Cos'è la gestione delle chiavi segrete?

La gestione delle chiavi segrete è l'insieme di attività riguardanti l'organizzazione, la gestione e la messa in sicurezza delle chiavi segrete dell'infrastruttura IT. Un gestore di chiavi segrete è un sistema di archiviazione protetta e singola fonte di verità (SSOT) per le credenziali con privilegi, le chiavi API e altre informazioni altamente riservate utilizzate nelle infrastrutture IT.

Continuate la lettura per scoprire cos'è la gestione delle chiavi segrete e cosa potete fare per proteggere l'ambiente dei dati della vostra azienda.

Cos'è una chiave segreta?

In un ambiente dei dati IT, le chiavi segrete sono credenziali con privilegi non umani, molto spesso utilizzate da sistemi e applicazioni per l'autenticazione o come input per un algoritmo crittografico. Le chiavi segrete sbloccano applicazioni, servizi e risorse IT contenenti informazioni altamente riservate e sistemi con privilegi.

Tra le più comuni tipologie di chiavi segrete:

  • Credenziali di accesso per utenti non umani
  • Stringhe di connessione per database
  • Chiavi crittografiche
  • Credenziali di accesso ai servizi in cloud
  • Chiavi dell'interfaccia di programmazione delle applicazioni (API)
  • Token di accesso
  • Chiavi SSH (Secure Shell)

Perché è importante la gestione delle chiavi segrete?

La gestione delle chiavi segrete è una delle migliori strategie di sicurezza informatica per l'applicazione coerente di regole di sicurezza per le credenziali di autenticazione di utenti non umani, affinché solo le entità autenticate e autorizzate possano accedere alle risorse.

Con la crescita delle organizzazioni, i team IT e di DevOps incontrano un problema chiamato proliferazione delle chiavi segrete: le chiavi segrete dell'infrastruttura vengono diffuse in più posizioni e i vari reparti, team e persino i singoli membri si ritrovano a gestire in modo indipendente le chiavi segrete sotto il proprio controllo. In questo scenario gli amministratori IT non hanno visibilità, non possono verificare né ricevere avvisi sull'utilizzo di tali chiavi segrete.

Migliori strategie per la gestione delle chiavi segrete

Poiché le chiavi segrete sono numerose – solo le chiavi SSH possono arrivare a essere migliaia – ricorrere a una soluzione di gestione delle chiavi segrete come Keeper Secrets Manager è d'obbligo. Secondo lo studio Global Encryption Trends Study condotto nel 2021 da Ponemon Institute, il 28% delle organizzazioni utilizza soluzioni di gestione delle chiavi segrete per la loro protezione, mentre il 33% pianifica di impiegare e distribuire una soluzione di gestione delle chiavi segrete entro l'anno successivo.

Tuttavia, uno strumento tecnico non può fare tutto da solo! Abbinate l'uso di uno strumento di gestione delle chiavi segrete alle seguenti migliori strategie:

Stabilite un controllo degli accessi adeguato

Dopo aver centralizzato e messo in sicurezza le vostre chiavi segrete con una soluzione di gestione delle chiavi segrete, il passo successivo è fare in modo che solo le persone e i sistemi autorizzati possano accedervi. Ciò è possibile attraverso il controllo degli accessi in base al ruolo (RBAC) in combinazione con la gestione degli accessi con privilegi (PAM) e l'accesso con privilegi minimi.

Fate la rotazione delle chiavi segrete e avvaletevi dell'accesso just-in-time

Molte chiavi segrete, come i codici e i certificati, richiedono una rotazione periodica, solitamente ogni 30-90 giorni. Uno strumento come Keeper Secrets Manager può rendere automatico questo processo.

Oltre alla rotazione delle chiavi segrete, utilizzate l'accesso just-in-time ogni volta che vi è possibile. In questo modo l'accesso ai sistemi con privilegi viene concesso a utenti umani e applicazioni su base need-to-know (cioè si diffondono informazioni solo su ciò che è strettamente necessario) per una durata specifica. Si tratta di un'alternativa per impedire che le credenziali con privilegi vengano compromesse.

Differenziate le chiavi segrete dagli identificatori

Un identificatore è il modo di riferirsi all'identità digitale da parte di un sistema di gestione delle identità o di un'altra identità. I nomi utente e gli indirizzi e-mail ne sono esempi tipici. Gli identificatori vengono spesso condivisi liberamente all'interno, o anche all'esterno, di un'organizzazione.

Le chiavi segrete, al contrario, sono estremamente riservate. Se una chiave segreta viene compromessa, gli aggressori malintenzionati possono usarla per accedere a sistemi con privilegi elevati e l'organizzazione potrebbe subire danni ingenti, se non disastrosi.

close
Vendita alle aziende
Supporto
closeScegli la lingua
close

Aziende e professionisti

Proteggete la vostra azienda dai criminali informatici.

Inizia la prova gratuita

Amministrazione pubblica e FedRAMP

Proteggete la vostra agenzia ed ente di formazione dai criminali informatici.

Contatto

MSP

Proteggete la vostra organizzazione MSP, i vostri clienti finali e aggiungete nuovi flussi di entrate.

Inizia la prova gratuita

Personale e per famiglie

Proteggete voi e i vostri famigliari dai criminali informatici.

Fatevi proteggere ora
close

Personale e per famiglie

Proteggete voi e i vostri famigliari dai criminali informatici.

Inizia la prova gratuita

Aziende e professionisti

Proteggete la vostra azienda dai criminali informatici.

Inizia la prova gratuita
Italiano (IT) Chiamaci
Scaricala da App Store Scaricala da Google Play