Best Practices for Privileged Identity Management Es

L I B R O B L A N C O

WWW.CENTRIFY.COM

Mejores prácticas para la gestión de identidad privilegiada en empresas modernas

http://www.centrify.com

2 ©2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. WWW.CENTRIFY.COM


ÍndiceIntroducción 4

Tendencias 5

Filtración de datos 5

Big Data 6

La empresa híbrida moderna 7

Mejores prácticas 7

Consolidación de identidades 7

Gestión de sesiones privilegiadas (PSM) 9

Gestión de privilegios para superusuarios (SUPM) 10

Gestión de contraseñas de cuentas compartidas (SAPM) 12

Integración de la solución 14

Conclusión 15

La información de este documento, incluidas las URL y otras referencias de sitios web en Internet, queda sujeta a cambios sin previo aviso. A menos que se indique lo contrario, las compañías, las organizaciones, los productos, los nombres de dominio, las direcciones de correo electrónico, los logotipos, las personas, los lugares y los eventos de ejemplo aquí descritos son ficticios y no se pretende hacer ni debe inferirse asociación alguna con ninguna compañía, organización, producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar ni evento real. Es responsabilidad del usuario cumplir con todas las leyes de derechos de autor pertinentes. Sin limitar los derechos de autor, ninguna parte de este documento puede reproducirse, almacenarse ni incluirse en un sistema de recuperación, ni transmitirse de ninguna manera o por ningún medio (electrónico, mecánico, fotocopia, grabación u otro) con ningún propósito, sin el expreso consentimiento por escrito de Centrify Corporation.

Centrify puede contar con patentes, aplicaciones de patentes, marcas comerciales, derechos de autor u otros derechos de propiedad intelectual que abarquen el asunto principal de este documento. Excepto que se explicite expresamente en un acuerdo de licencia por escrito de Centrify, la información incluida en este documento no le otorga licencia alguna de estas patentes, marcas comerciales, derechos de autor ni otra propiedad intelectual.

© 2015 Centrify Corporation. Todos los derechos reservados.

Centrify, DirectControl y DirectAudit son marcas comerciales registradas, y Centrify Suite, DirectAuthorize, DirectSecure, DirectManage y Privilege Service son marcas comerciales de Centrify Corporation en los Estados Unidos u otros países. Microsoft, Active Directory, Windows, Windows NT y Windows Server son marcas comerciales registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos u otros países.

Los nombres de compañías y productos reales aquí mencionados pueden ser marcas comerciales de sus respectivos dueños.




ResumenLa filtración de datos sigue siendo un problema prioritario para las organizaciones grandes y pequeñas. Existen dos dinámicas clave que dificultan aún más ese tema: la nube y la creciente sofisticación de los atacantes.

En este documento, analizamos la empresa moderna: una organización híbrida con una infraestructura que se extiende por centros de datos en las instalaciones y está alojada en la nube, y una donde las funciones de TI están divididas entre administradores internos y tercerizados. Estudiamos estas tendencias y otras vinculadas que impactan la seguridad de los datos y, específicamente, las mejores prácticas sobre cómo gestionar y regir el acceso de los usuarios privilegiados para mitigar esos riesgos.




Introducción“Estamos sumamente agradecidos de contar con una solución de PIM que otorga a los departamentos de TI, Riegos y Cumplimiento normativo la protección contra filtración de datos y la posibilidad de realizar auditorías que requieren, además de la facilidad de uso que a corporativa de crecimiento comercial continuo en la nube”.

Esa posibilidad de que “al fin puedo dormir profundamente por las noches” es el sueño de todo gerente de alto nivel perteneciente a los departamentos de TI, Riegos y Cumplimiento normativo.

Sin embargo, la triste realidad es que las soluciones actuales de gestión de identidad privilegiada (PIM) siguen siendo increíblemente miopes en cuanto a la evolución del negocio y, especialmente, TI. Su enfoque hacia la seguridad de TI sigue orbitando exclusivamente el centro de datos tradicional: un conjunto de servidores que almacenan gran cantidad de información confidencial de la organización y dispositivos de red que mantienen la infraestructura disponible, todo gestionado en las instalaciones por parte del departamento interno de TI. Cuando necesitan una solución para implementaciones de nube y casos de uso híbridos, su enfoque habitual consiste en adaptar tecnología antigua en las instalaciones aplicándole simplemente el mismo código a un dispositivo virtual y alojándolo en una infraestructura como servicio (IaaS) de nube.

Siguen utilizando diseños que pertenecen a la generación previa de TI e ignoran por completo las miles de cargas de trabajo que migran a la nube a un ritmo cada vez mayor y un nuevo conjunto de dinámicas operativas y comerciales que entran en escena como consecuencia.

En la economía actual, es imposible encontrar una organización de TI SIN presencia en la nube, SIN datos confidenciales que residan allí y SIN cuentas privilegiadas compartidas entre sus administradores. Es una tarea completamente inútil. La empresa moderna es híbrida, y las empresas híbridas necesitan soluciones modernas que las protejan de la creciente sofisticación de los ciberdelincuentes que saben cómo sacarles provecho.

La nube llegó para quedarse: el jurado ya pronunció su veredicto. Se necesita un nuevo abordaje a la PIM, uno adaptado a la empresa moderna. Así como la nube fue vitoreada por su elasticidad (su capacidad de adaptarse a las necesidades cambiantes del negocio), la PIM también debe adaptarse a los desafíos que implica la hibridación de la infraestructura de TI, equipos administrativos compuestos por usuarios internos y externos, y requisitos de acceso local y remoto a recursos en las instalaciones y alojados en la nube.

