Identity-based security · una presentazione YoctoIT

HashiCorp Vault

Segreti, certificati e cifratura gestiti da un’unica piattaforma, con la sicurezza basata sull’identità: per persone, macchine e agenti AI.

ORA UNA SOCIETÀ IBM Sinergia nativa con IBM Concert, QRadar, Terraform, IBM Z e Power
Luglio 2026 · Materiale di presentazione YoctoIT per clienti e partner
01 · Il contesto

I segreti sono ovunque. E si vede.

Password, chiavi API, token e certificati si moltiplicano con cloud, automazione e agenti AI. Finiscono nel codice, nelle pipeline, nei fogli condivisi: ogni copia è una porta aperta.

4,4 mln $
il costo medio globale di una violazione di dati (fonte IBM, Cost of a Data Breach 2025)
97%
delle organizzazioni colpite da incidenti legati all’AI non aveva controlli di accesso AI adeguati (fonte IBM, 2025)
47 giorni
la durata massima dei certificati TLS pubblici entro il 2029 (CA/Browser Forum)

Dove vivono oggi i segreti?

Codice sorgente e repository
Pipeline CI/CD e automazioni
Variabili d’ambiente e file di configurazione
Fogli, wiki e ticket
Chat di team e note personali
02 · La piattaforma

Una sola identità, una sola cassaforte

Vault autentica ogni persona, macchina, servizio o agente AI e decide cosa può leggere, per quanto tempo e con quali policy. Tutto tracciato, tutto revocabile.

Centralizza

un solo punto per custodire e distribuire segreti a persone, macchine e agenti AI

Automatizza

creazione, consumo, scadenza e rotazione dei segreti con un’unica API

Controlla

policy granulari e audit trail completo di ogni accesso

Autenticazione basata su identitàLDAP e Active Directory · OIDC · Kubernetes · cloud IAM
Vault corepolicy engine · audit trail completo · una API per tutto
KV
Database
PKI
Transit
Secret engine: i motori che emettono e gestiscono segreti statici, dinamici, certificati e cifratura
03 · Segreti dinamici

La credenziale migliore scade da sola

Invece di password fisse condivise e mai ruotate, Vault emette credenziali effimere, dedicate e a tempo: per database, cloud e servizi.

STEP 1

Richiesta

L’applicazione si presenta con la sua identità (Kubernetes, cloud IAM, AppRole): niente password nel codice.

STEP 2

Emissione

Vault crea al volo una credenziale dedicata sul database o sul cloud, con permessi minimi.

STEP 3

Vita breve

La credenziale ha un TTL: vale solo per il tempo necessario al lavoro da fare.

STEP 4

Revoca

Alla scadenza si revoca da sola. In caso di incidente, revoca immediata e centralizzata.

Novità Vault 2.0: con la Workload Identity Federation anche Vault dialoga con AWS, Azure e Google Cloud senza credenziali statiche (fonte HashiCorp)
04 · PKI e certificati

Certificati che si rinnovano da soli

Emissione on demand

la secret engine PKI emette, rinnova e revoca certificati via API, anche con protocollo ACME

Rotazione automatica

il rinnovo diventa un workflow, non una scadenza segnata sul calendario

Integrazione IBM Concert

discovery dei certificati in scadenza e rinnovo orchestrato end-to-end, con Vault come motore

La corsa al ribasso delle durate

Oggi · fino a 398 giorni
2026 · 200 giorni
2027 · 100 giorni
2029 · 47 giorni

Durata massima dei certificati TLS pubblici (CA/Browser Forum)

Rinnovare a mano non sarà più un’opzione: serve una PKI automatizzata.

05 · Cifratura

Le chiavi non escono mai dalla cassaforte

Encryption as a service

le applicazioni chiamano la secret engine transit per cifrare e decifrare: le chiavi restano in Vault

Key management centralizzato

generazione, rotazione e versioning delle chiavi, anche verso i servizi KMS dei cloud

HSM e requisiti enterprise

integrazione con HSM e controlli avanzati nell’edizione Enterprise, per gli ambienti regolati

Applicazione

invia il dato da proteggere: non vede e non custodisce alcuna chiave

Vault · transit engine

cifra e decifra via API, con chiavi versionate e ruotabili

Dato protetto

su database, storage e backup viaggia e riposa solo il dato cifrato

06 · Vault Radar

Trova i segreti prima che li trovi qualcun altro

Vault Radar scansiona repository di codice e strumenti di collaborazione alla ricerca di credenziali esposte o non gestite, e le riporta sotto controllo.

