Le soluzioni di gestione delle identità e degli accessi (IAM) proteggono i dati aziendali anche quando i dipendenti non vengono in ufficio.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
In un ambiente di lavoro locale, i team IT aziendali interni di solito hanno il controllo sulla sicurezza della rete e sui dispositivi utilizzati per accedere a tale rete. Inoltre, i team addetti alla sicurezza materiale hanno il controllo su chi è autorizzato a entrare nella struttura o può accedere all'infrastruttura interna.
Tuttavia, con la crescita dell'utilizzo del cloud computing, le forze lavoro distribuite sono sempre più comuni. Il cloud è indipendente dalla posizione, poiché si accede tramite Internet anziché tramite una rete interna. Se un'azienda utilizza il cloud, i suoi team possono lavorare ovunque. Anche il "lavoro da casa" è sempre più un'opzione, persino per le aziende che non sono passate al cloud. Molte aziende consentono ai propri dipendenti di accedere da remoto ai propri desktop, tramite Internet oppure tramite una VPN.
Il lavoro da remoto spesso aiuta le aziende a rimanere più efficienti e agili, ma può anche introdurre diverse sfide per la protezione dei dati interni sensibili. Alcune delle principali problematiche sono:
I dispositivi endpoint dei dipendenti potrebbero essere vulnerabili. L'IT non può occuparsi direttamente della manutenzione di laptop, PC desktop e altri dispositivi endpoint utilizzati dai lavoratori da remoto. In molti casi, questi potrebbero essere i dispositivi personali dei lavoratori.
L'accesso ai dati dipende dalla verifica dell'identità, che gli aggressori possono falsificare utilizzando diversi attacchi di acquisizione dell'account. Gli attacchi di phishing, gli attacchi di sottrazione e uso illecito delle credenziali e gli attacchi di forza bruta sono fin troppo comuni e tutti possono compromettere l'account di un dipendente.
I dati possono passare su reti non protette. L'utilizzo di Internet comporta il rischio che gli aggressori intercettino i dati in transito mentre passano attraverso le diverse connessioni di rete. Questo rischio aumenta quando i dipendenti remoti utilizzano reti Wi-Fi non protette o vulnerabili; ad esempio, se un worker remoto utilizza il proprio laptop di lavoro da una caffetteria che offre Wi-Fi gratuito oppure se la rete Wi-Fi domestica ha una password debole.
| Problematica legata alla sicurezza | Descrizione del rischio | Soluzione/mitigazione |
| Vulnerabilità dei dispositivi degli endpoint | L'IT non può occuparsi direttamente della manutenzione dei laptop e dei dispositivi utilizzati dai lavoratori in remoto | Protezione degli endpoint, anti-malware, Browser Isolation remoto |
| Verifica dell'identità | Phishing, sottrazione e uso illecito delle credenziali, attacchi di forza bruta | Autenticazione a più fattori (MFA, Multi-Factor Authentication) |
| Reti non protette | I dati transitano su reti Wi-Fi pubbliche, con il rischio di intercettazione | SWG per bloccare i siti dannosi e crittografare il traffico |
| Gestione degli accessi | Le molteplici applicazioni SaaS creano una proliferazione incontrollata e politiche di sicurezza incoerenti | Single Sign-On (SSO) |
| Limitazioni di sicurezza VPN | I modelli di sicurezza "castello e fossato" sono vulnerabili | Zero Trust Network Access (ZTNA) |
Diverse tecnologie di gestione di identità e accessi (IAM) possono contribuire a mitigare tali rischi e a proteggere i team remoti, tutelando nel contempo i dati aziendali sensibili.
Secure Web Gateway: i Secure Web Gateway si posizionano tra i dipendenti interni e Internet non protetto Filtrano i contenuti rischiosi dal traffico Web per bloccare le minacce informatiche e prevenire la perdita di dati; ad esempio, possono impedire ai dipendenti di visitare siti Web HTTP non crittografati che inviano dati sul Web in chiaro Inoltre bloccano il comportamento degli utenti rischioso o non autorizzato. I gateway Web sicuri proteggono i dipendenti che lavorano sia in locale che da remoto.
I gateway Web sicuri utilizzano il filtro DNS o il filtraggio URL per bloccare i siti Web dannosi, la protezione anti-malware per prevenire la compromissione degli endpoint, la prevenzione della perdita di dati per rilevare le fughe di dati e altre forme di prevenzione delle minacce. Cloudflare Gateway, ad esempio, utilizza l'isolamento del browser per proteggere gli endpoint dei dipendenti da codice JavaScript dannoso.
Controllo degli accessi: le soluzioni di controllo degli accessi tracciano e gestiscono l'accesso degli utenti a sistemi e dati, contribuendo a prevenire la fuga di dati. L'implementazione di una soluzione di controllo degli accessi garantisce che i dipendenti non abbiano eccessivo accesso ai sistemi aziendali e che nessuna parte non autorizzata abbia accesso a tali sistemi.
Single sign-on (SSO): i lavoratori remoti spesso si affidano alle applicazioni SaaS anziché alle applicazioni installate localmente sui propri dispositivi e accedono a queste applicazioni tramite un browser. Tuttavia, l'accesso separato a ciascuna di queste applicazioni incentiva i dipendenti a utilizzare password più deboli e rende più complessa la gestione dell'accesso utente per il reparto IT. SSO consente ai dipendenti di accedere a tutte le loro applicazioni SaaS contemporaneamente da un'unica schermata di accesso. Questo semplifica l'applicazione delle regole relative alle password, poiché è necessario applicarle in un'unica posizione, e consente al reparto IT di aggiungere o rimuovere l'accesso alle applicazioni da un unico punto, in base alle esigenze.
Autenticazione a più fattori (MFA): una forte autenticazione utente è essenziale per una politica di sicurezza del lavoro da remoto, poiché l'identità di un dipendente non può essere verificata dalla sua presenza fisica in ufficio. Anche le password più complesse possono essere compromesse, ma l'MFA riduce il rischio di compromissione dell'account anche se un utente malintenzionato riesce a ottenere la password di un dipendente. Richiedendo almeno un'ulteriore forma di autenticazione oltre a una password, l'MFA garantisce che, per ottenere il controllo dell'account di un utente, un malintenzionato debba comprometterlo in almeno due modi diversi anziché uno. Questo passaggio aggiuntivo rende molto meno probabile che si verifichino attacchi.
Ad esempio, se l'account e-mail aziendale di Bob richiede l'inserimento sia di una password che di un codice da un portachiavi elettronico per accedere, un aggressore dovrebbe rubare digitalmente la password di Bob e fisicamente il suo portachiavi per compromettere il suo account. Un attacco riuscito di questa natura non è probabile.
Cloudflare Zero Trust è una piattaforma creata per proteggere i team remoti. Pone la rete edge globale di Cloudflare davanti alle applicazioni interne, anche alle applicazioni In locale. Cloudflare Zero Trust consente alle aziende di implementare la sicurezza Zero Trust per proteggere i propri dati e garantire che nessun utente abbia accesso non autorizzato.
Cloudflare Gateway fa anche parte della suite di prodotti Cloudflare Zero Trust. Cloudflare Gateway offre visibilità sul traffico Internet, filtra i siti Web rischiosi o vietati tramite il filtro DNS e utilizza il Browser Isolation remoto per proteggere dal codice dannoso eseguito nel browser. Sia Cloudflare Gateway che Cloudflare Zero Trust sono soluzioni di sicurezza di rete create per fare tutto questo senza compromettere le prestazioni.
Quando i dipendenti lavorano da remoto, i loro dispositivi potrebbero essere vulnerabili, poiché i team IT non possono gestirli direttamente. Inoltre, la verifica dell'identità dell'utente diventa più difficile, aprendo la porta a vari attacchi di acquisizione dell'account come phishing e sottrazione e uso illecito delle credenziali. Anche la trasmissione di dati su reti non protette rappresenta un rischio, soprattutto se i dipendenti utilizzano reti Wi-Fi pubbliche o password di rete domestica deboli.
Le organizzazioni possono mitigare questi rischi implementando tecnologie di gestione di identità e accessi (IAM). Questi includono gateway Web sicuri, soluzioni di controllo degli accessi, funzionalità di Single Sign-On (SSO) e autenticazione a più fattori (MFA).
Un gateway Web sicuro funge da intermediario tra i dipendenti e Internet, filtrando i contenuti dannosi dal traffico Web per prevenire minacce informatiche e violazione dei dati. Può anche impedire ai dipendenti di adottare comportamenti rischiosi online. Questi gateway proteggono sia i lavoratori In locale che quelli remoti tramite tecniche quali il filtro DNS (Domain Name System), il filtro URL, la protezione anti-malware e la prevenzione della perdita di dati.
Un'autenticazione utente avanzata è fondamentale per il lavoro da remoto, perché la presenza fisica in ufficio non può verificare l'identità di un dipendente. Anche se un utente malintenzionato dovesse ottenere la password di un dipendente, l'MFA riduce significativamente il rischio di compromissione dell'account, richiedendo un ulteriore metodo di verifica e rendendo gli attacchi molto meno efficaci.
SSO semplifica l'accesso per i lavoratori da remoto che utilizzano frequentemente diverse applicazioni basate su cloud. Invece di ricordare più password, i dipendenti possono accedere a tutte le loro applicazioni da un'unica schermata. Questo semplifica l'applicazione dei criteri password per l'IT e consente una gestione più semplice dell'accesso alle applicazioni.
La piattaforma Zero Trust di Cloudflare è progettata per proteggere i team remoti estendendo la rete edge globale di Cloudflare alle applicazioni interne, incluse quelle ospitate in locale. Ciò consente alle aziende di adottare un modello di sicurezza Zero Trust, garantendo che nessun utente, indipendentemente dalla posizione, abbia accesso non autorizzato ai dati sensibili.
Cloudflare Gateway è una parte integrante della suite di prodotti Zero Trust di Cloudflare. Offre visibilità sul traffico Internet, blocca i siti Web pericolosi o vietati tramite il filtro DNS e utilizza la tecnologia di Browser Isolation remoto per proteggere i dispositivi dei dipendenti dal codice dannoso presente nei browser Web. Queste funzionalità sono fornite senza compromettere le prestazioni.