedere ai sistemi, il modo in cui viene verificato l’accesso e quali azioni sono consentite. Applica il principio del privilegio minimo in modo automatico e garantisce una piena visibilità sulle attività privilegiate.
Le soluzioni IAM tradizionali si concentrano sul provisioning degli utenti e sul Single Sign-On (SSO), ma mancano di funzionalità di controllo degli accessi, rotazione delle credenziali o visibilità sui flussi di lavoro basati sulle macchine. KeeperPAM colma questa lacuna offrendo l’accesso Just-in-Time (JIT), la gestione dei segreti e il supporto degli audit, che sono tutti componenti essenziali di una strategia zero-trust per le NHI.
Come KeeperPAM protegge le identità non umane
KeeperPAM unisce la gestione dei segreti, la PAM e l’applicazione dello zero-trust per fornire una protezione completa per le NHI in ambienti cloud, DevOps e ibridi. Ecco come:
Gestione dei segreti per pipeline DevOps
Keeper Secrets Manager è progettato appositamente per proteggere i segreti nelle pipeline CI/CD e nei flussi di lavoro di automazione. Invece di affidarsi agli sviluppatori per gestire manualmente le credenziali o incorporarle nel codice sorgente, Keeper Secrets Manager fornisce l’iniezione dei segreti durante l’esecuzione in strumenti come Jenkins, GitHub Actions e Terraform. Le credenziali vengono crittografate e recuperate solo quando necessario, e mai memorizzate sotto forma di testo semplice o esposte agli utenti umani.
Keeper Secrets Manager si integra tramite SDK, CLI e REST API, offrendo ai team DevOps un’automazione completa senza compromettere la sicurezza o la conformità.
Accesso JIT per gli account di servizio
KeeperPAM elimina la necessità di credenziali di lunga durata fornendo l’accesso JIT agli account di servizio e ai sistemi automatizzati. Il provisioning dei segreti viene effettuato solo quando necessario e per un intervallo di tempo definito, poi i segreti vengono revocati automaticamente una volta completata l’attività. Questo elimina l’accesso permanente e riduce significativamente la superficie di attacco. Oltre al JIT, Keeper applica il Just Enough Privilege (JEP), garantendo che le identità delle macchine ricevano solo il livello minimo di accesso necessario per completare un’attività o una funzione specifica. Che si tratti di accedere a una risorsa cloud o di avviare una query su un database, le autorizzazioni sono strettamente definite in base al ruolo, all’ambiente e ai criteri.
Insieme, il JIT e il JEP garantiscono che le NHI operino in modo efficiente senza sovraesposizione. Questo è fondamentale negli ambienti dinamici come l’orchestrazione dei container, le pipeline CI/CD e l’infrastruttura effimera, dove la sicurezza deve tenere il passo con l’automazione.
Rotazione delle credenziali per account non umani
La proliferazione delle credenziali e l’accesso permanente sono due delle vulnerabilità più comuni legate alle NHI. KeeperPAM affronta entrambi i problemi ruotando automaticamente le password, le chiavi SSH e le credenziali di accesso per account di servizio, database e sistemi di infrastruttura. I criteri di rotazione possono essere programmate o attivate da eventi, con requisiti di complessità e regole basate sui ruoli.
Architettura zero-trust e isolamento delle sessioni
Tutti gli accessi all’infrastruttura, sia che siano avviati da un utente o da una NHI, sono gestiti tramite il Keeper Gateway, uno strato di accesso zero-trust che crea tunnel crittografati end-to-end. Questo metodo non richiede l’apertura di porte del firewall né l’uso di VPN tradizionali. Ogni sessione, comprese le connessioni basate su macchina, può essere isolata e registrata per la revisione manuale o inviata a una piattaforma di gestione delle informazioni e degli eventi di sicurezza (SIEM). Keeper supporta la registrazione delle sessioni per i protocolli SSH, RDP, VNC, HTTPS e database.
Controllo degli accessi basato sui ruoli (RBAC) e applicazione dei criteri
KeeperPAM estende il controllo RBAC alle identità delle macchine, permettendo alle organizzazioni di applicare il principio del privilegio minimo ad account di servizio, container e strumenti di automazione. L’ambito dei segreti può essere limitato a singole voci, cartelle o app. I criteri di accesso, come le restrizioni temporali, il filtraggio IP e l’applicazione dell’autenticazione a più fattori, garantiscono che ogni identità abbia accesso solo a ciò di cui ha veramente bisogno. Tutte le attività delle NHI vengono registrate e sono disponibili per l’esportazione sulle piattaforme SIEM, il che semplifica il rilevamento delle anomalie e il rispetto dei requisiti di audit.
Integrazioni native con l’infrastruttura cloud
Keeper si integra direttamente con AWS, Azure e Google Cloud per proteggere i segreti nativi del cloud e l’accesso non umano. Le organizzazioni possono scoprire e gestire ruoli, account di servizio e utenti IAM in ambienti cloud, quindi conservare in modo sicuro le credenziali in una cassaforte. I segreti utilizzati negli ambienti multi-cloud e ibridi sono centralizzati e protetti con gli stessi controlli dei criteri per l’accesso umano, in modo da semplificare la sicurezza ed eliminare la frammentazione delle credenziali.
Controlla l’accesso ai dispositivi con KeeperPAM
Le identità non umane non stanno scomparendo: stanno crescendo di numero e importanza. La loro protezione richiede più di semplici soluzioni rattoppa buchi. KeeperPAM consente alle organizzazioni di gestire i segreti, applicare il principio del privilegio minimo e garantire un accesso zero-trust a tutte le identità nell’ambiente.
Richiedi una demo per vedere come KeeperPAM riduce il rischio proteggendo ogni identità non umana nel tuo ambiente IT.