Este documento describe las mejores prácticas de PIM que tienen en cuenta esta nueva dinámica para la empresa moderna.




TendenciasA nivel macro, las tendencias no se han modificado realmente en los últimos años, pero sí se han acelerado. Nube (*aaS), móvil, Big Data, BYOD: todos están creciendo en cuanto a adopción e inversión. Según el grupo de analistas Gartner, incluso la tecnología relativamente más nueva, Big Data, se encuentra en el proverbial pico de expectativas sobredimensionadas.

El negocio comercial es un imperativo principal. Sigue impulsando cambios enormes y esenciales en la tecnología, el comportamiento de compra y la entrega/el consumo de servicios comerciales. Los proveedores de servicios de aplicaciones, infraestructura y soporte, y servicios de procesos comerciales están reinventándose para satisfacer esas necesidades y garantizar su propio crecimiento sostenible y rentable.

Desde la perspectiva de la seguridad en general, y de la gestión de identidad privilegiada (PIM) en especial, la filtración de datos sigue siendo una cuestión prioritaria. Es una problemática que sigue con una tendencia en alza y adueñándose de los titulares en las noticias, además de ser una de las principales causas del insomnio que sufren los ejecutivos del más alto nivel. A continuación encontrará algunas de las mayores tendencias que afectan los negocios de nuestros clientes y las razones de su importancia desde el punto de vista de la PIM.

Filtración de datosLa PIM es considerablemente más importante en este mundo nuevo e híbrido de recursos y gestión distribuidos. Históricamente, no existen muchas compañías que hayan visto la PIM como un problema “que debe resolverse”. El razonamiento ha sido “siempre y cuando tenga un repositorio para mis contraseñas de raíz y administrador, además de mis contraseñas de cuentas de servicios, estaré bien”. Pero si quita la bandita, encontrará problemas básicos de seguridad, tal como lo demuestran los ataques de violaciones que aprovechan y encuentran cuentas privilegiadas que puedan explotar, que exigen una solución moderna y holística, en lugar de un enfoque aplicable a todos los casos.

El ciberdelito ahora es una actividad delictiva sumamente organizada y profesional; en algunos casos, incluso está patrocinado por los gobiernos. El gobierno de los EE. UU. reconoció su importancia y categorizó el ciberespacio como el quinto terreno de conflicto, detrás de los terrenos tradicionales: tierra, mar, aire y espacio.

Figura 1: Gastos de TI de Gartner: La tercerización de TI se encuentra en alza, y asegurar y auditar el acceso a nuestras cuentas más privilegiadas es una prioridad.

Tabla 1: Gastos de TI por segmento, a nivel mundial, 2012-2018 (en millones de dólares estadounidenses)

TCAC (%)

Tercerización de TI 10 633 12 094 13 838 15 914 18 275 20 985 24 119 14,8




Hasta cierto punto, las organizaciones híbridas modernas están sirviendo de manera no intencional a los intereses de los ciberdelincuentes. Al extender la infraestructura en las instalaciones y la nube, y al tercerizar la gestión y las operaciones a agentes externos, exponen una mayor superficie de ataque y aumentan los riesgos. Verizon, en su Informe anual de investigaciones sobre la filtración de datos, advierte que existe un mayor impacto comercial causado por la filtración de datos que involucra a contratistas externos que aquella que involucra a empleados de la compañía.

Las identidades privilegiadas son claramente el objetivo principal de los ciberdelincuentes profesionales. Cuando uno pone en peligro cuentas de administrador y raíz en un servidor clave, tiene en sus manos las llaves del reino. Se puede explotar fácilmente todo lo que haya en ese servidor, y se puede utilizar el servidor como base desde donde lanzar una campaña más amplia para piratear identidades privilegiadas en toda la red.

Big Data

Las organizaciones están trasladando en forma agresiva sus experimentos de laboratorio de Big Data al área de producción. ¿Qué implica eso en cuanto a riesgos vinculados con la identidad para la organización?

El nivel de escalamiento de computación necesario para una implementación empresarial de Big Data puede rebasar todos los límites. Un simple clúster de laboratorio con 4 o 5 nodos puede transformarse con facilidad en docenas de clústeres con cientos, incluso miles, de nodos necesarios para una producción completa.

Desde la perspectiva de la seguridad, las distribuciones de Hadoop de MapR, Cloudera, HortonWorks y otros tienen por defecto la ausencia de seguridad para la identidad y la autenticación. Habilitar el modo seguro de Hadoop implica configurar una infraestructura de Kerberos para autenticar las distintas cuentas/usuarios comerciales y de servicios en el sistema. Esta no es una tarea menor, y es por eso que la mayoría de las organizaciones optan por posponerla hasta que el laboratorio haya comprobado el concepto. Lógicamente, esto genera una implementación apresurada para una puesta en marcha rápida en producción, que puede tener como resultado un nuevo riesgo significativo para la seguridad del negocio.

El tiempo y esfuerzo necesarios para habilitar un Hadoop seguro es considerable. Dada la complejidad de establecer un dominio de Kerberos, un centro de distribución de claves (KDC), un almacén de identidades, la gestión de archivos de tablas de claves, etc., la fase de producción no es el momento de resolver todo esto.

