MyQ X implementa l'architettura Zero Trust come approccio di sicurezza fondamentale che elimina la fiducia implicita e convalida continuamente ogni transazione. Questo framework completo garantisce che nessun utente, dispositivo o connessione di rete sia considerato affidabile per impostazione predefinita, indipendentemente dalla loro posizione o dallo stato di autenticazione precedente.
Principi Zero Trust nella gestione della stampa
L'implementazione Zero Trust di MyQ X si basa sul principio "non fidarti mai, verifica sempre" in tutto il sistema di gestione della stampa. Il sistema richiede una verifica esplicita per ogni richiesta di accesso, garantendo che:
Canali di comunicazione crittografati: tutto il traffico di rete utilizza la crittografia TLS obbligatoria con versione minima 1.2, impedendo l'intercettazione e la manomissione durante la trasmissione dei dati. I certificati HTTPS devono essere configurati e convalidati correttamente per prevenire attacchi man-in-the-middle.
Applicazione di protocolli sicuri: MyQ X blocca il traffico HTTP non crittografato e applica protocolli di sicurezza rigorosi su tutti i canali di comunicazione, comprese le connessioni SMTP, LDAP e SNMP. I protocolli legacy come SNMPv1 sono vietati a favore di SNMPv3 con autenticazione forte.
Controlli di sicurezza API: l'accesso all'API REST richiede token di autenticazione con filtraggio degli indirizzi IP, garantendo che le chiamate API siano autenticate e provengano da fonti affidabili. I segreti dei client vengono sottoposti a rotazione periodica per mantenere l'integrità della sicurezza.
Metodologia "Non fidarti mai, verifica sempre"
La metodologia Zero Trust permea ogni aspetto delle operazioni di MyQ X attraverso meccanismi di verifica continua:
Verifica dell'identità: ogni interazione dell'utente richiede l'autenticazione, indipendentemente dalla posizione di rete o dallo stato di affidabilità del dispositivo. Gli utenti devono autenticarsi su ogni dispositivo di stampa, anche se hanno già effettuato l'accesso altrove nell'organizzazione.
Autenticazione dei dispositivi: i dispositivi di stampa stessi devono autenticarsi prima di accedere alle risorse di rete, con credenziali e certificati univoci che impediscono lo spoofing non autorizzato dei dispositivi.
Gestione delle sessioni: le sessioni degli utenti implementano la funzionalità di timeout e logout automatici, garantendo che le sessioni abbandonate non possano essere sfruttate da persone non autorizzate.
Segmentazione e isolamento della rete
MyQ X implementa una segmentazione completa della rete per limitare le superfici di attacco e contenere potenziali violazioni della sicurezza:
Controlli dei confini di rete: il sistema applica rigide regole firewall che bloccano le porte inutilizzate e limitano l'accesso alla rete solo ai canali di comunicazione necessari. Le configurazioni predefinite disabilitano i servizi e i protocolli non necessari.
Segmentazione basata su certificati: MyQ X supporta tre modalità di gestione dei certificati - Autorità di certificazione integrata, Autorità di certificazione aziendale e Gestione manuale dei certificati - consentendo alle organizzazioni di implementare confini di fiducia appropriati in base alle loro politiche di sicurezza.
Applicazione FQDN: tutte le comunicazioni di rete devono utilizzare nomi di dominio completi (FQDN) anziché indirizzi IP o nomi a etichetta singola, impedendo attacchi man-in-the-middle basati su DNS e garantendo una corretta convalida dei certificati.
Gestione delle porte: il sistema gestisce automaticamente le regole del firewall e fornisce un controllo esplicito sulle porte di rete accessibili, riducendo la superficie di attacco attraverso il blocco sistematico delle porte.
Autenticazione e verifica robuste
MyQ X mantiene una convalida continua della sicurezza attraverso più livelli di autenticazione e monitoraggio in tempo reale:
Autenticazione multimodale: il sistema supporta diversi metodi di autenticazione, tra cui LDAP, Microsoft Entra ID, RADIUS e autenticazione MyQ locale, con funzionalità di failover automatico che garantiscono un controllo continuo degli accessi.
Integrazione del server di autenticazione: l'integrazione sicura con server di autenticazione esterni utilizza connessioni crittografate (TLS per LDAP, protocolli sicuri per RADIUS) e applica segreti condivisi forti specifici per ogni implementazione MyQ.
Monitoraggio degli accessi: la registrazione avanzata degli eventi di autenticazione, in particolare dei tentativi di accesso non riusciti, consente agli amministratori di rilevare e rispondere a potenziali minacce alla sicurezza. I tentativi di autenticazione non riusciti attivano meccanismi di blocco automatico: per impostazione predefinita, i dispositivi vengono bloccati per 5 minuti dopo più di 5 tentativi non validi entro 60 secondi.
Controlli di persistenza della sessione: il sistema implementa politiche di timeout della sessione configurabili e funzionalità di logout automatico, garantendo che le sessioni inattive non possano essere sfruttate.
Verifica dei dispositivi e degli endpoint
MyQ X applica rigorosi protocolli di verifica dei dispositivi per garantire che solo gli endpoint autorizzati possano accedere alle risorse di stampa:
Gestione dei certificati dei dispositivi: tutti i dispositivi collegati devono presentare certificati validi per la comunicazione di rete. Il sistema mantiene un archivio completo di certificati con una corretta convalida della catena e supporta la distribuzione automatica dei certificati tramite Group Policy o Mobile Device Management (MDM).
Controlli di sicurezza degli endpoint: i dispositivi di stampa sono sottoposti a una continua convalida della sicurezza, inclusa l'autenticazione SNMP v3 con password complesse e algoritmi crittografici (SHA1 e AES). Le credenziali della stampante sono gestite tramite protocolli di sicurezza specifici del fornitore con password complesse generate in modo casuale.
Autenticazione dei dispositivi mobili: MyQ X Mobile Client implementa OAuth 2.0 Device Authorization Grant per l'autenticazione sicura dei dispositivi mobili, sostituendo i sistemi legacy basati su PIN con una moderna sicurezza biometrica.
Struttura di sicurezza BYOD: il sistema supporta gli ambienti Bring-Your-Own-Device (BYOD) attraverso la propagazione sicura della stampa tramite AirPrint e Mopria, mantenendo i principi zero-trust anche nelle reti senza visibilità diretta del Print Server.
Gestione dei token di accesso: vengono emessi token di accesso univoci per ogni tipo di dispositivo, con Transport Layer Security (TLS) obbligatorio per tutte le comunicazioni. Il sistema implementa controlli di accesso Just-in-Time (JIT) che regolano dinamicamente i privilegi in base al contesto e alla valutazione continua del rischio.
Questa implementazione completa Zero Trust garantisce che MyQ X mantenga i più elevati standard di sicurezza, supportando al contempo diverse esigenze organizzative e scenari di implementazione. L'architettura fornisce una protezione approfondita che si adatta all'evoluzione delle minacce, mantenendo l'efficienza operativa e l'esperienza utente.