Che cosa sono gli account di ruolo?
Gli account di ruolo sono account associati a un ruolo specifico nella tua organizzazione (ad esempio un gruppo di dipendenti o un sistema automatizzato) anziché a una singola persona. Sono spesso usati per automatizzare le attività e semplificare i flussi di dati.
Ad esempio, se il tuo sistema HR deve comunicare con il sistema Payroll, potresti configurare un utente “hr” per automatizzare la gestione delle credenziali. Puoi quindi controllare i log per vedere quando l’account con ruolo ”hr” accede al sistema Payroll, ottenendo così una maggiore visibilità sui modelli di accesso. Inoltre, sai che il traffico causato da “hr” non è traffico di singoli utenti, quindi puoi filtrarlo quando esegui la scansione di comportamenti di accesso irregolari. Questo può farti risparmiare tempo nei tuoi flussi di lavoro e migliorare la sicurezza.
Tuttavia, ci sono alcuni svantaggi. I problemi sorgono quando inizi a utilizzare in modo improprio gli account di ruolo con sistemi che richiedono un'identità. Condivisione di un account di ruolo tra più dipendenti come accesso multiuso per un fornitore (ad es. vendor-name@mystartup.com), usare l’utente “ubuntu” su un host Linux ospitato nel cloud, oppure usare l’account “Administrator” sui nostri server Windows, sarebbero tutti esempi di utilizzo di account di ruolo contrari alle best practice. Si tratta di tutti sistemi in cui è importante usare un'identità univoca e condividere un account di ruolo compromette la sicurezza.
Alcuni esempi di account di ruolo
Quando utilizzi un account di ruolo in questi sistemi, perdi la possibilità di separare il traffico. Di conseguenza, i log di accesso diventano confusi e poco trasparenti.
Per esempio:
I tuoi registri mostrano che l’utente “ubuntu” ha effettuato l’accesso alle 04:32:15 ed eseguito il comando rm -rf */command. Tuttavia, non hai visibilità su quale dei tuoi tecnici abbia effettivamente eseguito il comando, perché stava utilizzando un account ruolo condiviso!
Un altro esempio:
Tutti i tuoi Account Reps accedono al CRM (Customer Relationship Manager) in hosting come “vendor-name@mystartup.com” perché è molto più economico avere un solo account e consente una maggiore trasparenza all'interno del team. Tuttavia, non puoi vedere chi ha fatto cosa, solo che è stato fatto.
Questi sono solo potenziali problemi amministrativi e di responsabilità. Il vero pericolo derivante dall'uso improprio degli account di ruolo è l'indebolimento della sicurezza.
Quando utilizzi questi tipi di account di ruolo condivisi, le credenziali devono essere ruotate ogni volta che qualcuno lascia il team e le nuove credenziali devono essere ridistribuite a tutti coloro che necessitano dell'accesso. Si tratta di un processo manuale che richiede molto lavoro ed è soggetto a errori.
Errori comuni
Sebbene tu possa mitigare i problemi degli account di ruolo condivisi adottando buone pratiche e utilizzando asset univoci per accedere all'account di ruolo, in definitiva stai ancora offuscando le identità. Configurare gli account “ec2-user” e “Administrator” per usare chiavi o certificati univoci che concedono un accesso individuale agli account di ruolo è meglio, ma resta comunque solo una soluzione parziale.
Avere fiducia nei tuoi dipendenti e colleghi è una parte importante di qualsiasi sistema di sicurezza. Tuttavia, ogni volta che aggiungi qualcuno al team, aggiungi più vettori di attacco alle risorse a cui quella persona ha accesso. Quando usi account di ruolo, tutti questi vettori si concentrano su un unico bersaglio, quindi un attaccante ha ora più modi per attaccare lo stesso insieme di credenziali.
Inoltre, questo limita le tue opzioni di remediation quando un attacco ha successo. Non puoi semplicemente chiudere l'account di ruolo, perché interromperesti l'accesso per l'intero team.
Un altro problema si presenta quando alcuni membri del team lasciano la tua organizzazione. Quando il tuo stagista del reparto vendite conclude il suo periodo e ha ancora accesso all’intero CRM, non significa solo portarsi via la propria rubrica: significa portarsi via la rubrica di tutti. Se il tuo lead engineer lascia il team, ha ancora la chiave privata del tuo account con ruolo utente “ubuntu” sul suo laptop personale. Se quell'ex dipendente va a lavorare per un concorrente, può mantenere un accesso continuo alla tua infrastruttura senza essere rilevato.
Il modo giusto di andare avanti
Fortunatamente, tutti questi problemi possono essere risolti assegnando identità specifiche a ogni persona che accede ai tuoi strumenti. I tuoi log diventeranno più chiari e la tua capacità di sapere chi ha e chi non ha accesso ai sistemi sarà ben definita.
Concedere e revocare i privilegi diventa un'operazione semplice e facilmente verificabile. In più, il tuo CEO e il team di sicurezza possono dormire sonni più tranquilli sapendo che nessuno al di fuori dell’azienda sta seminando il caos nei tuoi sistemi.
Tradizionalmente, avresti avuto bisogno di un’identità univoca su ogni sistema che volevi usare per evitare l’uso di account di ruolo. Di conseguenza, ogni host a cui volevi accedere e ogni fornitore a cui volevi collegarti richiedeva account unici per ogni dipendente. Tuttavia, questo non fa che aggiungere complessità al flusso di onboarding/offboarding e può essere facilmente dimenticato.
È qui che le soluzioni di gestione delle identità vengono in soccorso. Avendo una fonte di identità centrale con cui tutti gli altri sistemi possono integrarsi, puoi concedere o revocare le autorizzazioni con un clic. Con protocolli come OAuth e SAML combinati con strumenti come LDAP e AD, puoi ottenere un'identità completa su più piattaforme. Puoi realizzarlo da solo oppure utilizzare soluzioni fornite dal vendor e far emergere il talento delle persone del tuo team dando a tutti la propria identità.
In Foxpass, ti aiutiamo a mantenere la sicurezza e le migliori pratiche operative rendendo semplice gestire account utente separati. Automatizziamo persino la creazione e l'eliminazione degli account sincronizzandoci con il tuo provider di identità (come Google, Office365, Okta, OneLogin o Bitium). Offriamo anche funzionalità di accesso temporaneo che revocano automaticamente l'accesso dopo un periodo di tempo prestabilito. Inoltre, i nostri server ospitati nel cloud ti liberano dalla gestione di un server LDAP o RADIUS fai-da-te.
Vuoi provare di persona la facilità e l'efficienza di Foxpass? Cosa stai aspettando? Inizia oggi una prova gratuita di 30 giorni:
