supersqualo
Privacy & Sicurezza

Vault credenziali per tool IA: HashiCorp Vault, Bitwarden, 1Password Teams

Tu hai 15 tool IA in azienda, ognuno con la sua API key, alcune scadono, altre sono nei file .env di vecchi progetti. Disastro. Ti spiego come centralizzare con Vault, Bitwarden Teams, 1Password Business e qual è il giusto per la tua dimensione.

Di Super Squalo·6 min lettura
Nota. Una cosa onesta: tengo aggiornate queste guide come posso, ma l'IA cambia talmente in fretta che alcuni dettagli potrebbero essere superati nel giro di pochi mesi. Se hai bisogno di sapere com'è la situazione adesso, scrivimi.

Giovedì sera, cinque sviluppatori in chat, un'azienda piccola che si è fatta grande. La chiave di OpenAI sta nel file delle variabili di ambiente di un progetto. La chiave di Anthropic l'ha mandata Marco su un messaggio di Slack, martedì scorso. La chiave di Mistral è in un foglio Excel del marketing. Ti chiamano per dirti che un dipendente esce a fine mese: cosa devi revocare? Non lo sai. Quante chiavi hai in giro? Non lo sai nemmeno questo.

Quando arriva un audit, non sai dimostrare la rotazione delle credenziali. Samsung nel 2023 ha avuto un caso famoso di dipendenti che incollavano codice riservato dentro ChatGPT — Bloomberg ne parlò a lungo. Tu sei lontano da Samsung, ma il problema è lo stesso.

Il pasticcio in cui finisci se tieni le chiavi nei file di progetto

Le chiavi committate dentro i file di progetto su Git vengono scansionate in tempo reale. GitHub e GitGuardian le segnalano se va bene, gli attaccanti le usano se va male. Ne abbiamo già visti tanti, di casi.

Aggiungi che condividere chiavi via Slack, mail, WhatsApp lascia comunque traccia nei log dei messaggi. "Cifrato in transito" non vuol dire "cancellato dopo". Resta tutto.

E aggiungi che OpenAI ha pagato 15 milioni al Garante italiano a dicembre 2024 per come gestiva i dati personali con ChatGPT. Se le tue chiavi servono ad accedere a dati di clienti, il giro è lo stesso: non sono cifre da prendere a ridere.

Cosa NON puoi fare

Non puoi continuare a tenere le chiavi nei file delle variabili di ambiente messi su Git. Vanno via di lì subito.

Non puoi condividere chiavi via Slack, mail o WhatsApp. Mai. Anche se cifrato in transito, resta nei log dei messaggi.

Non puoi non ruotare mai le chiavi. Una chiave OpenAI di due anni è in giro chissà dove. Rotazione almeno ogni novanta giorni.

Non puoi dare a tutti l'accesso a tutto. La granularità si fa per progetto, per gruppo, per ruolo. Marco del marketing non deve toccare la chiave produzione di OpenAI.

Non puoi usare lo stesso account amministrativo per accedere alle chiavi e per il lavoro quotidiano. Account diversi, ruoli diversi.

Cosa invece si può fare bene

Hai tre opzioni serie, dipende dalla tua dimensione.

HashiCorp Vault (oppure il fork OpenBao). Self-hosted, gratis nella versione community, fatto per chi ha sviluppatori e processi di rilascio automatico. Genera credenziali al volo che durano un'ora, traccia chi ha letto cosa, si integra coi container e con il sistema di rilascio. Tipico per team con cinque sviluppatori e processi automatizzati.

Bitwarden nella versione team. Quattro o sette dollari per utente al mese, oppure self-hosted gratis con la versione comunitaria. Datacenter europeo a Francoforte. Estensione del browser, app sul telefono, comando da riga di comando. Tipico per studi e PMI tra cinque e cinquanta persone.

1Password Business. Otto-dieci dollari per utente al mese, datacenter europeo in Germania. L'esperienza utente migliore della categoria, perfetta per chi non è tecnico. Si integra con il sistema di accesso unico aziendale. Tipico per chi vuole zero gestione.

Setup pratico in tre passi. Scegli quello giusto. Ci sposti dentro le chiavi che hai già in giro (un pomeriggio di lavoro). Revoca quelle vecchie e ne generi di nuove già dentro lo strumento. Da quel momento le chiavi nascono e muoiono dentro il sistema, mai fuori.

I paletti che non si toccano

Una sola è la regola: una chiave non si copia mai a mano. Si genera dentro lo strumento, si legge dallo strumento al volo quando serve, si revoca dentro lo strumento. Se devi copiare e incollare, qualcosa stai sbagliando.

Datacenter in Europa, sempre. Cifratura forte sui dati a riposo. Tracciamento completo degli accessi. Rotazione documentata.

Centralizzare le chiavi vale come misura di sicurezza adeguata anche per la legge sulla privacy. È il classico controllo che il Garante guarda con favore in caso di ispezione.

Una nota personale

Io di mestiere monto sistemi IA privati per studi e PMI italiane, e una delle prime cose che faccio è mettere ordine nelle credenziali. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si chiacchiera ogni giorno di sicurezza e gestione delle chiavi, e si risponde gratis.

Marco di Slack, intanto, scrivigli. Martedì mattina cominci a spostare le chiavi dentro un sistema serio. Prima del prossimo audit.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza