L’aumento delle architetture cloud-native, l’adozione di applicazioni automatizzate e la diffusione di workload dinamici hanno portato a una proliferazione di identità non umane, la cui gestione è una sfida importante, come ha spiegato di recente Massimo Carlotti di CyberArk in una interessante intervista con SecurityOpenLab. Per supportare i team di security in questo difficile compito, CyberArk ha annunciato Secure Workload Access, che si propone di offrire una protezione estesa e unificata a copertura dell’intero ciclo di vita delle identità macchina, dalla loro creazione fino alla governance, alla rotazione e al rinnovo automatico delle credenziali.

Un elemento centrale della soluzione è rappresentato dal CyberArk Workload Identity Manager, un sistema leggero, distribuito e progettato specificamente per ambienti cloud-native, capace di superare i limiti delle tradizionali infrastrutture PKI, che spesso non riescono a scalare in presenza di workload effimeri tipici del cloud. Workload Identity Manager si integra con CyberArk Secrets Manager, così da assicurare una gestione sicura e centralizzata dei secret, delle chiavi API, dei token di accesso e di altre credenziali necessarie per l’autenticazione dei workload in ambienti cloud-native e containerizzati.

Secure Workload Access introduce inoltre funzionalità avanzate di discovery e contestualizzazione del rischio che permettono ai team di security di generare un inventario dettagliato di secret, certificati e informazioni sull’ambiente operativo. L’obiettivo è valutare il rischio di compromissione associato a ciascuna identità macchina e stabilire le priorità di intervento per la mitigazione. Così facendo, le organizzazioni possono individuare rapidamente le identità non protette e adottare misure per eliminare potenziali vulnerabilità prima che vengano sfruttate.

La soluzione si distingue anche per la capacità di identificare automaticamente i workload in esecuzione negli ambienti virtualizzati, facilitando così l’accesso sicuro ai servizi cloud e agli ambienti dei principali provider. Viene garantita la protezione di workload dinamici e cloud-native, come quelli basati su Kubernetes e service mesh, che rappresentano oggi una parte significativa delle infrastrutture IT moderne. L’utilizzo di identità SPIFFE2, uniche e universali, permette di connettere in modo sicuro carichi di lavoro on-premise e cloud attraverso diversi ambienti, integrandosi con applicazioni, servizi cloud e piattaforme SaaS già in uso.

Un ultimo aspetto rilevante è l’integrazione trasparente della gestione dei secret, che consente l’autenticazione tramite chiavi API, token di accesso e altre credenziali, così da ridurre il rischio di esposizione accidentale delle informazioni sensibili. La piattaforma offre poi strumenti per individuare e valutare i rischi associati a tutti i carichi di lavoro, semplificando la detection delle minacce, l’applicazione delle policy di sicurezza e la prevenzione di accessi non autorizzati.

Secure Workload Access è ora disponibile in modalità di early availability per una selezione di clienti. L’obiettivo è di estendere progressivamente l’accesso a un pubblico più ampio.