Para mayor complejidad, los entornos de Hadoop tienen por naturaleza un modelo de seguridad y confianza ligeramente distinto a las infraestructuras de servidor más tradicionales. Los trabajos analíticos se extienden en múltiples nodos para su ejecución. Otros nodos son responsables de mapear y reducir funciones, coordinar y rastrear. Todos se comunican entre sí y deben realizar sus tareas combinadas en nombre del usuario que envía el trabajo. Dado el potencial de información confidencial, es imperativo que se implementen controles de acceso con base en la función apropiados para la gestión, el acceso de analistas y las auditorías.

En cualquier implementación de Big Data, existen desafíos importantes a superar en cuanto a seguridad, riesgo y cumplimiento normativo, especialmente con relación a la identidad. Si saca todo esto de su centro de datos en las instalaciones y lo coloca en la nube, fuera del alcance de sus soluciones tradicionales de PIM e IAM, los riesgos se volverán muy serios.




La empresa híbrida modernaLas organizaciones están migrando las aplicaciones existentes, quitándolas de los equipos anticuados y de bajo rendimiento en las instalaciones para colocarlas en nuevos equipos en Amazon, CenturyLink/Savvis, Azure y otros proveedores de infraestructura como servicio (IaaS). La migración de aplicaciones no es una cuestión tan sencilla como llevar software de un servidor a otro. Existen muchos temas a evaluar, incluidos la seguridad y el acceso privilegiado. Los problemas lucen parecidos a los que hay en las instalaciones, salvo que, en general, no se puede usar la tecnología de PIM en las instalaciones para la nube. Necesita una solución de PIM que también sea híbrida; una solución diseñada para que las implementaciones de TI híbridas sean seguras.

Los administradores de TI privilegiados necesitan acceso a la interfaz de usuario (UI) de gestión de servicios en la nube (por ejemplo, la consola de AWS) tanto para acceder a su infraestructura y sus servidores como para gestionarlos. Sin embargo, esto no se trata únicamente de los administradores. Los servidores están para respaldar las aplicaciones... ¿cómo aseguramos el acceso a las aplicaciones? ¿Quiere contar con inicio de sesión basado en SAML desde su IDP corporativa? ¿Quiere usar los grupos de Active Directory para controlar la función y los permisos que recibe el administrador una vez que inicia sesión en AWS?

También existe una línea entre la seguridad del sistema operativo (SO) y la seguridad de las aplicaciones que las organizaciones deben evaluar. Debido a que cada vez son más los datos confidenciales que se almacenan en las aplicaciones de software como servicio (SaaS) y las organizaciones que crean cuentas con inicio de sesión compartido en la empresa para Facebook y Twitter, por ejemplo, se debe considerar a cada usuario como privilegiado; es simplemente una cuestión de título.

TI debe garantizar que los usuarios privilegiados y comunes tengan acceso a la infraestructura, los servidos y las aplicaciones, y que ambos tengan acceso seguro desde cualquier ubicación y con cualquier dispositivo.

Mejores prácticasPara lograr comprender la gran cantidad de piezas móviles que implica una implementación integral de PIM, resulta útil hacer una división en subgrupos funcionales. En este documento, la división será:

• Consolidación de identidades: gestión de identidades, funciones, privilegios en recursos heterogéneos.

• Gestión de sesiones privilegiadas: el servicio que gestiona las sesiones privilegiadas y la videograbadora que las controla.

• Gestión de privilegios para superusuarios: las herramientas de elevación de privilegios que posibilitan que los usuarios autorizados realicen tareas administrativas granulares.

• Gestión de contraseñas de cuentas compartidas: para escenarios heredados y de emergencias tipo “rompa el vidrio” donde no puede elevar privilegios y debe permitir el inicio de sesión directo como raíz (por ejemplo).

• Acceso remoto seguro sin VPN: acceso remoto desde la nube a los recursos en las instalaciones y la IaaS en la nube, sin una red privada virtual (VPN).

Consolidación de identidadesLos usuarios son el corazón tanto de los desafíos como de la solución; más específicamente, la gestión de identidades de los usuarios y sus funciones y permisos asociados. El objetivo es claro: unificar la identidad en todas las plataformas comerciales (Windows, UNIX, Linux y Mac) a fin de reducir la complejidad general y los silos.

“Los usuarios ya no se encuentran

exclusivamente dentro del firewall, y

tampoco su infraestructura”.

“Haga que los usuarios inicien sesión

como ellos mismos”.




Este aspecto de la PIM suele pasarse por alto con frecuencia. Al igual que una de las capacidades inaugurales en el macrocosmos PIM, ahora se considera “lo mínimo que puede pretenderse” de cualquier solución de PIM viable. No es que se lo ignore per se; simplemente no se lo aprovecha para maximizar el valor comercial y, con frecuencia, no recibe la atención que merece.

Por definición, el enlace de Active Directory permite que una solución de PIM actúe como puente de un entorno que no sea Windows a Active Directory. ¿Por qué? Para aprovechar al máximo los muchos beneficios que ofrece Active Directory en cuanto a la gestión de identidades, la autenticación con base en Kerberos y la gestión real de privilegios basada en funciones que se extiende a todas sus plataformas. A un nivel básico, eso significa consolidar sus identidades en UNIX, Linux, Mac y Windows en Active Directory, para evitar el enorme esfuerzo administrativo, además de los riesgos de seguridad, de gestionar los silos de identidad (por ejemplo, /etc/passwd) en cada terminal. Más importante aún resulta lograr que los usuarios inicien sesión como ellos mismos (es decir, con su ID de Active Directory) y no con una cuenta compartida, lo que garantiza mayor responsabilidad de todos sus sistemas de auditoría y registro de SO y aplicaciones.

