Aprendizaje y descubrimiento 6min de Leitura - 21 de diciembre de 2022

¿PAM o IAM? ¿En qué se diferencian?

IAM PAM

This post is also available in: Português Español

La importancia de gestionar accesos en una empresa crece a pasos agigantados. El hecho de que las violaciones de datos a gran escala aparecen con frecuencia en los titulares de las noticias, y el 61% de esos casos involucran datos de credenciales, es muy llamativo. No se puede negar que es un problema que llegó para quedarse, pero que se puede evitar. Y la solución pasa por las siglas PAM e IAM, que muestran similitudes en sus propuestas.

De hecho, los conceptos están estrechamente relacionados, pero no son lo mismo. Si bien ambos abordan la gestión de usuarios, accesos y funciones, la gestión de identidades y accesos (IAM) se aplica ampliamente a todos los usuarios de una empresa. Las estrategias de IAM dictan cómo administrar el acceso general a recursos como dispositivos, aplicaciones, archivos de red y entornos. Por lo tanto, elimina las cuentas compartidas y requiere que cada usuario tenga una identidad digital confiable (por ejemplo, nombre de usuario y contraseña) que debe administrarse y monitorearse a lo largo de su ciclo de vida.

La administración de acceso privilegiado (PAM) es un subconjunto de IAM que se enfoca en usuarios privilegiados, aquellos con autoridad para realizar cambios en una red, dispositivo o aplicación. Los usuarios privilegiados pueden ser usuarios comerciales con altos requisitos de acceso (como recursos humanos, finanzas, etc.), administradores de sistemas, cuentas de servicio de aplicaciones y otros usuarios de alto nivel. La administración de acceso privilegiado se basa en las fortalezas de IAM. PAM establece políticas y prácticas para garantizar la seguridad de los datos confidenciales y la infraestructura crítica y, por lo general, incluye observación, automatización y autenticación, y autorización detallada.

De esta forma, es posible percibir que existe una especie de superposición entre PAM e IAM, así como entre otras categorías relacionadas.

Rastreando el acceso de los usuarios

Un sistema relacionado, con mucha superposición es Identity Governance and Administration (IGA), capaz de monitorear y auditar el acceso. Esto aumenta la visibilidad y ayuda a las empresas a cumplir con los requisitos de cumplimiento como SOX, LGPD, SOC2 e ISO 27001.

Así como PAM maneja a los usuarios privilegiados, las herramientas de IGA ayudan a automatizar los flujos de trabajo para crear y administrar cuentas, roles y accesos para todos los usuarios.

IGA ayuda a garantizar que los protocolos de IAM, incluido PAM, estén conectados e implementados correctamente. Así como también, puede mejorar la ciberseguridad, reducir el riesgo relacionado con la identidad y optimizar la implementación de muchas políticas PAM, en particular las relacionadas con la auditoría y el cumplimiento. En resumen, IAM otorga acceso, IGA lo rastrea y PAM hace ambas cosas, pero solo para usuarios privilegiados.

Desafíos

Los entornos informáticos modernos presentan una serie de problemas nuevos en la implementación de políticas de administración de acceso. Las soluciones de acceso deben ser lo suficientemente flexibles para manejar la introducción y adopción de nuevas tecnologías, así como las particularidades de las infraestructuras en la nube y los negocios en rápida evolución.

Además de estas complicaciones, la fuerza de trabajo se distribuye cada vez más entre la oficina y el teletrabajo y, a menudo, utilizan sus propios dispositivos. Si agrega a los proveedores y contratistas externos a la mezcla y métodos manuales, como hojas de cálculo y listas de verificación, es posible que algunas soluciones simplemente no puedan mantenerse al día.

Las soluciones de acceso administrado en la nube como AWS IAM responden a muchos de estos desafíos, pero no son exactamente un lecho de rosas. La configuración incorrecta de la administración de acceso e identidad puede dejarlo con una falsa sensación de seguridad. Además, abren la puerta a los agujeros de seguridad, aumentando la posibilidad de que los atacantes obtengan acceso a las cuentas de la empresa y la propiedad intelectual.

Cuando se trata de seguridad en la nube, es importante saber qué hará y qué no hará el proveedor de servicios en la nube. Esencialmente, el proveedor de computación en la nube mantiene la seguridad en la nube mientras que el cliente mantiene la seguridad en la nube. Por ello es importante conocer las responsabilidades compartidas del sistema, respetando cada necesidad.

Una vez que comprenda el papel que desempeña la empresa, como cliente, en la seguridad de la nube, es importante estar atento a las configuraciones incorrectas. Saber qué buscar es un primer paso importante para evitar y corregir estos errores. Estos son algunos de los más comunes:

  • Herramientas infrautilizadas:

una «configuración incorrecta» común es el mal uso de las herramientas nativas del proveedor de la nube. Todos los principales proveedores de nube incluyen configuraciones para ayudar a implementar políticas de PAM e IAM. Esto puede incluir controles de acceso basados ​​en roles (RBAC), autenticación multifactor (MFA) y administradores de contraseñas. Después de todo, los usuarios no siempre son expertos en seguridad. En su lugar, puede usar herramientas integradas para asegurarse de que sigan las políticas de acceso necesarias.

