DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

Che Cos’è il Non-Human Identity Security?

Che Cos’è il Non-Human Identity Security?

Il Suo browser utilizza una connessione criptata con il server mentre legge questo. Ci sono numerosi algoritmi e metodi che autorizzano la Sua applicazione sul server, spesso senza che Lei se ne accorga. Di conseguenza, nel panorama digitale di oggi, la sicurezza dei sistemi è diventata più complessa, in parte guidata dalla rapida ascesa delle identità non umane.

Man mano che le organizzazioni adottano servizi cloud, automazione e API LLM, le identità non umane—come applicazioni, API, bot e servizi—giocano un ruolo fondamentale nelle operazioni quotidiane. Proteggere queste identità non umane è essenziale per garantire la sicurezza dei dati sensibili e prevenire accessi non autorizzati. Uno dei maggiori problemi? Garantire la sicurezza delle chiavi API, token e certificati utilizzati per autenticare e autorizzare queste identità non umane.

In questo articolo esploreremo il concetto di sicurezza delle identità non umane, perché è cruciale proteggere le chiavi API e i token, e come gli strumenti come il Data Security Posture Management (DSPM) possono aiutare le organizzazioni a raggiungere questo scopo. Con l’aumento delle identità non umane, la posta in gioco per la protezione dei dati non è mai stata così alta.

Cosa Sono le Chiavi API o i Token?

Le chiavi API e i token sono informazioni sensibili utilizzate per autenticare e autorizzare l’accesso a servizi o sistemi. Anche se non sono classificate come informazioni personali identificabili (PII) e non sono ancora protette dalle leggi PII, possono comunque portare a significative violazioni dei dati se compromesse. Ecco alcuni esempi di come possono verificarsi queste violazioni – hardcoding in repository pubblici (anziché usare variabili d’ambiente), controllo di accesso insufficiente. L’identità potrebbe apparire come segue:

Claude (Anthropic) API Key:

sk-ant-api03-ZGTFrtwQiHEhvUgP2BXgcNt10uf81TQ4pMf7p7S68zgjq25T...wCPAn9z-xgQgY...mMUoMHDDLpYpc1LfVsw-RPJ4rQYY

Open AI API Key:

sk-prod-jt5s1gettW5fxb4tU0DoWYk3Ztk3PESY8o9aBGdkb774ZuvXF...Edfd5NJmyyB8CLy_qpvWT3BlbkFJs9q9gws8SpFKAgmBm4hNwjRx-P167Vz0AzZYC8d5L0xuRMUdeIkCXAzki2KH5HOJ4ymXE3WqHH

Gemini (Google) API Key:

AIzaSyCR-xaBewyL8pl2FEhPc8CrdVFVykxfTSF

Google API OAuth secret key and token:

{"installed":{"client_id":"1097288213321-fduqo786hj08l...thd3qb7f76jiss.apps.googleusercontent.com","project_id":"gdoctohtml","auth_uri":"https://accounts.google.com/o/oauth2/auth","token_uri":"https://oauth2.googleapis.com/token","auth_provider_x509_cert_url":"https://www.googleapis.com/oauth2/v1/certs","client_secret":"GOSSPD-P6UhBjk...pEHgsY8Lw7SyhXN","redirect_uris":["http://localhost"]}}
{"token": "ya29.a0ARW5m76GtzrP_VhAnukHEln2djhL511b...jn3JJxvPtajABY7es8TRUdKo9xE9ChSqYdnpY0eIZS2kNMKZVanon3Wz_lCvi6cldPGMCZitPjHP2WFq2r1RfJHt79PCibBVGDRAnxEiAEFmMSUJNpesTnE70B3mulh37XwAaCgYKARcSARISFQHTR2MiYLt3zOncChX3MdLlZuBQ3Q0177", "refresh_token": "1//09v7feFBmpvamCgYIARAAGAkSNwF-L9IrfujY0gCsx84I3...fNgs8pGsNkYzhNylYCtXiGqniCc7YbVMorIDc2DsCZeBSsSbOx0", "token_uri": "https://oauth2.googleapis.com/token", "client_id": "1097288213458-fduqo87al708lsl3opkhd3qb7f76jiss.apps.googleusercontent.com", "client_secret": "GOSSPD-P6UhBjkT7...gsY8Lfewo7SyhXN", "scopes": ["https://www.googleapis.com/auth/documents.readonly"], "universe_domain": "googleapis.com", "account": "", "expiry": "2024-12-25T12:41:12.781910Z"}

Perché il Non-Human Identity Security è Critico?