La elección de Active Directory como repositorio central es adecuado para la mayoría de las empresas que ya cuentan con una gran inversión humana y de capital en la tecnología. Impide poner en pie un silo paralelo de identidades (por ejemplo, Oracle OID), con los desafíos inherentes de sincronizarlas junto con sus contraseñas en el nuevo silo, instalar agentes en los controladores del dominio, modificar el esquema y, con frecuencia, modificar el comportamiento de los usuarios obligándolos a restablecer las contraseñas en una herramienta nueva, en lugar de usar la pantalla de inicio de sesión de sus computadoras portátiles.

Las filtraciones de datos consisten en la vulneración de cuentas privilegiadas existentes y su uso para recorrer la red de servidor en servidor en busca de información que puedan monetizar. Así que antes de realizar la consolidación, y como preparativo para la gestión de privilegios para superusuarios (ver a continuación) alojada en el anfitrión, una buena práctica inicial consiste en reducir al mínimo posible la cantidad de cuentas privilegiadas, lo que simplificará su gestión y limitará la superficie de ataque.

Los beneficios de Active Directory no tienen por qué detenerse ahí. Busque soluciones que permitan la gestión centralizada de computadoras, además de usuarios. Al extender el modelo de política de grupos de Active Directory, puede aprovechar su inversión en Active Directory y en habilidades de gestión de Active Directory aplicando la política de grupos a UNIX, Linux y Mac. Algunos ejemplos de ese tipo de políticas incluyen las reglas de firewall basadas en un anfitrión (iptables), las políticas de acceso a la red (openSSH) o la gestión de certificados de computadoras (emisión automática/renovación) para el uso de las aplicaciones que se ejecutan allí.

Mejor práctica: Consolide las identidades de UNIX, Linux y Mac en un solo ID en Active Directory para la gestión centralizada de identidades, funciones y privilegios, además de la autenticación basada en Kerberos.

Mejor práctica: Elimine o desactive tantas cuentas privilegiadas como sea posible para reducir la superficie de ataque.

Mejor práctica: Además de gestionar identidades en Active Directory, busque una solución que admita máquinas y pueda extender la política de grupos a servidores que no usen Windows.




¡Y hay más! Sacarle todavía más jugo al marco de gestión de objetos de Active Directory puede permitirle reunir máquinas, usuarios y funciones de manera más eficaz, posibilitándole delegar, segregar tareas y brindar soporte temporario a múltiples perfiles de UNIX de usuario en búsqueda de un perfil único y racionalizado como mejor práctica. Esta capacidad de “zonificación” jerárquica puede incrementar enormemente la productividad y el cumplimiento normativo (por ejemplo, limitando el acceso administrativo a un grupo de máquinas “PCI”).

Una solución ideal de consolidación de identidades permitirá todo esto sin invadir Active Directory; es decir, sin modificar el esquema y sin dependencia de software en los controladores del dominio.

Una última cosa. Al explorar la consolidación de identidades, vea si la solución del proveedor admite el inicio de sesión de aplicaciones, además del inicio de sesión de usuarios, en plataformas que no sean Windows. Por ejemplo, si su desarrollador de UNIX está creando una aplicación, un abordaje común podría ser incorporar la autenticación de usuarios y la lógica de autorización directamente en el código y mantener la información de identidad en un silo separado (como Oracle OID). También está el tema de modificar las contraseñas y hacer una sincronización entre ambos sistemas, colocando un agente en cada controlador del dominio para sincronizar el restablecimiento de contraseñas desde la estación de trabajo de los usuarios.

En cambio, procure aprovechar la implementación existente como almacenaje acreditado. Una el servidor a Active Directory, y el código podrá solicitar que el SO autentique al usuario y evitar la totalidad de la sobrecarga. Este modelo se puede extender a aplicaciones UNIX, Linux e incluso Mac a través de PAM, LDAP, GSSAPI o SAML.

Gestión de sesiones privilegiadas (PSM)La grabación de sesiones es un elemento crítico de cualquier implementación de PIM. Dado el poder de las cuentas privilegiadas y la sensibilidad de los sistemas, las aplicaciones y los datos a las que pueden acceder, las tareas de auditar y monitorear sus actividades reviste una importancia vital. La grabación de sesiones implica la grabación de las sesiones, pero, además, reproducirlas para realizar investigaciones sobre cumplimiento normativo y filtración de datos.

Al igual que cualquier conjunto de controles de seguridad en un entorno complejo, siempre está la pregunta de qué implementar primero. Naturalmente, sus circunstancias individuales variarán, pero tenga en cuenta que algunas organizaciones implementaron primero la PSM como tarea de inteligencia inicial en sus planes para proyectos de PIM. En comparación con otras capacidades de PIM, puede ser relativamente fácil de implementar y rápida de apreciar. Por eso, mientras su implementación central para la gestión de privilegios para superusuarios (por ejemplo) está en curso y usted limpia y consolida las identidades de los usuarios, el hecho de poner a grabar las sesiones en los servidores privilegiados puede otorgarle visibilidad inmediata de lo que hacen los usuarios privilegiados dentro del entorno y, rápidamente, brindar apoyo a las actividades de auditoría y cumplimiento normativo.

Mejor práctica: Busque avances que extiendan el modelo de Active Directory para ofrecer mayor eficacia y seguridad, como las zonas jerárquicas, y que no requieran modificar el esquema de Active Directory ni agentes en los controladores del dominio.

Mejor práctica: Ofrezca a los desarrolladores de aplicaciones un medio centralizado (Active Directory) para externalizar la lógica de gestión de identidades, la autorización y la autenticación de usuarios.

Mejor práctica: Implementar la PSM primero puede ofrecer información valiosa. Considere los beneficios potenciales para su organización si implementa primero la PSM para lograr el éxito rápido.

“Confíe, pero verifique”.




Las opciones de los proveedores suelen dividirse en dos campos: grabación centralizada de sesiones en una puerta de enlace o un proxy, y grabación de sesiones en cada una de las máquinas anfitrionas. Las mejores prácticas indican que la segunda opción es la más eficaz y segura. Como analogía, si pone una cámara de seguridad únicamente en la puerta del frente y yo entro por una ventana lateral, ingresaré a su casa sin que usted lo sepa. Para el personal remoto o tercerizado, la puerta del frente es la única forma en que pueden entrar (de manera legítima). Pero los atacantes maliciosos encontrarán el modo de eludir el monitor central. Por eso, la mejor práctica consiste en colocar una videocámara en cada uno de los activos importantes.

Además, aunque ambos métodos sirven para capturar información sobre las sesiones, se puede capturar información más detallada y amplia en el anfitrión que en una puerta de enlace (especialmente cuando se combina con un enfoque de menor privilegio hacia la gestión de privilegios para superusuarios que conecta las actividades a un usuario real, en lugar de un ID de usuario anónimo o compartido). En el anfitrión, se pueden capturar fielmente los comandos y las acciones que se llevaron a cabo de manera muy detallada. Eso permite una transcripción muy precisa de la sesión y produce metadatos precisos que le permiten buscar grabaciones e identificar actividades con rapidez. En una puerta de enlace, no se cuenta con ese tipo de acceso, lo que significa que, en general, no podrá obtener los mismos metadatos enriquecidos como agente de auditoría basado en anfitrión.

Puede capturar el flujo de información visual correspondiente a una sesión de gestión en el servidor o en la puerta de enlace. La resolución de la videograbación puede y debe ser comparable en ambos casos: utilizan la misma tecnología para capturar el video. Algunas soluciones “fotografían” datos con una resolución relativamente baja, lo que dificulta auditar la actividad de las sesiones o, en el peor caso, impide detectar información importante en pantalla. Las mejores soluciones capturan en video cada modificación en pixeles, grabando con eficacia las diferencias en cuadros con mayor precisión que las soluciones “fotográficas”.

Gestión de privilegios para superusuarios (SUPM)SUPM es la práctica de restringir la cantidad de privilegios de una cuenta determinada a la menor cantidad posible, generalmente en sistemas Unix, Linux y Windows. Tal como se mencionó, los atacantes apuntan puntualmente a cuentas con privilegios altos para poder adueñarse de la máquina y, a partir de ahí, seguir extendiéndose para encontrar aún más cuentas con privilegios altos en la red. Si las cuentas tienen pocos privilegios por defecto, los delincuentes no pueden utilizarlas para atacar la infraestructura.

Los abordajes de quienes proporcionan seguridad tienden a dividirse en dos campos principales. Un campo defiende mantener las cuentas privilegiadas in situ y simplemente rige el acceso a sus contraseñas. Eso reduce muy poco la superficie de ataque. Implementado en un proxy o una puerta de enlace central, permite el inicio de sesión de un usuario en un servidor, pero no controla las actividades privilegiadas individuales en él. Una vez que inicia sesión, cuenta con todos los privilegios de la raíz (por ejemplo). Así, todas sus actividades en el servidor quedan registradas anónimamente, como raíz. Incluso con shells privilegiados o marcación en lista blanca, solo protege el servidor si se accede a él a través del proxy. Se puede decir que el mayor desafío que enfrenta este abordaje es cuando el administrador encuentra un modo de eludir el proxy y llegar al servidor en forma directa, invalidando cualquier protección que pueda ofrecer de otra manera la solución.

El otro campo defiende un abordaje de “menor privilegio” a nivel del anfitrión siempre que sea posible, y un enfoque de gestión de contraseñas en la puerta de enlace donde un abordaje de menor privilegio sencillamente no sirve (en general, por razones técnicas). Defiende que

Mejor práctica: Use una solución de PSM que esté basada en la “modificación en pixeles” para lograr máxima cobertura, máxima resistencia y mejores detalles. Los PSR basados en el anfitrión, si correspondieran, pueden brindarle más información, mejor capacidad de búsqueda e indexación y un registro de auditoría de actividades más rico.

“Asigne derechos donde se pueda,

comparta cuentas donde se deba”.




no se use un inicio de sesión directo usando cuentas con privilegios altos (eliminándolas o desactivándolas, lo que reduce la superficie de amenaza). Inicia la sesión como usted mismo con una cantidad baja de privilegios. Cuando deba realizar una tarea privilegiada (como detener un daemon del servidor web), tendrá que solicitar explícitamente privilegios adicionales. Si se le conceden (por función), esa tarea se ejecutará como raíz (por ejemplo), pero el registro de auditoría lo vinculará con el ID de usuario real para verificar toda la responsabilidad. Lo que es mejor, el malware no puede piratear la cuenta y usarla para “desembarcar y conquistar” otras cuentas en la red. Eso es congruente con guías regulatorias como PCI y NIST SP 800-53, que recomiendan el menor acceso al conjunto de servidores en función de la necesidad de saber y el menor privilegio para regir lo que se puede hacer cuando uno está en la máquina.

Cualquier abordaje para gestionar contraseñas, inicios de sesión en el servidor y grabaciones centrales de sesiones en una puerta de enlace puede ser vulnerado esquivando la “puerta del frente” que analizamos en Grabación de sesiones anteriormente. Las soluciones basadas en el anfitrión no padecen este punto de violación potencial.

Casi como consecuencia de esto, al implementar una verdadera SUPM se puede eliminar el conocimiento o uso de las contraseñas para cuentas privilegiadas, lo que otorga derechos amplios de inicio y reduce gradualmente esos derechos con el paso del tiempo, a medida que uno aprende derechos específicos necesarios para una función laboral concreta.

Cualquiera sea su abordaje, cuando los usuarios necesiten acceso a cuentas privilegiadas y sistemas críticos, busque una solución que admita la capacidad de garantizar identidades contextuales. Eso implica la autenticación de múltiples factores (MFA) y el contexto de los usuarios para evaluar los riesgos y ofrecer una garantía de identidades más sólida. Por ejemplo, un teléfono móvil puede informar la ubicación por GPS, además de generar una contraseña por única vez para mayor garantía. Tenga en cuenta que esto también puede ser sumamente eficaz para contrarrestar ataques de tipo “pass the hash”, que se usan para poner en peligro servidores sin necesidad de usar la fuerza bruta para tratar de adivinar las contraseñas.

Todo lo mencionado anteriormente es muy relevante para los recursos que se encuentran dentro de su firewall. Pero, como sabemos, la empresa híbrida moderna cuenta con servidores externos. Un método consiste en poner en pie un dominio de Active Directory en su entorno de nube y unirlo a sus servidores que no usan Windows mediante la solución de SUPM. Luego, puede gestionar todos los usuarios híbridos desde el mismo almacén acreditado de identidades. Los principales proveedores de IaaS, como Amazon Web Services y Microsoft, tienen guías documentadas sobre cómo implementar Active Directory allí y confiar en el Active Directory interno.

Mejor práctica: Utilice la SUPM para ajustar su modelo de permisos.

Mejor práctica: Vincular esto con la consolidación de identidades en Active Directory brindará un mayor ahorro y le permitirá gestionar en forma central las funciones y los permisos de esos usuarios, y efectuar modificaciones globales de manera rápida y congruente en Windows, Linux y UNIX.

Mejor práctica: Busque soluciones que admitan la autenticación acumulativa usando un segundo factor para autenticar a los usuarios privilegiados. Para obtener mayor seguridad de identidad, busque una solución que también tenga en cuenta el contexto.

Mejor práctica: Minimice la cantidad de cuentas compartidas. Reduzca (o desactive) la cantidad de cuentas privilegiadas. Use una SUPM basada en el anfitrión para iniciar una sesión de menor privilegio con un ID único y explicitar la elevación de privilegios siempre que sea posible, y use la SAPM para cuentas en las que no pueda utilizar SUPM.




De manera similar, puede implementar una nube privada virtual en un proveedor de servicios gestionados (MSP) o con un proveedor de alojamiento de IaaS, como Azure o AWS. Conectada a su centro de datos con una VPN dedicada y de alta velocidad, una nube privada actúa como extensión de su centro de datos existente y aprovecha el Active Directory existente, lo que lo convierte en un lugar estupendo para implementar una solución basada en SUPM en los servidores.

Gestión de contraseñas de cuentas compartidas (SAPM)Desde una perspectiva de seguridad, habilitar y facilitar cuentas privilegiadas compartidas es la forma más simple de abrir la puerta a los riesgos, que es precisamente lo opuesto a lo que deseamos. Lo ideal, entonces, sería eliminar todas esas cuentas y desbaratar el mecanismo que utilizan los atacantes. Sin embargo, existen situaciones en las que uno tiene que iniciar sesión con ese tipo de cuentas. En esos casos, como defensores de la seguridad y combatientes de los riesgos, debemos limitar las situaciones lo más posible.

¿Cuáles son esas situaciones? Son ocasiones en las que no se puede eliminar o desactivar una cuenta privilegiada, como las cuentas de administradores locales, de raíz, de administradores, cuentas administrativas de aplicaciones heredadas o cuentas de dispositivos en red. También existe la clásica situación de “rompa el vidrio en caso de emergencia” en la cual, por ejemplo, la red está fuera de servicio y una máquina Linux crítica se colgó y solo se puede acceder a ella a través de un inicio de sesión de raíz y en modo de usuario único.

Sin embargo, las soluciones de SAPM modernas deben entregarse como aplicaciones de SaaS y extenderse más allá de la gestión básica de contraseñas para admitir infraestructuras híbridas y modernas en la nube y casos de uso que las SAPM tradicionales en las instalaciones no admiten. Esos casos de uso incluyen acceso remoto en cualquier momento, desde cualquier lugar, a los recursos en las instalaciones y basados en la nube, acceso seguro a los recursos sin VPN (ver a continuación), inicio de sesión de contratistas y departamentos de TI tercerizados, y soporte para proveedores de identidad (IDP) múltiples. En la situación de emergencia “rompa el vidrio” explicada anteriormente, es imposible acceder a la solución de SAPM heredada en las instalaciones si la red está fuera de servicio. Una SAPM en la nube es resistente a las interrupciones de servicio de su red y accesible a cualquier usuario válido, en cualquier momento y desde cualquier dispositivo.

Dicho eso, tenga cuidado con las soluciones que afirmen funcionar en la nube. Algunas de las denominadas soluciones de SaaS para PIM no están realmente preparadas para la nube; son lisa y llanamente códigos heredados que se colocan en una máquina virtual y a las que

Mejor práctica: La mitigación de filtraciones de datos es más eficaz cuando se reduce la superficie de ataque, disminuyendo la cantidad de cuentas privilegiadas lo más cerca posible a cero y utilizando únicamente SAPM como en los escenarios de inicio de sesión de raíz de tipo “rompa en vidrio en caso de emergencia” y para iniciar sesión en los dispositivos de la red y las aplicaciones heredadas que solo admiten el inicio de sesión de cuentas compartidas.

Mejor práctica: Una solución de SAPM basada en SaaS diseñada específicamente para la nube es la mejor práctica para admitir infraestructuras de empresas híbridas modernas y escenarios de caso de uso remoto. Esa solución debe estar disponible para cada uno de los usuarios válidos, desde cualquier lugar, en cualquier momento y mediante cualquier dispositivo para fortalecer la seguridad y ofrecer la máxima eficacia de TI.

Mejor práctica: Use una solución de consolidación de identidades/SUPM en la nube para unir los servidores que no usen Windows a un dominio de Active Directory local y gestionar las identidades. Use la SUPM en servidores dentro de una nube privada virtual que esté conectada a su Active Directory en las instalaciones.




Mejor práctica: Asegúrese de que su solución de SAPM admita múltiples IDP, como LDAP y Active Directory en las instalaciones, un directorio SAPM en la nube y socios federados vía SAML.

puede accederse a través de un navegador. Con frecuencia el proveedor usa el servicio de un tercero para alojar su solución y luego la ofrece por suscripción diciendo que está en la nube. Esta “fachada de nube” no solo es engañosa, sino que le costará más caro sin la eficacia y la economía de escala inherentes al modelo SaaS.

En el caso de las organizaciones que usan Active Directory, mezclar las identidades de los empleados con las identidades externas no es una buena práctica. De hecho, esas organizaciones no deberían tener que gestionar ninguna identidad externa. La solución de SAPM que elija debe admitir IDP múltiples para ajustarse a eso. En el caso de los usuarios internos, eso puede significar el uso de Active Directory exclusivamente. Sin embargo, una aplicación de fusión, adquisición o a medida puede exigir que se autentique a algunos usuarios en un almacén de usuarios adicional y separado, y posiblemente no sea viable para posibilitar relaciones de

confianza entre ellos. En el caso de los usuarios externos, si usted es el IDP, la mejor práctica consiste en almacenar esas identidades en un directorio de SAPM en la nube. Si su socio admite la federación de identidades, eso puede liberarlo de la sobrecarga de la gestión de identidades (y admitir el inicio de sesión único como subproducto).

Una solución de SAPM basada en SaaS calza como anillo al dedo cuando se brinda soporte a un departamento de TI remoto: algo que se está volviendo muy común en el caso de los recursos de TI que viajan, trabajan desde su casa o son tercerizados a organizaciones externas. Por supuesto, el acceso remoto presenta el desafío de que ese acceso sea seguro. Tradicionalmente, eso se logró mediante una VPN. Implementar el servidor de VPN y los clientes de VPN en las máquinas de los usuarios, gestionarlas, ajustar las reglas del firewall y abrir puertos es una tarea costosa, pone en riesgo la red y afecta el comportamiento de los usuarios finales.

Una buena práctica alternativa consiste en establecer una conexión segura sin VPN al terminal. De esa manera, el usuario y la sesión se conectan directamente al terminal, sin exponer toda la red al usuario.

Tenga en consideración que, con esta habilidad, puede extender este servicio a todos los usuarios, privilegiados o no. SAPM gestionará las contraseñas para el acceso a cuentas privilegiadas compartidas, al mismo tiempo que ofrecerá a los usuarios sin privilegios un inicio de sesión interactivo, con la comodidad de un servicio de SaaS mediante un mecanismo de acceso sin VPN sumamente seguro.

Al tercerizar las funciones de TI a contratistas externos, necesitamos tener mucho cuidado en cómo permitir su acceso a nuestros recursos críticos. Por regla general, NUNCA hay que permitirles iniciar sesión de raíz en los servidores. Sin embargo, tal vez esto no sea posible en el caso de enrutadores, concentradores y conmutadores.

En el caso de los servidores, especialmente, permítales solo iniciar sesión vía SAPM con un ID de usuario único y con el menor privilegio. Luego, en el servidor objetivo, podrán solicitar la elevación de privilegios para una tarea administrativa específica a través de los controles de SUPM basados en el anfitrión. Las auditorías y grabaciones de sesiones basadas en el anfitrión vincularán cada actividad al usuario real para realizar auditorías sobre seguridad.

Mejor práctica: Asegúrese de que su solución de SAPM no exponga toda la red solicitando una VPN para el acceso remoto a los recursos, sino que implemente un mecanismo seguro sin VPN que ubique al usuario directamente en el servidor objetivo.

Mejor práctica: Asegúrese de que el acceso remoto y seguro sin VPN de la SAPM pueda extenderse a los usuarios privilegiados y no privilegiados.




Muchas organizaciones desactivan el inicio de sesión SSH remoto con la cuenta de raíz. Así que busque una solución de SAPM que lo admita y que permita configurar una cuenta “proxy” alternativa para iniciar sesión con el menor privilegio y después elevar los privilegios en el servidor.

Integración de la soluciónEn la actualidad, con un entorno híbrido, es todavía más importante contar con una solución totalmente integrada que abarque todos los aspectos de la PIM descritos anteriormente. Esas capacidades se estratificarán en la totalidad de su infraestructura de TI extendida y, como tal, tendrán que combinarse e integrarse sin problemas, presentar interfaces consistentes a los operadores y administradores, y cumplir en forma consistente la promesa de seguridad, eficacia de TI y cumplimiento normativo sustentable. En vistas de que la mayoría de los proveedores de PIM se asocian para completar sus carteras, se debe prestar mucha atención a este tema.