Scopre

analizza repository, wiki e chat: ogni segreto in chiaro viene individuato e censito

Prioritizza

classifica i finding per rischio e contesto: prima ciò che è davvero esposto

Rimedia

il segreto entra in Vault, viene ruotato e sparisce dai posti in cui non doveva stare

Il segreto più pericoloso è quello che non sai di avere.

07 · Enterprise e deployment

Pronto per il data center

Capacità enterprise

  • Replica per disaster recovery e performance tra data center
  • Namespace multi-tenant per team e ambienti separati
  • Integrazione HSM e controlli per ambienti regolati
  • Disponibile anche su IBM Z e LinuxONE (fonte IBM)

Community

open source, per partire e imparare la piattaforma

Enterprise self-managed

nel tuo data center o cloud privato, con replica, namespace e HSM

HCP Vault Dedicated

gestito sulla HashiCorp Cloud Platform: cluster dedicato, gestione delegata

Qualunque forma scegli, l’API e le policy restano le stesse: si cambia taglia, non piattaforma.

08 · Vault e IBM

Vault 2.0: la prima major dell’era IBM

Le novità della release 2.0

  • Ciclo di vita IBM: almeno 2 anni di supporto standard per ogni major release
  • Workload Identity Federation verso AWS, Azure e Google Cloud
  • Automazione estesa del ciclo di vita dei certificati nella PKI engine
  • SCIM 2.0 (beta) e identità workload SPIFFE

Fonti: HashiCorp e IBM, 2026

IBM Concert

discovery e rinnovo dei certificati orchestrati con Vault come motore nativo

IBM QRadar SIEM

content pack dedicato per il monitoraggio di sicurezza di Vault

Terraform e Ansible

segreti dinamici e rotazione dentro i workflow di provisioning

IBM Z e Power

la cassaforte accanto ai sistemi dove girano i dati che contano

09 · Casi d’uso

Quattro problemi veri, una sola risposta

Database senza password fisse

credenziali dinamiche e a tempo per ogni applicazione: l’utenza condivisa e mai ruotata va in pensione

Certificati che si rinnovano da soli

PKI automatizzata e integrazione IBM Concert: mai più servizi fermi per un certificato scaduto

Pipeline e repository puliti

via i segreti da codice e CI/CD: Vault Radar li scova, Vault li custodisce e li ruota

Cifratura per le applicazioni

encryption as a service per dati sensibili e requisiti GDPR, senza gestire chiavi nelle app

Dal primo caso d’uso in poi, Vault diventa un’abitudine: ogni nuovo servizio nasce già senza segreti in giro.

10 · YoctoIT

Il centro di competenza IBM di Var Group

YoctoIT è una società del gruppo Var Group, divisione servizi. Mettiamo in sicurezza segreti e certificati là dove girano i sistemi che gestiamo ogni giorno: dal Power al cloud.

60+
certificazioni IBM del team
200+
certificazioni attive su 16 vendor
H24
NOC attivo 7 giorni su 7, 365 giorni l’anno
99,9%
SLA rispettati
3.543
host monitorati dal nostro NOC
100+
clienti attivi, 200+ progetti in 3 anni

Qualità certificata: ISO 9001:2015 · ISO 27001:2022 · ISO/IEC 27017 e 27018 · IBM Fusion Certified Partner

“L’IT che non si ferma”

11 · Come partiamo

Dall’assessment alla gestione H24

01

Assessment

Dove vivono oggi i tuoi segreti: codice, pipeline, fogli. Quick win immediati con Vault Radar.

02

Architettura e deploy

Vault in alta affidabilità, on-premises o cloud: auth methods, policy e audit configurati a regola.

03

Onboarding delle app

Secret engine, rotazione, PKI e cifratura applicati ai tuoi casi reali, uno alla volta.

04

Gestione H24

Patch, upgrade, audit e monitoraggio nei Managed Services YoctoIT: la cassaforte non dorme mai.

Si parte piccoli e si cresce: il primo caso d’uso in produzione vale più di qualunque roadmap.