{"id":55114,"date":"2019-12-12T21:06:43","date_gmt":"2019-12-12T20:06:43","guid":{"rendered":"https:\/\/www.alground.com\/site\/?p=55114"},"modified":"2020-03-25T11:34:08","modified_gmt":"2020-03-25T10:34:08","slug":"5-modi-proteggere-cloud-azienda","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/5-modi-proteggere-cloud-azienda\/55114\/","title":{"rendered":"5 modi per proteggere il cloud della tua azienda"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f7366080547\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f7366080547\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/5-modi-proteggere-cloud-azienda\/55114\/#1_Equilibrare_la_protezione_con_facilita_di_accesso\" >1. Equilibrare la protezione con facilit\u00e0 di accesso\u00a0<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/5-modi-proteggere-cloud-azienda\/55114\/#2_Autenticare_gli_utenti_giusti\" >2. Autenticare gli utenti giusti\u00a0<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/5-modi-proteggere-cloud-azienda\/55114\/#3_Mantenere_il_controllo_con_unefficace_gestione_del_traffico\" >3. Mantenere il controllo con un&#8217;efficace gestione del traffico<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/5-modi-proteggere-cloud-azienda\/55114\/#4_Generare_approfondimenti_tramite_analisi_e_monitoraggio\" >4. Generare approfondimenti tramite analisi e monitoraggio<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/alground.com\/site\/5-modi-proteggere-cloud-azienda\/55114\/#5_Non_dimenticare_le_basi\" >5. Non dimenticare le basi<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/alground.com\/site\/5-modi-proteggere-cloud-azienda\/55114\/#Andando_avanti\" >Andando avanti<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n\n<p>Il software moderno vive sempre pi\u00f9 online, utilizzando interfacce di programmazione dell&#8217;applicazione o API, per importare ed esporre dati, rimanere aggiornati e in generale lavorare in modo pi\u00f9 efficace. Le API sono grandi acceleratori di attivit\u00e0 con migliaia di usi, dal disegno di un file di ricette per un sito Web di cucina, al collegamento di un sistema di pagamento sicuro a un rivenditore online, all&#8217;aggiunta di funzionalit\u00e0 all&#8217;infrastruttura IT esistente.<\/p>\n\n\n\n<p>Man mano che crescono in popolarit\u00e0, tuttavia, si spostano anche nel mirino dei cattivi attori, diventando un nuovo obiettivo per le minacce alla sicurezza. <\/p>\n\n\n\n<p>Non \u00e8 un problema quando sono gestiti e configurati correttamente (in realt\u00e0, sono una parte importante di un solido livello di sicurezza aziendale). Il problema \u00e8 proprio che quasi tutte le aziende ora devono vivere online, utilizzando le API esistenti all&#8217;interno e all&#8217;esterno del firewall aziendale. Ci\u00f2 significa che i vecchi tempi di mettere un perimetro sicuro attorno alle risorse IT sono finiti. Agire come se non lo fossero \u00e8 la vera minaccia. <\/p>\n\n\n\n<p>In che modo le organizzazioni possono utilizzare moderne tecniche di sviluppo basate su API per alimentare le proprie attivit\u00e0 mantenendo al sicuro l&#8217;ambiente?\u00a0Passando da un modello perimetrale di rete a qualcosa che applica sicurezza e protezione in ogni punto di interazione.\u00a0Ecco cinque importanti tecniche per aiutare. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"1_Equilibrare_la_protezione_con_facilita_di_accesso\"><\/span>1. Equilibrare la protezione con facilit\u00e0 di accesso\u00a0<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>La migliore sicurezza \u00e8 bloccare tutto senza dare alcun accesso. Tuttavia, affinch\u00e9 le API forniscano valore aziendale, devono accedere a informazioni e funzionalit\u00e0 utili, come i dati dei clienti, le informazioni di inventario e le applicazioni legacy. Ci\u00f2 significa che ogni API \u00e8 un potenziale punto di accesso che deve essere protetto.<\/p>\n\n\n\n<p><strong>Il trucco \u00e8 mantenere le API sicure lasciando che le persone che costruiscono esperienze digitali con loro si muovano il pi\u00f9 rapidamente possibile<\/strong>, evitando politiche pesanti e un accesso altamente restrittivo che possa far deragliare l&#8217;innovazione.