Le identità non umane spesso hanno accesso estensivo alle risorse. Queste identità vengono utilizzate per eseguire attività di automazione, interagire con i database e persino prendere decisioni. A differenza delle identità umane, queste identità utilizzano tipicamente chiavi API, token OAuth e certificati per l’autenticazione. L’uso improprio di queste credenziali può causare danni significativi, poiché spesso hanno ampio accesso e controllo sulle risorse. Pertanto, proteggere queste chiavi e token è di fondamentale importanza.

L’Ascesa delle Identità Non Umane

Il passaggio al cloud computing, ai microservizi e alle API ha alimentato l’ascesa delle identità non umane. Le applicazioni comunicano tra loro più frequentemente che mai, scambiando dati ed eseguendo attività senza intervento umano. Di conseguenza, il numero di chiamate API e flussi di lavoro automatizzati è aumentato vertiginosamente. In effetti, le identità non umane superano spesso quelle umane.

Ma con questa ascesa aumentano i rischi di sicurezza. Le identità non umane si affidano a chiavi API, token e certificati per l’autenticazione e l’autorizzazione. Se compromessi, queste credenziali possono essere utilizzate per rubare dati, interrompere i servizi o lanciare ulteriori attacchi. Le organizzazioni devono dare priorità alla sicurezza delle identità non umane per prevenire queste minacce.

Che Cos’è il Non-Human Identity Security?

Il non-human identity security si riferisce al processo di scoperta, protezione e gestione delle credenziali utilizzate da entità non umane, come applicazioni, servizi, API e bot. A differenza degli utenti umani, le identità non umane non effettuano il login con un nome utente e una password. Invece, utilizzano chiavi API, token OAuth e certificati per autenticarsi e interagire con altri sistemi.

L’obiettivo principale della sicurezza delle identità non umane è:

  1. Scoprire le identità non umane e le credenziali che utilizzano.
  2. Proteggere chiavi API, token e certificati da essere compromessi.
  3. Monitorare l’uso e rilevare qualsiasi attività sospetta.

Scoperta: Trovare i Dati Sensibili Non Umani

Una delle più grandi sfide nella protezione delle identità non umane è la scoperta. Molte organizzazioni hanno identità non umane sparse nei loro sistemi e negli ambienti cloud. Queste identità spesso passano inosservate, diventando bersagli ideali per i malintenzionati.

Il primo passo nella scoperta delle identità non umane è identificare tutte le chiavi API, i token e i certificati in uso. Questo può essere un compito arduo, soprattutto negli ambienti cloud dove le applicazioni interagiscono con numerosi servizi. Inoltre, queste credenziali sono spesso hardcoded nelle applicazioni o memorizzate in luoghi non sicuri, aumentando il rischio di esposizione.

Gli strumenti di scoperta automatizzata possono aiutare le organizzazioni a localizzare e inventariare queste credenziali. Una volta identificate, è essenziale assicurarsi che siano adeguatamente protette, criptate e ruotate regolarmente per prevenire accessi non autorizzati.

Scoperta Automatica con Strumenti Generici

Metodi per la scoperta di token o chiavi API dipendono dal set di caratteri del token. Come visto negli esempi seguenti, l’entropia raggiunge il massimo quando la finestra di analisi include i caratteri del token.

Entropia e Distribuzione dei Tipi di Carattere
Figura 01 – Variazione dell’entropia e della frequenza del tipo di carattere rispetto alla posizione della finestra. L’entropia massima si avvicina a 5 quando la finestra comprende l’intera chiave API (posizione 20 sull’asse orizzontale).

Per la maggior parte delle chiavi API, la frequenza di lettere maiuscole, minuscole e cifre dovrebbe essere approssimativamente uguale quando la finestra di test scorrevole copre completamente la sequenza della chiave.

