Sophos semplifica e centralizza la gestione degli account AWS utilizzando il Centro identità AWS IAM
2021
Sophos, la società di sicurezza informatica nativa del cloud che fornisce protezione, monitoraggio e risposta alle minacce 24 ore su 24, 7 giorni su 7, in ambienti cloud ibridi, stava crescendo rapidamente grazie ad Amazon Web Services (AWS). Il passo successivo del suo percorso è stato semplificare l'onboarding e centralizzare la gestione degli account. In passato, Sophos utilizzava la federazione delle identità sulla base di ogni singolo account per concedere l'accesso ad AWS. Ciò ha consentito a Sophos di gestire l'accesso agli account AWS con semplicità e sicurezza, ma l'azienda desiderava un modo ancora più semplice e scalabile per gestire l'accesso su un numero crescente di account AWS. Allo stesso tempo, Sophos doveva mantenere un controllo degli accessi dettagliato sulla configurazione dei nuovi account AWS, sui ruoli di gestione delle identità e degli accessi, sulle autorizzazioni e sulle credenziali utente temporanee.
Per semplificare e centralizzare la gestione degli account AWS e ottenere opzioni più flessibili per l'assegnazione di ruoli e autorizzazioni agli utenti, Sophos ha implementato Centro identità AWS IAM (in sostituzione di AWS Single Sign-On). Centro identità IAM è un servizio che semplifica la gestione centralizzata dell'accesso a più account AWS e applicazioni aziendali. Invece di impostare la federazione delle identità per ogni account, Sophos l'ha impostata una sola volta attraverso Centro identità IAM per gestire l'accesso su più account AWS, il che ha notevolmente semplificato il processo di onboarding di nuovi account e l'assegnazione di ruoli separati con privilegi limitati. Ora che è in grado di gestire l'accesso agli account in modo centralizzato dalla console o dall'interfaccia a riga di comando di Centro identità IAM, Sophos non deve più affidarsi a estensioni di terze parti per assegnare credenziali temporanee agli sviluppatori. "Il nostro personale è davvero soddisfatto dell'aspetto e dalla funzionalità di Centro identità IAM", afferma Guy Davies, Principal Cloud Architect presso Sophos. "Inoltre, i tempi di creazione degli account sono diminuiti, perché ora la maggior parte del processo è automatizzata".
Non abbiamo ricevuto alcun feedback negativo su Centro identità IAM. Per un cambiamento che riguarda il flusso di lavoro quotidiano di circa 1.500 persone, è un fatto senza precedenti".
Creazione di una migliore esperienza di gestione degli account AWS
Sophos è nata nel 1985 e oggi i suoi prodotti contribuiscono a proteggere più di quattrocentomila organizzazioni e oltre cento milioni di utenti in più di 150 Paesi dalle minacce informatiche avanzate. Prima di Centro identità IAM, Sophos utilizzava la federazione delle identità sulla base di ogni singolo account per gestire in sicurezza i suoi 250 account AWS, a cui accedono 1.500 utenti interni. Il processo di onboarding, gestione e modifica dei suoi account AWS richiedeva molto tempo, nonché il contributo dei team IT e di sviluppo del cloud. Sophos era alla ricerca di modi per accelerare ulteriormente il dimensionamento con l'agilità di cui aveva bisogno.
Sophos utilizzava già alcuni servizi AWS, tra cui AWS Organizations, il servizio che aiuta le aziende a gestire e governare centralmente gli ambienti AWS mentre effettuano il dimensionamento delle risorse AWS. Inoltre, l'azienda stava cercando di centralizzare la gestione degli account AWS e di evitare passaggi aggiuntivi durante l'onboarding di nuovi account e la modifica delle autorizzazioni dei ruoli. Sophos dispone di oltre cinquecento gruppi Azure Active Directory che utilizza per controllare l'accesso agli account. Quindi, nel 2019, quando Centro identità IAM ha iniziato a supportare la specifica System for Cross-domain Identity Management, Sophos ha trovato la soluzione per semplificare l'onboarding degli account e la gestione degli accessi su larga scala. Ora può sincronizzare i suoi gruppi Azure Active Directory esistenti in AWS. "Abbiamo le competenze per creare una soluzione da soli, ma abbiamo anche 1.500 persone esperte in AWS", afferma Davies. "Iniziare nell'ambiente AWS, per noi, semplifica la creazione di cose interessanti".
Transizione ottimale a Centro identità AWS IAM
Sophos voleva continuare a utilizzare i suoi provider di servizi di identità esistenti, tra cui Azure Active Directory, un servizio di identità aziendale, nonché i dispositivi di autenticazione hardware Jira e YubiKey. Questi strumenti di gestione delle identità e Centro identità IAM interagiscono perfettamente, consentendo un'autenticazione a più fattori sicura. Dopo aver eseguito un proof of concept e aver ricevuto un feedback interno positivo, Sophos ha proceduto alla transizione verso Centro identità IAM. La configurazione è stata completata in un paio di settimane, entro settembre 2020, e nella prima settimana di ottobre l'azienda ha chiesto ai suoi 1.500 utenti interni di effettuare il passaggio entro la fine del mese. Sophos ha registrato una rapida adozione iniziale seguita da una transizione più lenta da parte di alcuni utenti, ma le reazioni sono state universalmente positive. "Non abbiamo ricevuto alcun feedback negativo su Centro identità IAM", afferma Davies. "Per un cambiamento che riguarda il flusso di lavoro quotidiano di circa 1.500 persone, è un fatto senza precedenti".
La transizione a Centro identità IAM ha notevolmente semplificato tutti gli aspetti della gestione degli account AWS per il team di Sophos, riducendo il tempo necessario per l'onboarding di nuovi account AWS da più giorni a meno di uno e consentendo la revoca praticamente istantanea dell'accesso all'account AWS con l'andare e venire degli appaltatori. In passato, per revocare l'accesso di un utente era necessario esaminare tutti i singoli gruppi Azure Active Directory che controllano l'accesso ai singoli account per revocare completamente l'accesso a ciascun account, quindi attendere la sincronizzazione di Azure Active Directory. L'operazione poteva richiedere fino a un'ora. Dopo aver creato due gruppi Azure Active Directory, uno contenente tutti i singoli utenti che concede l'accesso alla console Centro identità IAM e l'altro che si sincronizza attraverso System for Cross-domain Identity Management e concede l'accesso agli account e alle autorizzazioni AWS, Sophos ora può semplicemente estrarre un utente dal gruppo Centro identità IAM e l'accesso viene revocato immediatamente, senza dover attendere la sincronizzazione. Nel complesso, gli sviluppatori hanno risparmiato centinaia di ore sulla creazione di account AWS e non hanno più bisogno del team informatico per eseguire l'onboarding degli account AWS. Ciò ha portato a una riduzione dei costi delle risorse e ha consentito a Sophos di effettuare il dimensionamento con maggiore agilità.
Utilizzando Centro identità IAM, Sophos ha, inoltre, riscontrato un importante vantaggio in termini di sicurezza: ora fornisce ai propri utenti la possibilità di creare credenziali temporanee per accedere alle risorse AWS. Sophos non deve ruotare le credenziali o revocarle quando non sono più necessarie. Centro identità IAM consente, inoltre, agli amministratori degli account di modificare le autorizzazioni da una posizione centrale, offrendo loro la flessibilità necessaria per modificare rapidamente le autorizzazioni dei ruoli. "Ora disponiamo di maggiore granularità per le autorizzazioni che assegniamo, perché creiamo tutti i set di autorizzazioni che vogliamo senza problemi", spiega Davies. "Possiamo restringere l'accesso che le persone hanno ai loro account AWS, il che riduce la superficie di attacco".
Innovazione più rapida grazie all'automazione
Per Sophos, l'implementazione di Centro identità IAM ha portato a una gestione degli account AWS molto più rapida e semplificata, così gli sviluppatori dedicano meno tempo ad aspettare gli altri team e più tempo a concentrarsi su entusiasmanti innovazioni. Sophos prevede, inoltre, di utilizzare le API di Centro identità IAM per sviluppare una maggiore automazione e accelerare ulteriormente i processi di onboarding e accesso degli account AWS in futuro. Ad esempio, ha in programma di automatizzare un metodo per il provisioning dell'accesso all'account, utile se qualcuno effettua una richiesta dopo il normale orario lavorativo.
"Questo è ciò che cerchiamo di realizzare per avere un approccio più granulare e dinamico alla gestione dei privilegi per i nostri account AWS", afferma Davies. "È tutto possibilissimo con Centro identità IAM".
Informazioni su Sophos
Sophos offre protezione, monitoraggio e risposta alle minacce 24 ore su 24, 7 giorni su 7, per bloccare le minacce informatiche rivolte agli ambienti cloud ibridi. La soluzione di sicurezza Sophos Central, realizzata utilizzando AWS, protegge più di quattrocentomila organizzazioni in oltre 150 Paesi.
Vantaggi di AWS
- Gestione degli accessi agli account AWS semplificata e centralizzata
- Soddisfazione degli utenti raggiunta senza feedback negativi
- Riduzione del tempo necessario per l'onboarding di nuovi account AWS da più giorni a meno di uno
- Può revocare l'accesso all'account AWS praticamente istantaneamente anziché in 40 minuti
- Sicurezza migliorata e profilo di rischio ridotto
- Connessione e provisioning automatico degli utenti da parte di fornitori di servizi di identità basati su standard
- Raggiungimento di una scalabilità più rapida e semplice
- Riduzione dei costi delle risorse informatiche
Servizi AWS utilizzati
Centro identità AWS IAM
Centro identità AWS IAM (in sostituzione di AWS Single Sign-On) crea o collega in modo sicuro le identità della forza lavoro e gestisce l'accesso a livello centralizzato su più account e applicazioni AWS.
AWS Organizations
AWS Organizations permette di gestire e amministrare a livello centrale l'ambiente durante la crescita e il dimensionamento delle risorse AWS.
Inizia
Le aziende di tutte le taglie e di tutti i settori stanno trasformando ogni giorno la propria attività grazie ad AWS. Contatta i nostri esperti e inizia subito il tuo viaggio in AWS Cloud.