Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Progettare la gestione degli utenti per la macchina
Di Aviad Mizrachi, InfoWorld |
Tecnologia emergente sezionata dai tecnologi
Se un utente non ha tratti umani e non ha molta personalità, potrebbe esserci una buona ragione per questo. L'utente potrebbe essere una macchina.
Oggi, oltre il 90% del traffico Internet avviene tra macchine. In realtà, le macchine che utilizzano la tua applicazione SaaS B2B sono anche utenti, semplicemente un diverso tipo di utente. Ecco perché ogni applicazione online e SaaS oggi deve includere pratiche e policy di gestione degli utenti ben ponderate, progettate specificamente per gestire le diverse sfide e requisiti delle interazioni machine-to-machine (M2M).
Basandomi su anni di esperienza nell'aiutare le aziende SaaS B2B a gestire le interazioni M2M, ho messo insieme una guida rapida con le migliori pratiche per una gestione degli utenti da macchina a macchina efficiente, efficace e sicura. Immergiamoci.
Il contesto potrebbe essere fondamentale nella gestione degli utenti umani, ma lo è ancora di più per le macchine perché gli utenti delle macchine offrono molte meno informazioni sul loro stato, situazione e intenzioni. Spesso gli utenti macchina accedono solo a un singolo servizio o a un numero limitato di servizi, mentre gli utenti umani accedono a molti di più.
Le interazioni da macchina a macchina non contengono indizi utili come l'agente del browser, l'indirizzo MAC o NIC o i dati di geolocalizzazione. È più probabile che si tratti di una chiamata API in un protocollo comunemente utilizzato con un minimo di caratteristiche identificative. Il contesto relativo alle richieste di servizio effettuate da un utente della macchina dovrebbe determinare il modo in cui vengono applicate le policy e viene progettata la gestione degli utenti.
Per la gestione degli utenti M2M, ogni servizio deve sapere come può comunicare con altri servizi e con quali servizi deve comunicare. Tutti i servizi devono sapere come comunicano con un altro servizio e quali servizi chiave devono avere l'autorizzazione per accedere. Questo è in parte ciò che i gateway API e le mesh di servizi possono offrire, ma nessuno dei due ha un approccio incentrato sull’utente (anche per gli utenti M2M).
Per gli utenti umani di oggi, l'MFA è una parte fondamentale del processo di convalida della sicurezza. Per gli utenti della macchina, l'MFA non è un'opzione. Allo stesso tempo, le transazioni M2M tendono a funzionare in millisecondi, perché le macchine possono interagire a una velocità molto più elevata rispetto agli esseri umani. Ciò crea una nuova superficie di attacco che molti criminali informatici stanno ora cercando attivamente di sfruttare attraverso attacchi API. Per i team SecDevOps che eseguono processi di gestione degli utenti rispetto alle interazioni M2M, ciò significa che è necessario prestare maggiore attenzione ad altri meccanismi di sicurezza come la limitazione degli indirizzi IP, la limitazione della velocità delle richieste, la rotazione dei certificati o delle chiavi e, idealmente, policy generate da persone o macchine. che riconoscono modelli di utilizzo anomali.
Il fatto che una richiesta provenga da una macchina interna o da un utente esterno dovrebbe far scattare considerazioni di sicurezza molto diverse. Se una richiesta è interna, ovvero proviene da un cluster Kubernetes da un servizio a un altro, l'autenticazione viene applicata internamente e solitamente con un tocco più leggero. Ad esempio, le mesh di servizi vengono utilizzate per impostare policy sui servizi a cui un determinato servizio interno può connettersi. In realtà, molte organizzazioni non stanno ancora autenticando le interazioni interne da macchina a macchina, ma i CISO e i team di gestione del rischio stanno spingendo forte per implementare l’autenticazione di base ovunque.
Ad oggi, molte operazioni della piattaforma e molti team SecDevOps utilizzano l'autenticazione ingenua per la sicurezza interna, ovvero segreti condivisi. Tuttavia, l'autenticazione ingenua richiede un processo rigoroso per sostituire facilmente i segreti che sono stati violati o in qualche modo esposti. Senza questo processo di scambio dei segreti, un'organizzazione rischia tempi di inattività mentre vengono creati e condivisi nuovi segreti. Su larga scala, le modifiche ai segreti che devono essere sincronizzati tra coppie o tris di utenti della macchina richiedono molto lavoro. Quindi, anche per la comunicazione M2M interna ci sono sfide tecnologiche.