Protezione dei laptop aziendali, stile del 21° secolo

Di GlobalSign | Tecnologia | Giugno 2, 2023

4 minuti di lettura

Protezione dei laptop aziendali, stile del 21° secolo
Panoramica dell'IA

Dopo la separazione da thyssenkrupp nel 2020, TK Elevator ha ricostruito la sicurezza dei propri dispositivi adottando certificati IoT di breve durata basati su cloud per migliaia di laptop e altri endpoint. Utilizzando la PKI di GlobalSign e la gestione dei certificati ATLAS, TKE ha implementato l'emissione, la rotazione e la sostituzione automatizzate dei certificati di autenticazione delle macchine su dispositivi appartenenti e non appartenenti al dominio, su diversi sistemi operativi e client Windows 10 gestiti da Microsoft Intune. I cicli di vita brevi hanno ridotto la superficie di attacco e migliorato la sicurezza delle chiavi, mentre l'integrazione con un cloud privato certificato ISO e la gestione delle chiavi compatibile con HSM hanno consentito l'archiviazione e la distribuzione sicure. Questo approccio combinato ha garantito il riconoscimento dei dispositivi sulle reti aziendali, ha impedito accessi non autorizzati e ha gettato le basi per ulteriori progetti IoT industriali.

I certificati IoT basati su cloud e di breve durata sono stati fondamentali per la soluzione di TKE. 

inviato da GlobalSign

Ogni azienda ha bisogno di proteggere i propri dispositivi. Ma quando quell'impresa viene scorporata da una società globale molto grande, avrà alcune specifiche uniche. Questo è stato il caso di TK Elevator (TKE) con sede a Essen, in Germania, nel 2021. Dopo la separazione dal gruppo thyssenkrupp nell'agosto 2020, TKE non era più sotto l'egida di un'enorme organizzazione e della sua infrastruttura tecnologica. Di conseguenza, l'azienda, ancora formidabile con oltre 50,000 dipendenti in tutto il mondo, ha dovuto reinventare il proprio approccio alla tecnologia. 

Tra i molti progetti che il team IT dell'azienda voleva intraprendere c'era quello di proteggere migliaia di laptop, che l'azienda chiama Digital Workspace Devices (DWD). Fin dall'inizio, TKE sapeva che una parte importante della soluzione per i DWD sicuri sarebbe stata quella di sfruttare i certificati digitali. In questo caso, l'azienda cercava la capacità di emettere e gestire certificati di autenticazione della macchina per dispositivi aggiunti e non aggiunti al dominio. La soluzione doveva inoltre essere eseguita su diversi sistemi operativi e tipi di dispositivi mobili e doveva essere basata sul cloud. Una volta determinati i fattori critici per il progetto, TKE ha deciso di trovare i fornitori di tecnologia giusti per realizzare la sua visione. 

Identità dispositivo IoT per laptop

Man mano che l'Internet of Things (IoT) continua ad espandersi, la tecnologia viene utilizzata in molti modi. Prendi i laptop, per esempio. Questi dispositivi abilitati a Internet, come qualsiasi altro dispositivo oggi, devono essere protetti, soprattutto per le aziende globali con migliaia di dipendenti. Questo è il motivo per cui, nel caso di TKE, è stato stabilito che i certificati IoT consegnati ai dispositivi degli utenti come laptop e hardware sarebbero stati la soluzione migliore per il progetto. Questa è la definizione stessa di IoT aziendale. 

La protezione dell'hardware implica diverse forme di comunicazione attraverso l'infrastruttura interna di TKE. Un fattore è l'implementazione, ma la protezione dell'hardware include anche le linee di produzione e la crittografia all'interno di una tipica infrastruttura IT. Avere tutto allineato stabilisce una buona comunicazione tecnica nel mezzo. Pertanto, incorporare un meccanismo di autenticazione era un elemento importante, come un laptop che si connette a una rete Wi-Fi aziendale. Un altro fattore che abbiamo considerato è che i laptop devono essere riconosciuti all'interno di una rete locale. Faceva parte del ruolo di GlobalSign rassicurare TKE che i dispositivi dei suoi utenti venivano riconosciuti per garantire che nessun altro dispositivo esterno potesse accedere alla loro rete, prevenendo un incidente grave come una violazione dei dati.

