Funzione di gestione delle identità e delle chiavi nel cloud

  • Articolo

L'obiettivo principale di un team di sicurezza che lavora alla gestione delle identità è offrire l'autenticazione e l'autorizzazione di persone, servizi, dispositivi e applicazioni. La gestione delle chiavi e delle certificazioni garantisce una distribuzione sicura e l'accesso al materiale delle chiavi per le operazioni di crittografia (che spesso supportano risultati simili a quelli della gestione delle identità).

Modernizzazione

La modernizzazione della gestione delle identità e delle chiavi dei dati è determinata da quanto segue:

  • Le discipline di gestione delle identità e delle chiavi/certificazioni si avvicinano poiché entrambe offrono garanzie per l'autenticazione e l'autorizzazione per consentire comunicazioni sicure.
  • I controlli di identità stanno emergendo come perimetro di sicurezza primario per le applicazioni cloud
  • L'autenticazione basata su chiavi per i servizi cloud viene sostituita dalla gestione delle identità a causa delle difficoltà di archiviazione e di accesso sicuro alle chiavi.
  • L'importanza critica di portare lezioni positive apprese da architetture delle identità locali come l'identità singola, l'accesso Single Sign-On (SSO) e l'integrazione di applicazioni native.
  • L'importanza critica di evitare gli errori comuni delle architetture locali che spesso comportano una complessità eccessiva, rendendo il supporto più difficile e gli attacchi più facili. Questi includono:
    • Gruppi e unità organizzative in espansione.
    • Set di directory di terze parti e sistemi di gestione delle identità in espansione.
    • Mancanza di una chiara standardizzazione e della titolarità della strategia delle identità delle applicazioni.
  • Gli attacchi di furto delle credenziali mantengono un impatto elevato e un'elevata probabilità di minacce da mitigare.
  • Gli account del servizio e gli account dell'applicazione rimangono uno dei problemi principali, ma diventano più facili da risolvere. I team di identità devono adottare attivamente le funzionalità cloud che iniziano a risolvere questo problema, ad esempio le identità gestite di Microsoft Entra.

Composizione del team e relazioni chiave

I team di gestione delle identità e delle chiavi devono creare relazioni solide con i ruoli seguenti:

  • Architettura e operazioni IT
  • Architettura e attività operative per la sicurezza
  • Team di sviluppo
  • Team di sicurezza dei dati
  • Team della privacy
  • Team legali
  • Team di gestione di conformità e rischi

Passaggi successivi

Esaminare la funzione della sicurezza dell'infrastruttura e degli endpoint