• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
Glue Labs

Glue Labs

Trasformiamo le tue idee in prodotti digitali di successo!

  • HOME
  • SOLUZIONI
  • NEWS
  • PRODOTTI
  • CONTATTI
  • CASE STUDY
  • Cookie Policy (UE)

Il modello Zero Trust applicato allo sviluppo software

User Acceptance Test(UAT), Analisi statica e dinamica, fuzzing e DevSecOps tra gli elementi da considerare

In un precedente articolo ( “I 5 principi del modello Zero Trust“) abbiamo illustrato cos’è il modello Zero Trust e quali sono le sue componenti principali, in questo invece vogliamo affrontare il modello Zero Trust dal punto di vista dello sviluppatore software.

Come si applica il modello Zero Trust al software

Il modello Zero Trust, nell’ambito dello sviluppo, sposta la responsabilità di garantire la sicurezza dal classico perimetro di rete all’applicazione software. L’applicazione stessa deve avere la capacità di effettuare l’enforcement e la validazione di policy di sicurezza, anche molto granulari, inoltre di assicurarsi che ogni utente possa accedere solo alle informazioni per le quali è autorizzato.

In pratica, in un ambiente Zero Trust, lo sviluppatore software non può cavarsela solo implementando un meccanismo di autenticazione ed autorizzazione demandando a Firewall, Intrusion Prevention System(IPS)/Intrusion Detection System(IDS), Web Application Firewall(WAF), ecc.. la sicurezza dell’applicazione ma deve essere pienamente consapevole che la sicurezza va garantita lungo tutte le fasi dell’interazione dell’utente con il software.

Contattaci subito e senza impegno per garantire la sicurezza della tua applicazione.

Le funzionalità dell’applicazione in un ambiente Zero Trust

Quando vuoi realizzare un’applicazione aderente al modello Zero Trust devi:

  • valutare completamente il contesto di ogni sessione e determinarne i rischi;
  • definire quali siano i fattori critici che ti permettono la verifica di tipo “zero trust” come per es. l’identificazione dell’utente, lo stato del dispositivo mentre effettua la richiesta, la componente applicativa utilizzata ed i dati richiesti;
  • assicurare che ogni richiesta,anche se sembra affidabile e proveniente da dispositivi ritenuti affidabili, venga passata al setaccio e verificata rispetto alle policy di sicurezza;
  • implementare ogni possibile misura di sicurezza aggiuntiva come per es. il Multi Factor Authentication(MFA), controlli di compliance, Passwordless e behaviour analysis;
  • assicurarti che in qualsiasi fase dell’interazione gli accessi siano garantiti basandosi esclusivamente su una whitelist.

In pratica devi utilizzare un approccio omnicomprensivo alla sicurezza dei dati che prenda in considerazione ogni singolo aspetto, come abbiamo indicato in un precedente articolo ( “Cos’è una misconfiguration, l’impatto nel Cloud e come prevenirla“) anche un account di servizio può essere sfruttato per compiere azioni malevole, pertanto non puoi sottovalutare niente.

Contattaci subito e senza impegno per garantire la sicurezza della tua applicazione.

Implementazione in pratica: l’importanza dei test

Concetti come “Security by Design” e “Security by Default” devono essere un mantra da seguire già dalle prime fasi dello sviluppo, vale a dire a partire dalla progettazione dell’architettura. Metodologie come il DevSecOps possono venirti in aiuto insieme ad un aspetto cruciale molto spesso sottovalutato: il testing!

Per verificare la corretta implementazione delle policy delle sicurezza nella tua applicazione e la sua robustezza ed affidabilità in caso di azioni malevoli devi, almeno, effettuare i seguenti test:

  • Analisi statica del codice sorgente durante tutte le fasi;
  • Analisi dinamica sull’applicazione anche attraverso User Acceptance Test(UAT);
  • Fuzzing e Chaos ( ne abbiamo parlato in ” Come garantire la qualità del software: code review, stress test, fuzzing ed analisi funzionale);
  • Penetration Test volti a verificare misconfiguration e possibilità di bypassare le policy di sicurezza.

A tutto questo dovrai aggiungere, soprattuto per software business critical, Software Composition Analysis(SCA) e Software Bill of Materials(SBOM) per garantirti il controllo su tutto il software di terze parti come librerie, plugin, moduli ed altre componenti che sono comunemente presenti in qualsiasi software moderno.

Contattaci subito e senza impegno per garantire la sicurezza della tua applicazione.

