Google Cloud Secret Manager

Molte applicazioni, spiega Google Cloud, richiedono elementi da mantenere riservati, quali credenziali per connettersi a un database, API Key per richiamare un servizio o certificati per l'autenticazione.

La gestione e la protezione dell'accesso a questi segreti è spesso complicata dalla proliferazione di tali dati, dalla scarsa visibilità o dalla mancanza di integrazione.

È per risolvere queste problematiche che la società di Mountain View ha lanciato Secret Manager, un nuovo servizio Google Cloud che fornisce un metodo sicuro e conveniente per archiviare API Key, password, certificati e altri dati sensibili da mantenere segreti.

Secret Manager offre una posizione centrale e una single source of truth (SSOT, unica fonte di verità) per gestire, accedere e controllare i “segreti” su Google Cloud.

Un “secret”, un segreto, non è solo un dato (nel nostro caso considerato dal punto di vista informatico) da mantenere riservato e nascosto: nell’architettura del nuovo servizio Secret Manager di Google Cloud è un oggetto globale del progetto che contiene una raccolta di metadati, che possono includere informazioni quali etichette e autorizzazioni, e dati segreti effettivi, come una API Key o delle credenziali.

I secret sono dunque risorse project-global, tuttavia, spiega ancora Google Cloud, mentre i nomi dei segreti sono globali, i dati segreti sono regionali.

Alcune imprese, sottolinea infatti la società di Mountain View, desiderano il pieno controllo su dove sono archiviati i loro dati segreti, mentre altre non hanno preferenze.

Secret Manager affronta entrambi questi requisiti e preferenze del cliente con le replication policy, con cui la replica può essere automatica o gestita dall’utente, in quanto alla selezione delle location (la replica dei dati è comunque gestita da Google, l’utente non ha bisogno di strumenti addizionali).

Secret Manager fornisce poi funzionalità avanzate di versioning: i dati segreti sono immutabili e la maggior parte delle operazioni avviene su secret versions.

Inoltre, il servizio funziona secondo il principio del privilegio minimo: solo gli owner di progetti dispongono delle autorizzazioni per accedere ai segreti; agli altri ruoli devono essere esplicitamente concesse le autorizzazioni tramite Cloud IAM.

Con Cloud Audit Logging abilitato, ogni interazione con Secret Manager genera un’audit entry. È possibile inserire questi registri nei sistemi di rilevamento delle anomalie per individuare pattern di accesso anomali e allertare su possibili violazioni della sicurezza.

Nel servizio Secret Manager, i dati vengono cifrati in transito con TLS e inattivi con chiavi di crittografia AES-256-bit. Inoltre, il supporto per le customer-managed encryption keys (CMEK) è in arrivo, informa Google Cloud.

È inoltre possibile abilitare l'accesso context-aware a Secret Manager da ambienti ibridi con i Controlli di servizio VPC.

La versione beta di Secret Manager è ora disponibile per tutti i clienti di Google Cloud. Tutte le informazioni necessarie sono disponibili nella documentazione del servizio.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome