Identity Management, Privileged Access Management

Cómo la unión de la Gestión de Identidades y Accesos (IAM) y PAM ayuda a lograr un gobierno de identidades coherente

En este mes se cumplen 25 años de la famosa viñeta publicada por la revista The New Yorker: «En Internet, nadie sabe que eres un perro». Cuánta razón tenía su autor, y la sigue teniendo un cuarto de siglo más tarde. Lo más probable es que el artista, Peter Steiner, no tuviera ni idea de cuan profética iba a ser su viñeta. En efecto, estamos en «los días perros» de Internet, o al menos en lo que se refiere a la Gestión de Identidades y Accesos (IAM) y PAM.

¿Quién es quién? La esencia de la Administración y Gobierno de Identidades (IGA) y la Gestión de Identidades y Accesos (IAM)

Todas las medidas de seguridad se basan en la identidad del usuario, cuestión fundamental hoy en día. No solo se trata de saber quién es un perro y quién no, sino más bien de descubrir quién ayuda a agentes malignos, quién es un antiguo empleado rencoroso, y así sucesivamente. Todo control de seguridad debe fundarse en las respuestas a las siguientes preguntas críticas sobre la identidad:

«¿Quién es quién?»
«¿Es el usuario quién dice ser?» (o lo que dice ser)
«¿Puedo confiar en él?»
«¿Qué tareas le puedo confiar?»

Este es el origen del gobierno de identidades.

Gobierno de identidades

El gobierno de identidades es la disciplina informática que supervisa quién es quién dentro de una organización, así como quién está autorizado a hacer qué. Por ejemplo, ¿puede Fulanito usar el Sistema A? ¿Y el B? No, no puede acceder a ninguno de ellos, en cambio, Menganito sí que puede utilizarlos. La gobernanza de identidades comprende sistemas, políticas y procesos relacionados con la identidad del usuario, autenticación y autorización de sistemas. También incluye la gestión de los usuarios privilegiados, que son aquellos que tienen permiso para administrar los ajustes del sistema.

En la práctica, el gobierno de identidades implica el uso de soluciones para la Gestión de Identidades y Accesos (IAM) y la Gestión del Acceso Privilegiado (PAM). Para entender cómo funciona el gobierno de identidades (o cómo podría funcionar mejor), primero es necesario entender cómo funcionan IAM y PAM.

Entender cómo funcionan las herramientas disponibles

¿Qué es la Gestión de Identidades y Accesos (IAM)?

IAM se ocupa de dos factores vinculados pero distintos de la identidad del usuario. En primer lugar, una solución IAM tiene que ser capaz de autenticar a un usuario, es decir, hacer la típica pregunta de «¿realmente es quien dice ser?» No obstante, la autenticación del usuario tan solo es una parte del proceso de IAM, ya que esta solución también debe confirmar la(s) autorización(es) del usuario.

Las soluciones IAM verifican:

Que los usuarios son quienes dicen ser
A qué sistemas/herramientas tiene acceso un usuario determinado

Para comprender mejor el tema haremos una analogía entre la Gestión de Identidades y Accesos y el embarque a un avión. El proceso de «autenticación», en el que demostramos quienes decimos ser, se correspondería con el momento en el que le enseñamos nuestro pasaporte a un agente de aduanas. En cambio, la «autorización» sería más bien el billete que necesitamos para montar en el avión. En pocas palabras, cuando iniciamos sesión con el Active Directory de Microsoft es como cuando enseñamos nuestro pasaporte a un agente de aduanas y este verifica nuestra identidad. Por el contrario, cuando lo hacemos con el Microsoft Exchange Server, es como si estuviéramos mostrando nuestro billete para embarcar en el avión. A esto también se le conoce como control del acceso: no podemos acceder al avión sin billete ni tampoco al Exchange Server sin autorización.

Lo ideal sería que el departamento de TI hubiese configurado la IAM para controlar el acceso a todos sus recursos, como aplicaciones, bases de datos, recursos de almacenamiento y redes y recursos pertenecientes a socios. Por consiguiente, las plataformas de IAM mitigarían la seguridad y los riesgos asociados al incumplimiento que pudiesen surgir de los accesos no autorizados.

¿Qué es la Gestión del Acceso Privilegiado (PAM)?

Un usuario privilegiado es aquel que tiene derecho a iniciar sesión en el back-end administrativo de un sistema, a partir del cual puede configurar, modificar o eliminar otras cuentas de usuario. El usuario puede tener el privilegio de modificar las configuraciones del sistema o incluso desinstalarlas y, en algunos casos, los usuarios privilegiados también pueden acceder a los datos almacenados en el sistema. Cabe destacar que el acceso privilegiado también recibe el nombre de «root access».

Lo cierto es que este tipo de acceso plantea varias potenciales amenazas de seguridad. Por ejemplo, un agente maligno que suplante a un usuario privilegiado podría afectar gravemente a una organización mediante la escucha, la modificación de los datos de producción o la desconexión de los sistemas. Las soluciones PAM logran mitigar dichos riesgos.

Estas soluciones buscan establecer un camino seguro y directo para autorizar y monitorear a todos los usuarios privilegiados, y una de sus funciones es la capacidad de conceder y revocar el acceso privilegiado. Además, las soluciones PAM pueden actuar como un intermediario entre los usuarios privilegiados y los sistemas que gestionan para que así estos usuarios no tengan un acceso directo y de back-end. Con algunas soluciones, como la de WALLIX, el usuario privilegiado ni si quiera sabe la contraseña que se necesita para acceder al sistema que está administrando, lo que evita las invalidaciones manuales, que constituyen una vulnerabilidad significativa.

Las soluciones PAM proporcionan:

Control exhaustivo sobre quién tiene acceso a los sistemas críticos
Visibilidad completa de la actividad de los usuarios
Cifrado y gestión de contraseñas para aplicar políticas de contraseñas sólidas

Cómo funcionan juntos IAM y PAM

Los desafíos de IAM y PAM

Muchas organizaciones tienen una solución IAM como el Active Directory y, o bien algunas funciones de PAM, o bien una solución PAM completa. No obstante, existe el riesgo de que IAM y PAM funcionen como silos, ya que fácil tener políticas de acceso inconsistentes entre las soluciones IAM y PAM. Por ejemplo, mientras que IAM puede requerir revisiones de los privilegios de los usuarios, PAM puede no necesitarlo. Esto es más común de lo que se puede imaginar, sobre todo si PAM no se gestiona con firmeza.

Mejores prácticas de IAM y PAM

La mejor práctica es unir IAM y PAM para lograr un gobierno de identidades unificado. La mecánica de esta unificación es variada. En algunos casos, puede tratarse de una simple coordinación de las políticas de acceso entre las dos soluciones, mientras que las opciones más avanzadas incluyen la integración entre IAM y PAM.

Una solución conjunta IAM-PAM centraliza el gobierno de las identidades, fusionando la gestión de los accesos privilegiados con un único almacén de identidades autorizado. Los beneficios de este planteamiento incluyen un único punto de control para el aprovisionamiento de todos los accesos de identidad en la organización, la simplificación de la incorporación y la salida de usuarios, la detección de usuarios con derechos de acceso excesivos y la posibilidad de que los auditores revisen las posibles incoherencias en los controles de acceso y las violaciones de la política.

La solución WALLIX-AXIAD

Con el objetivo de ofrecer una solución de IAM-PAM integrada, WALLIX se ha asociado con AxiadIDS. Ahora, la solución Bastion PAM de WALLIX se combina con la plataforma de Accesos e Identidades de Confianza de AxiadIDS. Por un lado, WALLIX se encarga de que tan sólo los usuarios autorizados tengan acceso a las cuentas, aplicaciones y dispositivos sensibles mientras que supervisa y gestiona sus permisos y acciones. Y, por otro lado, la plataforma Axiad verifica la identidad de estos usuarios autorizados y garantiza que se pueda confiar en ellos mediante la autenticación a partir de una combinación de credenciales y pruebas de identidad. Ambas soluciones se complementan entre sí, proporcionando un enfoque holístico de la seguridad a través de una solución integrada.

¿Está interesado en obtener más información sobre cómo puede mejorar el control de accesos de sus sistemas, datos y dispositivos más críticos? Póngase en contacto con nosotros y le mostraremos cómo WALLIX le puede ayudar.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Cómo la unión de la Gestión de Identidades y Accesos (IAM) y PAM ayuda a lograr un gobierno de identidades coherente

¿Quién es quién? La esencia de la Administración y Gobierno de Identidades (IGA) y la Gestión de Identidades y Accesos (IAM)

Gobierno de identidades

Entender cómo funcionan las herramientas disponibles

¿Qué es la Gestión de Identidades y Accesos (IAM)?

¿Qué es la Gestión del Acceso Privilegiado (PAM)?

Cómo funcionan juntos IAM y PAM

Los desafíos de IAM y PAM

Mejores prácticas de IAM y PAM

La solución WALLIX-AXIAD

Los elementos críticos de una solución PAM escalable

Cómo PAM posibilita la implementación de la IEC 62443

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca