57
febbraio 2013
vilegiati (password vault) che si concretizzano in
una tracciatura completa di tutte le attività svolte
da un determinato profilo e dal fatto che queste
attività sono poi oggetto di attività di reporting.
Anche queste sono attività che rientrano sempre
più in diverse compliance e il loro supporto è ormai
considerato come indispensabile.
Una sicurezza per gli ambienti
virtuali coerente e allineata
alle piattaforme fisiche
Nella definizione quindi di una strategia di protezio-
ne degli ambienti virtuali, la logica vuole che que-
sta si mantenga coerente e allineata con quanto si
sta già facendo a livello delle piattaforme fisiche.
La proposta di CA nell’ambito della gestione degli
utenti privilegiati nasce da questo approccio ed è
rappresentata da una suite configurata in diversi
moduli che supportano una completa gestione delle
identità privilegiate in ambienti fisici e virtuali. È una
soluzione scalabile e modulare in grado di fornire
la gestione delle password degli utenti privilegiati,
controlli di accesso granulari (real access control),
reporting sulle attività degli utenti, autenticazione e
gestione centralizzata tra server, applicazioni e di-
spositivi, attraverso una unica console web di nuova
generazione. Queste le funzionalità assicurate nei
moduli CA ControlMinder e CA ControlMinder for
Shared Account. L’estensione della gestione delle
identità privilegiate e l’automazione della sicurezza
negli ambienti virtuali, che comprende hypervisor
e macchine virtuali è invece assicurata dal modulo
CA ControlMinder for Virtual Enviroments. Infine, il
modulo CA Session Recording realizza una registra-
zione video di tutte le attività degli utenti privilegiati
svolte dai loro client, trasformabile direttamente in
file testuale, rendendo così possibile la conformità
anche per le applicazioni che non generano log. “Il
tutto assicurando comunque anche una ottimizza-
zione dei volumi dati da memorizzare che entrano
in gioco – spiega Molteni – e quindi tenendo traccia
solo delle modifiche che intercorrono nel tempo”.
aggiunge un terzo elemento di non poco conto: “La
cancellazione di un contenuto importante o di un
file di sistema, o un modo di operare poco accor-
to, come spesso succede nelle fasi di testing delle
applicazioni, o per policy molto vaghe, possono es-
sere comportamenti che non nascono per intento
di dolo, ma sono più dovuti a distrazioni, poca con-
sapevolezza di ciò che si sta facendo che deriva da
pratiche e metodi di lavoro del passato, che però
sono rimaste radicate nelle persone... Stiamo par-
lando quindi di un potenziale di rischiosità ancora
più alto e, in un certo senso, ancora più subdolo”.
Gli utenti privilegiati
Il problema nasce dalla libertà di movimento che
nell’ambiente virtuale possono avere i cosiddetti
utenti ‘privilegiati’, ovvero coloro che all’interno di un
sistema informativo aziendale non hanno restrizioni
operative nei loro profili utente e quindi possono
accedere a dati e applicazioni con molta facilità. Il
tema quindi della protezione degli ambienti virtua-
li, per CA Technologies, parte quindi proprio dalla
gestione delle identità privilegiate (PIM), un tema
che comunque nasce per proteggere meglio anche
gli ambienti fisici, ma che per estensione logica gio-
ca un ruolo importante anche in quelli virtuali. “Gli
utenti privilegiati possono essere associati a quelli
che nel mondo Unix una volta erano i profili ‘root’,
o gli amministratori di sistema, e che tra le altre
cose spesso in molte realtà sono anche utilizzati da
diverse persone di sta… In questi casi la possibili-
tà di alterare l’ambiente virtuale per distrazione o
poca consapevolezza naturalmente aumentano in
modo esponenziale”.
Una migliore gestione delle identità privilegiate si
ottiene con controlli di accesso più granulari im-
plementando quello che tecnicamente viene chia-
mato la ‘segregation of duties’ (letteralmente se-
parazione dei compiti), in cui i privilegi di accesso
vengono regolamentati seguendo regole aziendali
appositamente definite e, quindi, si formalizzano
funzionalità che prima erano considerate libere, ma
che nella realtà svolgono compiti diversi, da utenti
dierenti, anche quando accedono agli stessi dati:
“Come per esempio gli auditor e gli amministratori
di sistema; la segregation of duties è ormai richie-
sta da molte compliance come Sox o la PCI DSS,
ma una migliore definizione dei privilegi non è un
mero atto burocratico da svolgere per supportare
una compliance, ma aiuta a fare chiarezza e anche
a consolidare una cultura aziendale su ruoli e re-
sponsabilità precise”.
Un secondo elemento è inoltre quello dei controlli
raorzati proprio sulle password degli utenti pri-
1...,49,50,51,52,53,54,55,56,57,58 60,61,62,63,64,65,66,67,68,69,...100