La seguridad de la identidad está de moda en este momento, y con razón. Proteger las identidades que acceden a los recursos de una organización es un modelo de seguridad sólido.
Pero las identificaciones tienen sus límites y hay muchos casos de uso en los que una empresa debería agregar otras capas de seguridad a una identidad sólida. Y de esto es de lo que queremos hablar hoy en SSH Communications Security.
Veamos siete formas de agregar controles de seguridad adicionales para sesiones críticas y sensibles para usuarios privilegiados como complemento a otros sistemas.
Complemento 1: Acceso seguro para identificaciones de alto impacto
Dado que la identificación segura es un elemento clave en el acceso privilegiado, nuestro modelo es integrar de forma nativa con soluciones de administración de identidad y acceso (IAM), como Microsoft Entra ID. Usamos IAM como fuente de identidades y permisos y nos aseguramos de que su organización se mantenga actualizada con cualquier cambio en Entra ID sobre identidades, grupos o permisos en tiempo real.
La integración nativa permite automatizar el proceso de entrada, salida y salida, ya que si un usuario es eliminado de IAM, todos los privilegios de acceso y sesiones se revocan instantáneamente. Esto mantiene sincronizados los procesos de RR.HH. y TI.
Nuestra solución asigna grupos de seguridad alojados en Entra ID con roles y los aplica para el control de acceso basado en roles (RBAC) para usuarios privilegiados. No se establece ningún acceso basado en roles sin una identidad.
Con los ID vinculados a roles, implementamos controles de seguridad adicionales que no están disponibles en los IAM, como:
- Gestión de delegación y elevación de privilegios (PEDM) permite a las empresas emplear controles detallados para las tareas, proporcionando el acceso suficiente con el menor privilegio solo durante el período de tiempo adecuado. El acceso se puede limitar a tareas, aplicaciones o scripts específicos en lugar de servidores completos.
- Descubrimiento de cuentas privilegiadas desde entornos de nube, híbridos y locales, incluidas cuentas de administrador local y cuentas de administrador de Unix y Linux.
- Fuente de identidad aislada e independiente: si una organización no quiere introducir, por ejemplo, identidades de terceros en su IAM.
- Autorización de administrador externo para aprobar el acceso a objetivos críticos como paso adicional de verificación
- Camino hacia la tecnología sin contraseña y sin llave: Mitigue el riesgo de credenciales compartidas, como contraseñas y claves de autenticación, administrándolas cuando sea necesario o optando por un acceso justo a tiempo sin contraseñas ni claves.
- Registro, seguimiento, grabación y auditoría de sesiones para análisis forense y cumplimiento.
Bolt-on 2: una solución probada en uso y preparada para el futuro para la seguridad de la nube híbrida en TI y OT
Una solución versátil de gestión de acceso crítico puede manejar más que solo entornos de TI. Puede proporcionar:
- Gestión de acceso centralizada a la nube híbrida en TI y OT: utilice la misma lógica consistente y coherente para acceder a cualquier objetivo crítico en cualquier entorno.
- Descubrimiento automático de activos en la nube, locales y OT: Obtenga una vista global de su patrimonio de activos automáticamente para una fácil gestión del acceso.
- Soporte multiprotocolo: Se admiten TI (SSH, RDP, HTTPS, VNC, TCP/IP) y OT (Ethernet/IP, Profinet, Modbus TCP, OPC UA, IEC61850).
- Seguridad de aplicaciones privilegiadas: cuando aloja aplicaciones privilegiadas (como repositorios de GitHub), aplicamos controles de seguridad detallados para cada acceso.
- Aislamiento del navegador para conexiones críticas a través de HTTP (S): establecimiento de sesiones aisladas con objetivos para controlar el acceso web de los usuarios a los recursos para proteger los recursos de los usuarios y a los usuarios de los recursos.
Bolt-on 3: Prevención de la omisión del control de seguridad
Algunas de las credenciales de acceso más comunes, las claves SSH, no son detectadas por las herramientas PAM tradicionales ni por la familia de productos Entra. Miles de sesiones se ejecutan a través del protocolo Secure Shell (SSH) en grandes entornos de TI sin una supervisión o gobernanza adecuadas. La razón es que la administración adecuada de claves SSH requiere experiencia especial, ya que las claves SSH no funcionan bien con soluciones creadas para administrar contraseñas.
Las claves SSH tienen algunas características que las separan de las contraseñas, aunque también son credenciales de acceso:
- Las claves SSH no están asociadas con identidades de forma predeterminada.
- Nunca caducan.
- Son fáciles de generar por usuarios expertos pero difíciles de rastrear después.
- A menudo superan en número a las contraseñas en una proporción de 10:1.
- Son funcionalmente diferentes de las contraseñas, por lo que las herramientas centradas en contraseñas no pueden manejarlas.
Las claves no gobernadas también pueden provocar una omisión de gestión de acceso privilegiado (PAM). Podemos evitar esto con nuestro enfoque, como se describe a continuación:
Bolt-on 4: Mejor sin contraseñas ni claves: gestión de credenciales privilegiadas bien hecha
Administrar contraseñas y claves es bueno, pero no tener contraseñas ni llaves es una élite. Nuestro enfoque puede garantizar que su entorno no tenga contraseñas ni confianzas basadas en claves en ningún lugar, ni siquiera en las bóvedas. Esto permite a las empresas operar en un entorno completamente libre de credenciales.
Algunos de los beneficios incluyen:
- No hay credenciales que se puedan robar, perder, usar mal o configurar mal
- No es necesario rotar contraseñas o claves para reducir el procesamiento y los recursos
- No es necesario cambiar los scripts de producción en el servidor para que funcionen las bóvedas.
- Su empresa tiene las claves de autenticación bajo control; normalmente necesitan más atención que las contraseñas.
En general, la autenticación sin contraseña y sin llave permite niveles de rendimiento que no se logran con las herramientas PAM tradicionales, como se describe en la siguiente sección.
Bolt-on 5: Asegurar conexiones automatizadas a escala
Las máquinas, las aplicaciones y los sistemas se comunican entre sí, por ejemplo, de la siguiente manera:
- Conexiones de aplicación a aplicación (A2A): las máquinas envían y reciben datos a través de API y se autentican mediante secretos de aplicación.
- Transferencias de archivos: Las transferencias de archivos de máquina a máquina ayudan a servidores dispares a compartir información crítica sin que humanos lean estos datos secretos.
- Trabajos por lotes programados de aplicación a aplicación: Un trabajo por lotes se refiere a un programa programado creado para ejecutar múltiples trabajos simultáneamente sin requerir interferencia humana.
Los IAM a menudo no pueden manejar conexiones de máquinas en absoluto, y los PAM tradicionales no pueden manejarlas a escala. A menudo, la razón es que las conexiones basadas en SSH se autentican mediante claves SSH, que los PAM tradicionales no pueden administrar bien. Con nuestro enfoque, las conexiones automatizadas se pueden proteger a escala y al mismo tiempo garantizar que sus credenciales estén bajo una gobernanza adecuada, en gran parte debido al enfoque sin credenciales descrito en la sección 4.
Complemento 6: Quién hizo qué y cuándo: audite, registre y supervise el cumplimiento
Soluciones como Entra ID carecen de un registro de auditoría adecuado. Las características típicas que faltan en él pero que se encuentran en nuestra solución incluyen:
- Paneles para ver eventos de auditoría
- Informes de políticas para el cumplimiento de la normativa
- Grabación y seguimiento de sesiones para inspección con cuatro ojos disponibles cuando sea necesario
- El análisis de comportamiento y entidad del usuario (UEBA) se basa en inteligencia artificial y aprendizaje automático para detectar cualquier anomalía en las sesiones en función del comportamiento, la ubicación, la hora, el dispositivo y la postura de seguridad del dispositivo.
Bolt-on 7: conexiones cuánticas seguras entre sitios, redes y nubes
Las conexiones cuánticas seguras no solo hacen que sus conexiones estén preparadas para el futuro, incluso frente a computadoras cuánticas, sino que también son una forma conveniente de transmitir datos a gran escala entre dos objetivos de forma segura.
- Haga que cualquier conexión sea segura a través de redes públicas abiertas con túneles de cifrado de extremo a extremo con seguridad cuántica que no dejan rastro en los servidores.
- Incluya cualquier dato o protocolo, incluso los que no estén cifrados, dentro de un túnel de seguridad cuántica
- Soberanía de datos: administre sus propios secretos mediante el uso de claves de cifrado privadas para las conexiones
- Transporte datos en capas más profundas de topología de red: ya sea Capa 2 (capa de enlace de datos) o Capa 3 (capa de red)
PrivX Zero Trust Suite: el mejor complemento para la familia de productos Microsoft Entra para conexiones críticas
Por muy buenos que sean los IAM como Microsoft Entra ID, carecen de funciones imprescindibles para los usuarios de alto impacto que acceden a objetivos de alto riesgo. Nuestro Suite PrivX de confianza cero Se integra de forma nativa con varios IAM, incluso simultáneamente, y amplía su funcionalidad para los casos en los que una sola identidad no es suficiente.
Contáctenos para una demostración para saber por qué necesita atornillar una solución de seguridad crítica a su Entra IAM para apretar los tornillos para entornos de producción.
About the Author
