Sophos semplifica e centralizza la gestione degli account AWS utilizzando il Centro identità AWS IAM

Sophos, la società di sicurezza informatica nativa del cloud che fornisce protezione, monitoraggio e risposta alle minacce 24 ore su 24, 7 giorni su 7, in ambienti cloud ibridi, stava crescendo rapidamente grazie ad Amazon Web Services (AWS). Il passo successivo del suo percorso è stato semplificare l'onboarding e centralizzare la gestione degli account. In passato, Sophos utilizzava la federazione delle identità sulla base di ogni singolo account per concedere l'accesso ad AWS. Ciò ha consentito a Sophos di gestire l'accesso agli account AWS con semplicità e sicurezza, ma l'azienda desiderava un modo ancora più semplice e scalabile per gestire l'accesso su un numero crescente di account AWS. Allo stesso tempo, Sophos doveva mantenere un controllo degli accessi dettagliato sulla configurazione dei nuovi account AWS, sui ruoli di gestione delle identità e degli accessi, sulle autorizzazioni e sulle credenziali utente temporanee.

Per semplificare e centralizzare la gestione degli account AWS e ottenere opzioni più flessibili per l'assegnazione di ruoli e autorizzazioni agli utenti, Sophos ha implementato Centro identità AWS IAM (in sostituzione di AWS Single Sign-On). Centro identità IAM è un servizio che semplifica la gestione centralizzata dell'accesso a più account AWS e applicazioni aziendali. Invece di impostare la federazione delle identità per ogni account, Sophos l'ha impostata una sola volta attraverso Centro identità IAM per gestire l'accesso su più account AWS, il che ha notevolmente semplificato il processo di onboarding di nuovi account e l'assegnazione di ruoli separati con privilegi limitati. Ora che è in grado di gestire l'accesso agli account in modo centralizzato dalla console o dall'interfaccia a riga di comando di Centro identità IAM, Sophos non deve più affidarsi a estensioni di terze parti per assegnare credenziali temporanee agli sviluppatori. "Il nostro personale è davvero soddisfatto dell'aspetto e dalla funzionalità di Centro identità IAM", afferma Guy Davies, Principal Cloud Architect presso Sophos. "Inoltre, i tempi di creazione degli account sono diminuiti, perché ora la maggior parte del processo è automatizzata".

Sophos è nata nel 1985 e oggi i suoi prodotti contribuiscono a proteggere più di quattrocentomila organizzazioni e oltre cento milioni di utenti in più di 150 Paesi dalle minacce informatiche avanzate. Prima di Centro identità IAM, Sophos utilizzava la federazione delle identità sulla base di ogni singolo account per gestire in sicurezza i suoi 250 account AWS, a cui accedono 1.500 utenti interni. Il processo di onboarding, gestione e modifica dei suoi account AWS richiedeva molto tempo, nonché il contributo dei team IT e di sviluppo del cloud. Sophos era alla ricerca di modi per accelerare ulteriormente il dimensionamento con l'agilità di cui aveva bisogno.

Sophos utilizzava già alcuni servizi AWS, tra cui AWS Organizations, il servizio che aiuta le aziende a gestire e governare centralmente gli ambienti AWS mentre effettuano il dimensionamento delle risorse AWS. Inoltre, l'azienda stava cercando di centralizzare la gestione degli account AWS e di evitare passaggi aggiuntivi durante l'onboarding di nuovi account e la modifica delle autorizzazioni dei ruoli. Sophos dispone di oltre cinquecento gruppi Azure Active Directory che utilizza per controllare l'accesso agli account. Quindi, nel 2019, quando Centro identità IAM ha iniziato a supportare la specifica System for Cross-domain Identity Management, Sophos ha trovato la soluzione per semplificare l'onboarding degli account e la gestione degli accessi su larga scala. Ora può sincronizzare i suoi gruppi Azure Active Directory esistenti in AWS. "Abbiamo le competenze per creare una soluzione da soli, ma abbiamo anche 1.500 persone esperte in AWS", afferma Davies. "Iniziare nell'ambiente AWS, per noi, semplifica la creazione di cose interessanti".

Sophos voleva continuare a utilizzare i suoi provider di servizi di identità esistenti, tra cui Azure Active Directory, un servizio di identità aziendale, nonché i dispositivi di autenticazione hardware Jira e YubiKey. Questi strumenti di gestione delle identità e Centro identità IAM interagiscono perfettamente, consentendo un'autenticazione a più fattori sicura. Dopo aver eseguito un proof of concept e aver ricevuto un feedback interno positivo, Sophos ha proceduto alla transizione verso Centro identità IAM. La configurazione è stata completata in un paio di settimane, entro settembre 2020, e nella prima settimana di ottobre l'azienda ha chiesto ai suoi 1.500 utenti interni di effettuare il passaggio entro la fine del mese. Sophos ha registrato una rapida adozione iniziale seguita da una transizione più lenta da parte di alcuni utenti, ma le reazioni sono state universalmente positive. "Non abbiamo ricevuto alcun feedback negativo su Centro identità IAM", afferma Davies. "Per un cambiamento che riguarda il flusso di lavoro quotidiano di circa 1.500 persone, è un fatto senza precedenti".

La transizione a Centro identità IAM ha notevolmente semplificato tutti gli aspetti della gestione degli account AWS per il team di Sophos, riducendo il tempo necessario per l'onboarding di nuovi account AWS da più giorni a meno di uno e consentendo la revoca praticamente istantanea dell'accesso all'account AWS con l'andare e venire degli appaltatori. In passato, per revocare l'accesso di un utente era necessario esaminare tutti i singoli gruppi Azure Active Directory che controllano l'accesso ai singoli account per revocare completamente l'accesso a ciascun account, quindi attendere la sincronizzazione di Azure Active Directory. L'operazione poteva richiedere fino a un'ora. Dopo aver creato due gruppi Azure Active Directory, uno contenente tutti i singoli utenti che concede l'accesso alla console Centro identità IAM e l'altro che si sincronizza attraverso System for Cross-domain Identity Management e concede l'accesso agli account e alle autorizzazioni AWS, Sophos ora può semplicemente estrarre un utente dal gruppo Centro identità IAM e l'accesso viene revocato immediatamente, senza dover attendere la sincronizzazione. Nel complesso, gli sviluppatori hanno risparmiato centinaia di ore sulla creazione di account AWS e non hanno più bisogno del team informatico per eseguire l'onboarding degli account AWS. Ciò ha portato a una riduzione dei costi delle risorse e ha consentito a Sophos di effettuare il dimensionamento con maggiore agilità.

Utilizzando Centro identità IAM, Sophos ha, inoltre, riscontrato un importante vantaggio in termini di sicurezza: ora fornisce ai propri utenti la possibilità di creare credenziali temporanee per accedere alle risorse AWS. Sophos non deve ruotare le credenziali o revocarle quando non sono più necessarie. Centro identità IAM consente, inoltre, agli amministratori degli account di modificare le autorizzazioni da una posizione centrale, offrendo loro la flessibilità necessaria per modificare rapidamente le autorizzazioni dei ruoli. "Ora disponiamo di maggiore granularità per le autorizzazioni che assegniamo, perché creiamo tutti i set di autorizzazioni che vogliamo senza problemi", spiega Davies. "Possiamo restringere l'accesso che le persone hanno ai loro account AWS, il che riduce la superficie di attacco".

Per Sophos, l'implementazione di Centro identità IAM ha portato a una gestione degli account AWS molto più rapida e semplificata, così gli sviluppatori dedicano meno tempo ad aspettare gli altri team e più tempo a concentrarsi su entusiasmanti innovazioni. Sophos prevede, inoltre, di utilizzare le API di Centro identità IAM per sviluppare una maggiore automazione e accelerare ulteriormente i processi di onboarding e accesso degli account AWS in futuro. Ad esempio, ha in programma di automatizzare un metodo per il provisioning dell'accesso all'account, utile se qualcuno effettua una richiesta dopo il normale orario lavorativo.

"Questo è ciò che cerchiamo di realizzare per avere un approccio più granulare e dinamico alla gestione dei privilegi per i nostri account AWS", afferma Davies. "È tutto possibilissimo con Centro identità IAM".