Frase di esempio e finestra scorrevole
Figura 02 – Frase di esempio con una finestra scorrevole che copre le posizioni da 1 a 62. Il valore di entropia è fornito a scopo di riferimento e può essere confrontato con la figura sopra.

Inoltre, approcci con espressioni regolari e ricerche dirette sono metodi validi. Sebbene siano semplici da implementare, richiedono corrispondenze esatte. Questa limitazione può essere mitigata utilizzando contatori di simboli variabili (‘{10,25}’ nell’esempio successivo).

import re
# Esempio di pattern per chiavi API (modificare secondo l'ambiente)
api_key_pattern = r"[A-Z0-9]{10,25}(-[A-Z0-9]{10,25})?"
text = "Ecco una possibile chiave API: GOVSPX-P0hBjkT7Hp e qualche spazzatura: ABC123."
matches = re.findall(api_key_pattern, text)
print(matches)

Questo dovrebbe stampare:

'GOVSPX-P0hBjkT7Hp'

DataSunrise offre ampie opzioni per definire espressioni regolari per abbinare dati strutturati e non. Può definire in modo flessibile e coerente Tipi di Informazione e loro Attributi, centralizzandoli per tutti i potenziali varianti di chiavi API o token.

Tipo di Informazione Predefinito per Chiavi AWS in DataSunrise
Figura 03 – Tipi di Informazione in DataSunrise. Il filtro è impostato sulla stringa ‘Key’ nel nome del tipo. Le chiavi AWS sono tipi predefiniti.

Proteggere le Chiavi API e i Token

Una volta scoperte le identità non umane e le relative credenziali, il passo successivo è proteggerle. Le chiavi API, i token e i certificati sono come le password per le entità non umane. Se un malintenzionato riesce ad accedervi, può impersonare l’applicazione o il servizio e ottenere accesso non autorizzato ai sistemi critici.

Esistono diverse best practice per proteggere le chiavi API e i token:

  1. Memorizzare le chiavi in modo sicuro: Eviti di memorizzare le chiavi e i token nei repository di codice o nei file di testo. Utilizzi invece soluzioni di archiviazione sicura come i sistemi di gestione dei segreti.
  2. Crittografare i dati sensibili: Assicuri che tutte le chiavi, i token e i certificati siano criptati a riposo e in transito.
  3. Ruotare le chiavi regolarmente: Implementare la rotazione regolare delle chiavi per ridurre al minimo il rischio di compromissione delle credenziali a lungo termine. La maggior parte dei fornitori di cloud offre gestione centralizzata delle credenziali (esempio di AWS), dove è possibile stabilire politiche di rotazione appropriate.
  4. Limitare l’accesso: Adottare il principio del minimo privilegio restringendo le autorizzazioni concesse alle chiavi API e ai token.

Proteggere l’Identità Non Umana con il Mascheramento

Il mascheramento è un’altra tecnica comunemente utilizzata per proteggere le credenziali sensibili non umane. In particolare, il mascheramento dei dati comporta l’offuscamento dei dati sensibili in modo che sia nascosto agli utenti non autorizzati, consentendo però al sistema di funzionare normalmente. Il mascheramento può essere applicato alle chiavi API, ai token e ad altri dati sensibili per proteggerli dall’esposizione nei log, nei messaggi di errore o nelle interfacce delle applicazioni.

Utilizzando il mascheramento dinamico, le organizzazioni possono ridurre il rischio di esposizione accidentale delle credenziali sensibili e garantire che rimangano nascoste agli utenti non autorizzati. Mantenere l’usabilità dei dati durante il mascheramento è cruciale. Un mascheramento efficace richiede impostazioni di privilegio ben definite per garantire che solo gli utenti autorizzati lo inneschino, ma potrebbe non essere sempre la soluzione ideale. Al contrario, le misure di sicurezza passive, come l’audit e la scoperta delle identità non umane, sono spesso più facili da implementare.

Utilizzare DSPM per Automatizzare la Sic

Successivo

Tracciamento e Sicurezza dei Dati di Amazon Aurora MySQL con una Traccia di Audit

Tracciamento e Sicurezza dei Dati di Amazon Aurora MySQL con una Traccia di Audit

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]