Algunos beneficios clave que se desprenden de contar con una fuente única son los siguientes:

• Problemas mínimos en cuanto a compatibilidad: Los proveedores diseñan sus soluciones de PIM para que funcionen en conjunto, idealmente desde una plataforma congruente de identidad que sirva como puente entre el centro de datos y la nube. Los beneficios incluyen una menor cantidad de problemas de integración, más características entre varias aplicaciones y un ciclo más veloz de actualización de características.

• Características nuevas, antes: Usted ya cuenta con la infraestructura para implementar con rapidez productos y características nuevos de ese proveedor. En el caso de las aplicaciones de SaaS, eso puede realizarse de 4 a 6 semanas.

• Rápida obtención: Encontrar un proveedor en el cual confíe facilita la adopción de productos nuevos desarrollados por este. Incluso si licencian/fabrican tecnología de terceros para completar sus carteras, eso no le garantiza el mismo nivel de calidad.

• Menor tiempo para la materialización: El software de un mismo proveedor ofrece coherencia en cuanto a experiencia con la UI, la integración del producto, el enfoque de diseño, la interacción con el proveedor, la capacitación del personal y las licencias.

• Responsabilidad del proveedor: El viejo dicho “un único culpable” es sumamente importante. Un proveedor, un número de teléfono, una factura, un socio confiable. El proveedor de PIM nunca será tan competente con tecnología de terceros como los desarrolladores originales. Existirá una fuerte dependencia en materia de actualizaciones, integraciones, soporte y mantenimiento.

Busque soluciones de un mismo proveedor, desarrolladas de manera orgánica. Deben estar diseñadas a partir de la misma plataforma de identidad basada en la nube, una que centralice las capacidades comunes y que las ponga a disposición de forma consistente para las soluciones que se crean a partir de ellas. En caso de que comience con una y luego adopte capacidades adicionales con el paso del tiempo, debe lograr que todas encajen como si fueran piezas de un solo rompecabezas, sin incurrir en modificaciones considerables para las operaciones, el comportamiento de los usuarios o las cuestiones de mantenimiento/soporte.

Mejor práctica: Obtenga sus soluciones de PIM de un mismo proveedor, uno que las haya desarrollado de manera orgánica, en lugar de usar un mosaico de productos de terceros y caseros para completar sus carteras. Haga una evaluación para garantizar integración firme, consistencia y compatibilidad con entornos en las instalaciones/la nube.

Mejor práctica: En el caso de la TI tercerizada, habilite el inicio de sesión menos privilegiado a los servidores vía SAPM y luego use SUPM para elevar los privilegios según las funciones, grabar la sesión en el servidor y aprovechar la autenticación de múltiples factores para ofrecer seguridad de identidades.



© 2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS. WWW.CENTRIFY.COM +1 (669) 444-5200

Centrify ofrece gestión unificada y segura de identidades para usuarios finales y

privilegiados en entornos de centros de datos, de nube y móviles. Gracias a su software

de gestión de identidad unificada y sus soluciones de Identidad como servicio (IDaaS)

en la nube, Centrify le permite sacar el mayor provecho a la infraestructura de identidad

existente en la organización para habilitar el inicio de sesión único, la autenticación de

múltiples factores, la gestión de identidad privilegiada, la gestión de contraseñas de

cuentas compartidas, las auditorías para garantizar el cumplimiento normativo y la

gestión de dispositivos móviles.

SANTA CLARA, CALIFORNIA +1 (669) 444-5200

EMEA +44 (0) 1344 317950

ASIA PACÍFICO +61 1300 795 789

BRASIL +55 11-3958 4876

LATINOAMÉRICA +1 305 900 5354

CORREO ELECTRÓNICO [email protected]

WEB www.centrify.com

ConclusiónLos límites organizativos están siendo perforados. La infraestructura y las aplicaciones están equilibrándose en las IaaS en la nube y en las instalaciones. Los nuevos modelos operativos se están expandiendo para involucrar servicios tercerizados y de TI interna. La empresa moderna es un híbrido y permanecerá así durante el futuro inmediato.

Combatir las filtraciones de datos asegurando el acceso a sus datos y recursos confidenciales exige un abordaje igual de moderno para regir el uso de identidades privilegiadas y monitorear ese uso. Las soluciones tradicionales que simplemente gestionan contraseñas y están ubicadas en las instalaciones son insuficientes. “Responder” a los clientes colocando una herramienta en las instalaciones heredada dentro de una máquina virtual en la nube no cumple con todos esos requisitos de la empresa moderna y lo expone a riesgos innecesarios.

Las mejores prácticas, una combinación cohesiva de arquitecturas basadas en el anfitrión y basadas en la puerta de enlace, y tecnologías nuevas e innovadoras basadas en la nube son requisitos fundamentales que posibilitan que TI y el negocio alcancen el éxito en un mundo híbrido en las instalaciones/en la nube, donde la superficie de ataque es más grande que nunca. Son los requisitos fundamentales de una solución de PIM para la empresa moderna.

WHP001583ES-05182015


http://www.centrify.com/solutions/overview.asp

http://www.centrify.com/solutions/cloud/identity-as-a-service-idaas/

http://www.centrify.com/products/identity-service/sso/

http://www.centrify.com/products/privileged-users/

http://www.centrify.com/products/privilege-service/

http://www.centrify.com/products/privilege-service/

mailto://[email protected]


Documents

Best Practices for Privileged Identity Management Es