  • Identidades mal configuradas:

En algunos casos, los administradores pueden definir controles de acceso más permisivos, para aliviar fricciones con los empleados de la empresa y/o para aportar mayor fluidez y facilitar la gestión de acceso. En cualquier caso, este tipo de posicionamiento puede abrir puertas a posibles intrusos. Un usuario sobre aprovisionado puede causar mucho daño, ya sea intencionalmente o por error. Por lo tanto, debe seguir las políticas establecidas en sus pautas de IAM y PAM e implementar sus identidades basadas en la nube, siguiendo el principio de privilegio mínimo.

  • Acceso excesivo al almacenamiento:

asegúrese de que su almacenamiento en la nube no sea de acceso público o sin restricciones, ya que esto podría permitir a los usuarios acceder y manipular sus datos. Pueden borrarlo, copiarlo, encriptarlo o inutilizarlo. En los casos en que se requiera acceso público al almacenamiento, asegúrese de que el acceso sea de solo lectura. Realice un seguimiento de dónde están sus datos y quién necesita acceder a ellos, y restrinja el acceso solo a lo que se necesita.

  • Registro/monitoreo no habilitado:

Utilice las capacidades de registro de su plataforma en la nube para mantener la visibilidad en toda su red. Supervise todos los recursos y activos a medida que se crean, modifican o eliminan, y mantenga un registro de las identidades que acceden a sus recursos. También puede utilizar herramientas de análisis nativas como AWS CloudTrail, Azure Log Analytics y GCP Cloud Audit Logs para detectar patrones de uso inapropiados y actividades inesperadas. Como se señaló anteriormente, el monitoreo aumenta la visibilidad y respalda los requisitos de cumplimiento para que pueda detectar problemas antes de que se salgan de control. La corrección de estos errores comunes de configuración de la nube ayudará a garantizar que sus datos e infraestructura sean menos vulnerables a las intrusiones.

En entornos de producción que utilizan más de una plataforma en la nube (multinube), los administradores enfrentan un desafío adicional, ya que deben comprender los estándares, las configuraciones y las herramientas específicas de cada proveedor. En lugar de intentar ensamblar una mezcolanza de herramientas de seguridad por su cuenta, muchos equipos buscan una solución unificada.

Gestión de acceso consolidada

Si bien las listas de verificación y las hojas de cálculo son herramientas organizativas importantes, no son suficientes para manejar la complejidad de los entornos de nube modernos. Y agregar más tecnología en este contexto puede ayudar, pero también crea nuevos desafíos a medida que lucha por integrar herramientas incompatibles.

Para que una estrategia de administración de acceso funcione, debe ejecutar políticas de seguridad sin causar daño a la operación y/o desgaste de los empleados de la empresa. Una solución de acceso unificado permitirá a la empresa otorgar y rastrear el acceso para usuarios generales y privilegiados con:

Control de acceso basado en roles: restrinja el acceso a la red a usuarios autorizados según su rol dentro de la organización, lo que ayuda a hacer cumplir el principio de privilegio mínimo. Esto incluye herramientas para habilitar y deshabilitar cuentas comerciales privilegiadas y estándar, otorgar y revocar derechos de acceso para todos los usuarios en dispositivos, aplicaciones y plataformas.

  • Aprovisionamiento automatizado:

Reemplace las tediosas tareas manuales con procesos automatizados para mitigar el trabajo administrativo. Los administradores pueden otorgar acceso, incluido el acceso privilegiado, por tiempo limitado. Agregar o eliminar automáticamente el acceso a medida que cambian los roles ayuda a evitar la escalada de privilegios y mejora el cumplimiento de las políticas.

  • Autenticación:

La integración de inicio de sesión único mejora el flujo de trabajo al autenticar el acceso a varias cuentas desde un punto de entrada centralizado, mientras que la autenticación multifactor (MFA) agrega una segunda capa de verificación.

  • Gestión de Credenciales:

Automatice el almacenamiento y la rotación de contraseñas para reducir la ventana de tiempo en que siguen siendo válidas. Esto ayuda a eliminar los problemas causados ​​por contraseñas perdidas, robadas o compartidas.

  • Capacidad de observación:

Descubra y elimine credenciales abandonadas y no administradas y mantenga la visibilidad de las solicitudes de acceso, aprobaciones y acciones de los usuarios.

  • Herramientas de auditoría:

Registre informes de sesión, revise el acceso y obtenga información sobre actividades inusuales. Esto facilita el cumplimiento de los requisitos reglamentarios y de cumplimiento, especialmente cuando se aplica al acceso privilegiado.

  • Fácil de usar:

Proteja su infraestructura sin interrumpir el flujo de trabajo. Después de todo, una herramienta solo es efectiva si realmente puede usarla. Una herramienta de gestión de acceso consolidada simplificará la auditoría para usuarios generales y privilegiados, proporcionará un único punto de control para el aprovisionamiento de acceso y agilizará la incorporación y baja de todos los usuarios.

En fin, las brechas de seguridad que involucran credenciales representan un gran desafío para las empresas, especialmente aquellas que operan en entornos de múltiples nubes y administran el acceso remoto. Por lo tanto, las soluciones como PAM e IAM deben ser lo suficientemente dinámicas y flexibles para asegurar el acceso en un entorno en constante cambio sin causar fricción a los usuarios, clientes o administradores.

¡Suscríbete a nuestra Newsletter y recibe nuestros últimos contenidos de seguridad y tecnología digital!

This post is also available in: Português Español