Certificati a breve termine

I certificati digitali si basano sulla tecnologia Public Key Infrastructure (PKI). A causa delle crescenti preoccupazioni per gli attacchi informatici, il ciclo di vita si accorcia continuamente. Ciò è attribuito alle convinzioni della comunità di sicurezza secondo cui, in determinati contesti, la durata dei certificati a breve termine riduce la possibilità di un attacco. Quando le soluzioni di un'azienda sono completamente nel cloud, questo è particolarmente vero. Ciò è dovuto alla convinzione diffusa che l'utilizzo di certificati a breve termine dovrebbe dare a un'azienda la certezza di essere blindata contro un attacco in uno scenario di utilizzo dell'IoT aziendale e cloud. Inoltre, quando si parla di identità delle risorse utente per dispositivi che vanno da laptop e dispositivi mobili a workstation, PDA (personal digital assistant) e terminali POS, cambiare frequentemente le chiavi significa anche una migliore igiene della sicurezza. 

Per TKE, è stato stabilito che i certificati con un ciclo di vita piuttosto breve sarebbero l'opzione migliore e più sicura. Il sistema interno di gestione dei certificati di GlobalSign, ATLAS, fornisce all'azienda la flessibilità necessaria per disporre di un ciclo di vita dei certificati con una validità che va da minuti fino a 397 giorni, che può essere facilmente gestita all'interno della piattaforma ATLAS. La piattaforma consente anche ai clienti di modificare i propri certificati in qualsiasi momento. Ad esempio, GlobalSign ha offerto a TKE la possibilità di far scadere i certificati: entro ore, pochi giorni, poche settimane o anche diversi mesi.

Riteniamo che sia un grande vantaggio disporre di un sistema di gestione dei certificati che non solo avvisi istantaneamente, ma sostituisca un certificato scaduto con uno nuovo. L'utilizzo di una combinazione di certificati a vita breve o lunga è un'ottima strategia di sicurezza in quanto fornisce una sana rotazione delle chiavi. La rotazione del certificato assicura che il numero di serie o l'hash non possano essere attaccati. 

Passa al cloud 

Oltre agli aspetti dell'IoT e del ciclo di vita breve, l'implementazione per TKE incorporava anche altre caratteristiche uniche, tra cui lo spostamento di database e directory aziendali completamente nel cloud tramite un integratore. Ciò è stato possibile grazie a una partnership tecnologica di lunga data con GlobalSign che consente a clienti come TKE di usufruire di un ambiente cloud privato, ma sicuro. Grazie all'integrazione con questo fornitore di servizi di gestione delle chiavi cloud, i clienti possono estrarre i certificati da un fornitore affidabile. 

Secondo l'account manager di GlobalSign, Jerker Svensson:

“TKE aveva bisogno di una soluzione per l'autenticazione della macchina che funzionasse con Microsoft Intune e dispositivi mobili che utilizzano Windows 10. Doveva anche essere basata sul cloud. Inoltre, desideravano distribuire, emettere e gestire i certificati di autenticazione della macchina per i dispositivi aggiunti al dominio e non. A causa dell'eterogeneità degli endpoint, cercavano una soluzione in grado di funzionare su molti sistemi operativi e tipi di dispositivi mobili diversi".

TKE ha cercato un fornitore di servizi PKI europeo accreditato e rinomato e l'ha trovato GlobalSign. GlobalSign ha anche offerto a TKE un cloud privato sicuro certificato ISO compatibile con i servizi del modulo di sicurezza hardware. Inoltre, TKE ha cercato un certificato, un software di gestione delle chiavi e un agente endpoint per automatizzare le richieste, nonché la consegna e l'installazione dei certificati su ciascun endpoint. 

Svensson ha osservato: 

"GlobalSign è stato in grado di offrire loro una soluzione integrata che ha soddisfatto tutte le loro esigenze, oltre a consentire loro di soddisfare i requisiti del progetto utilizzando un'autorità di certificazione privata ospitata e certificati IoT".

Questo progetto di successo ha creato una forte relazione e ha aperto la strada a un altro progetto IoT industriale.  

azioni