<\/p>\n\n\n\n<p>La risposta sono gli strumenti di gestione delle API, che possono mediare l&#8217;accesso alle API, monitorarne l&#8217;utilizzo e automatizzare l&#8217;iscrizione, l&#8217;onboarding, l&#8217;autenticazione e l&#8217;istruzione degli sviluppatori. Tuttavia, \u00e8 ancora troppo comune per le aziende applicare queste precauzioni solo ad alcune delle loro API. Ci\u00f2 pu\u00f2 essere dovuto a una serie di motivi, tra cui la governance irregolare delle API, le scorciatoie adottate per raggiungere scadenze di sprint aggressive, la convinzione che le API su misura non destinate al riutilizzo non richiedano la gestione o una combinazione di molti altri scenari possibili. Sebbene comprensibile, \u00e8 come mettere delle serrature su alcune finestre, lasciando le porte spalancate. <strong>Tutte le API dovrebbero essere protette, il che significa che tutte le API dovrebbero essere gestite. <\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"2_Autenticare_gli_utenti_giusti\"><\/span>2. Autenticare gli utenti giusti\u00a0<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Le API adeguatamente protette dovrebbero fornire l&#8217;autenticazione sia per gli utenti finali che per le applicazioni. Lo standard aperto di fatto per la sicurezza API, chiamato OAuth, consente l&#8217;autenticazione e l&#8217;autorizzazione basate su token. Ci\u00f2 consente agli utenti finali e alle applicazioni di ottenere il giusto livello di accesso a una risorsa protetta senza richiedere all&#8217;utente di rivelare le proprie credenziali di accesso. OAuth consente a un client che effettua una chiamata API di scambiare alcune credenziali per un token, il che consente al client di accedere all&#8217;API.<\/p>\n\n\n\n<p>OAuth utilizza un token che identifica in modo univoco una singola applicazione o utente su un singolo dispositivo, mantenendo segrete le password. I token hanno portata; sono un meccanismo per limitare l&#8217;accesso di un&#8217;applicazione all&#8217;account di un utente. \u00c8 molto meglio che usare una password con ampio accesso. Inoltre, l&#8217;ambito e la durata del token stesso possono essere facilmente limitati. \u00c8 un&#8217;ottima soluzione, ma per essere sicuri, i team API devono avere familiarit\u00e0 con le capacit\u00e0 di OAuth e le migliori pratiche di autenticazione correnti. <\/p>\n\n\n\n<p>Il monitoraggio delle API e altre funzionalit\u00e0 di gestione aiutano anche a proteggere le API. Ad esempio, alcune aziende applicano funzionalit\u00e0 come il controllo degli accessi in base al ruolo (RBAC), che assegna diversi livelli di accesso API e privilegi in base ai tipi di utenti integrati.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"3_Mantenere_il_controllo_con_unefficace_gestione_del_traffico\"><\/span>3. Mantenere il controllo con un&#8217;efficace gestione del traffico<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Qualsiasi API potrebbe essere soggetta ad un attacco di brute force in qualsiasi momento. I cattivi potrebbero utilizzare un software automatizzato per generare un gran numero di ipotesi consecutive nel tentativo di ottenere l&#8217;accesso ai dati protetti o mettere a dura prova i back-end invocando le API a un throughput oltre a quello per cui sono state distribuite. Tali attacchi sono probabilmente inevitabili per le imprese digitali di successo: in un certo senso, sono i costi per fare affari. Pertanto, i team API dovrebbero sempre considerare l&#8217;utilizzo di limiti e quote per ulteriore sicurezza API. <\/p>\n\n\n\n<p>Quando si verificano questi attacchi, i limiti di accesso e le quote ti aiutano a mantenere il controllo delle risorse digitali della tua organizzazione e proteggere le esperienze e la privacy dei tuoi clienti. <strong>Le piattaforme di gestione API che supportano i limiti di velocit\u00e0 consentono ai team API di stabilire soglie<\/strong> alle quali vengono attivati \u200b\u200bgli spike arresti, contribuendo a evitare che i back-end vengano colpiti da attivit\u00e0 impreviste. Ad esempio, un team API potrebbe stabilire che nessuno dovrebbe chiamare un&#8217;API pi\u00f9 di 500 volte al secondo o che a un&#8217;applicazione \u00e8 assegnato solo un determinato numero di chiamate API al giorno. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"4_Generare_approfondimenti_tramite_analisi_e_monitoraggio\"><\/span>4. Generare approfondimenti tramite analisi e monitoraggio<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Le esperienze connesse uniscono risorse digitali che potrebbero essere effettivamente distribuite in una vasta gamma di aree geografiche, cloud pubblici e privati \u200b\u200be provider di API. Un obiettivo di un&#8217;efficace gestione e sicurezza delle API \u00e8 controllare questa architettura distribuita in modo unificato.<\/p>\n\n\n\n<p>L&#8217;integrit\u00e0 di un programma API si basa spesso su effettivi handoff tra team di sicurezza e operativi. Se le capacit\u00e0 di reporting non possono essere chiaramente dimostrate quando una situazione richiede una squadra rispetto all&#8217;altra, pu\u00f2 essere difficile facilitare un&#8217;efficace collaborazione di sicurezza.<\/p>\n\n\n\n<p>Ci\u00f2 rende importante valutare non solo se una piattaforma di gestione API fornisce funzionalit\u00e0 di monitoraggio e analisi, ma anche se l&#8217;integrazione di queste funzionalit\u00e0 acceleri effettivamente le soluzioni ai problemi aziendali. <\/p>\n\n\n\n<p>A livello di funzionalit\u00e0, <strong>ci\u00f2 significa che report e dashboard efficaci dovrebbero fornire informazioni a colpo d&#8217;occhio<\/strong>, nonch\u00e9 la possibilit\u00e0 di eseguire il drill down per dettagli pi\u00f9 dettagliati. Dovrebbe essere semplice vedere i cambiamenti nel traffico, anche di giorno in giorno, di settimana in settimana e cos\u00ec via; visualizzare gli schemi nei periodi di tempo scelti; accedere alle informazioni sulla gestione dei cambiamenti e sui dati di governance; e visualizzare i dati di configurazione dei criteri su base per API e per proxy. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"5_Non_dimenticare_le_basi\"><\/span>5. Non dimenticare le basi<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Proprio come nei giorni di sicurezza del firewall, condurre codice e revisioni della sicurezza aumenta la probabilit\u00e0 di trovare vulnerabilit\u00e0 prima che colpiscano i clienti.&nbsp;Aiuta anche a garantire che i difetti di sicurezza prodotti in una parte di un programma API siano documentati e non vengano ripetuti altrove.&nbsp;<\/p>\n\n\n\n<p>I professionisti IT dovrebbero anche essere consapevoli del fatto che molti utili utenti API hanno riscontrato molti problemi di sicurezza.&nbsp;Un&#8217;altra best practice, quindi, \u00e8 quella di&nbsp;<strong>stabilire canali per gli utenti per segnalare problemi, disporre di un programma per sviluppare correzioni e portarle in produzione e verificare con la persona che ha presentato il bug per confermare che il problema \u00e8 stato veramente risolto.<\/strong><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Andando_avanti\"><\/span>Andando avanti<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Nel mondo complesso di oggi, i perimetri di rete non contengono pi\u00f9 tutte le esperienze e le interazioni che guidano il business.&nbsp;Per tenere conto di questo cambiamento fondamentale, le aziende dovrebbero considerare ogni API come un potenziale punto di leva aziendale e un possibile punto di vulnerabilit\u00e0.&nbsp;Fatto bene, un&#8217;azienda pu\u00f2 diventare ancora pi\u00f9 sicura di quanto non fosse quando si nascondeva dietro un firewall e sperava nel meglio.&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il software moderno vive sempre pi\u00f9 online, utilizzando interfacce di programmazione dell&#8217;applicazione o API, per importare ed esporre dati, rimanere aggiornati e in generale lavorare in modo pi\u00f9 efficace. Le API sono grandi acceleratori di attivit\u00e0 con migliaia di usi, dal disegno di un file di ricette per un sito Web di cucina, al collegamento [&hellip;]<\/p>\n","protected":false},"author":11,"featured_media":51583,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387,1916],"tags":[],"class_list":{"0":"post-55114","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"category-how-to","9":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/05\/Antivirus-firewall-sicurezza-informatica.jpg","wps_subtitle":"Le Api devono essere utilizzate secondo criteri specifici e sicuri, ecco dei consigli per renderle pi\u00f9 sicure","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/55114","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=55114"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/55114\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/51583"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=55114"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=55114"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=55114"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}