Glue Labs, il modello Zero Trust e la Sicurezza del Software

Siamo Google Cloud Partner ed abbiamo realizzato applicazioni per ambienti critici. Grazie all’esperienza maturata in tantissimi settori, con numerosi Clienti e con un solido gruppo aziendale ti forniamo supporto nel building e delivery di soluzioni di sicurezza Cloud based, nello sviluppo di applicazioni sicure con garanzia 12 mesi da qualsiasi bug e nella protezione dei tuoi dati da qualsiasi tipologia di attacco. Contattaci subito e senza impegno per maggiori informazioni.

Continua la lettura

  1. I 5 principi del modello Zero Trust
  2. I modelli SDLC
  3. Come Google Cloud ti protegge dai ransomware

Categoria: Articoli Tags: chaos engineering, Cloud Armor, devsecops, fuzzing, MFA, Passwordless, Penetration Test, Software Bill of Materials(SBOM), software composition analysis(SCA), sviluppo software, user acceptance test(UAT), Web Application Firewall, Zero Trust

Barra laterale primaria

Cosa facciamo

  • Content Strategy
  • E-Commerce
  • Formazione avanzata Web, Mobile & Cloud
  • IoT – Sviluppo e Integrazione
  • Micro Live Learning(MLL) Web, Mobile & Cloud
  • Project Management Prince2
  • PushAPE
  • Sicurezza ICT
  • Software Aziendali
  • Sviluppo Mobile App
  • Sviluppo, Supporto, Assistenza Tecnica e Hosting Google Cloud
  • System Integration
  • Web Application
  • Web Design

Contatti

Scrivici dal form di contatto

Tel +39 06 56549766
Fax +39 06 21122581
Mail: info@glue-labs.com
Pec: gluelabs@legalmail.it

Dove siamo

Roma: Piazza Don Sturzo 15
Milano: Via Lazzaretto 19
Torino: Via San Domenico 28
Altamura: Via Maggio 1648 24

"*" indica i campi obbligatori

Nome*
Questo sito è protetto da reCAPTCHA e si applicano le Normative sulla Privacy e i Termini di Servizio di Google.
Inviando i tuoi dati accetti le condizioni sulla Privacy. Li useremo per rispondere alle tue domande e richieste.
Consenso*
Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Siamo parte di

La nostra Agenzia di Marketing

Footer

Partnership



Rimaniamo in contatto

Iscriviti alla nostra newsletter

Nome
Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Soluzioni

  • AutoBot: plugin e SaaS per aggiungere l’Intelligenza Artificiale su siti e applicazioni
  • Corso Intelligenza Artificiale per lo sviluppo di software
  • Piani Enterprise di Consulenza Tecnica in ambito Web, Mobile e Cloud
  • Corso Rust Base e Avanzato
  • Integrazione di Passkey di Google nelle Web e Mobile Application
  • Consulenza, assistenza e supporto di Cloud Engineer
  • Sportello virtuale con il sistema Jitsi
  • Time & Material – Web Designer
  • Corso Angular 16
  • Time & Material personale IT

Articoli

  • Come semplificare il ciclo di sviluppo delle Mobile App: la Server-Driven UI
  • Bun: un runtime toolkit all-in-one per JavaScript/TypeScript
  • Come effettuare il backup e la migrazione di Cluster Kubernetes in maniera sicura e affidabile: Velero
  • Duet AI: un collaboratore affidabile per Google Workspace
  • Vertex AI per l’utilizzo tramite API dell’Intelligenza Artificiale di Google
  • Come aumentare l’Alta Affidabilità di un Database senza aggiungere costi operativi
  • Una possibile architettura(economica) di Backup e Disaster Recovery(DR) su Google Cloud
  • Come distribuire dati senza overhead grazie a Vineyard
  • I 6 attacchi più comuni all’Intelligenza Artificiale: la storia del Red Team di Google
  • I 6 vantaggi della Unified Communication as a Service(UCaaS)

Le nostre sedi

  • Roma, Piazza Don Sturzo 15
  • Milano, Via Lazzaretto 19
  • Torino, Via San Domenico 28
  • Altamura, Via Maggio 1648 24

Contatti

  • Tel. +39 06 87811067
  • Fax +39 06 99335373
  • glue-labs@legalmail.it
  • info@glue-labs.com
  • Facebook
  • LinkedIn
  • Twitter

Scarica app da App StoreScarica app da Play Store


Glue Labs © 2011–2023 | Copyright | Privacy Policy | Codice Etico | Company Info | Cookie Policy

Gestisci Consenso
Per fornire le migliori esperienze, utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente a fini statistici anonimi. Senza un mandato di comparizione, il rispetto volontario da parte del tuo provider di servizi Internet o registrazioni aggiuntive da parte di terzi, le informazioni archiviate o recuperate solo per questo scopo non possono essere generalmente utilizzate per identificarti. L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.
Gestisci opzioni Gestisci servizi Gestisci {vendor_count} fornitori Per saperne di più su questi scopi
Visualizza preferenze
{title} {title} {title}