Privileged Access Management, Seguridad en la nube

La Gestión del Acceso Privilegiado (PAM) para los MSSP que utilizan AWS

Pese a que Amazon Web Services (AWS) suponga una buena noticia para los proveedores de servicios, todavía existen desafíos en materia de seguridad. AWS proporciona a los proveedores de servicios una forma de hacer que su negocio crezca sin tener que tratar con muchas de las molestias y costes asociados al mantenimiento de una infraestructura de nube. Por ejemplo, un Proveedor de servicios de seguridad administrados (MSSP) puede dejar que AWS haga todo el trabajo pesado por él, suministrando una infraestructura que sea infinitamente escalable.

Aunque AWS se encargue de securizar la infraestructura, el proveedor de servicios sigue teniendo que hacer frente a la protección de sus propias aplicaciones. Esta responsabilidad incluye la gestión y monitoreo de los usuarios privilegiados (administradores) que, si no se controlan apropiadamente, pueden llegar a constituir una amenaza potencialmente significativa para la organización.

AWS securiza su infraestructura, pero son los MSSP quienes deben proteger sus propias aplicaciones.

El impacto del modelo de seguridad de dos niveles

AWS, como la mayoría de los proveedores de infraestructuras de nube, trabaja con una política de seguridad de «dos niveles». Estos proveedores defienden la propia infraestructura, incluyendo la red y el hardware subyacente. Cabe destacar que el cliente proveedor de servicios tiene que establecer políticas y mecanismos de aplicación que sean adecuados para satisfacer sus objetivos de negocio.

Los proveedores de servicios tienen que suministrar su solución a clientes individuales además de AWS. Existen muchos factores que forman parte del suministro de un servicio de seguridad, incluidas las operaciones como el escaneo de malware o la aplicación de parches. No obstante, la gestión de los usuarios privilegiados surge como una de las tareas esenciales para la seguridad. El proveedor de servicios necesita estar seguro de que tan solo las personas adecuadas pueden acceder a los back-ends administrativos que impulsan sus soluciones. Sin este tipo de control, las vulnerabilidades se disparan.

La importancia de PAM para los proveedores de servicios en AWS

La Gestión de Acceso Privilegiados (PAM) implica la administración, monitoreo y auditoría de las actividades de los usuarios privilegiados. Un usuario privilegiado que tenga acceso root puede llevar a cabo las siguientes tareas:

Cambiar las configuraciones del sistema
Instalar software
Crear y modificar usuarios
Acceder o modificar datos securizados
Modificar sus propios niveles de privilegios administrativos y los de terceros

Una de las particularidades de PAM es el gran trabajo que supone para cualquier organización. Sin embargo, en el caso de los proveedores de servicios en AWS, este esfuerzo se duplica: el proveedor de servicios tiene que estar al tanto de sus propios usuarios privilegiados. De igual manera, este proveedor también debería permitir que sus clientes mantuvieran un cierto nivel de control sobre sus propios usuarios privilegiados.

Por ejemplo, un MSSP tiene que rastrear cómo sus empleados configuran y modifican la solución MSSP en AWS. Una vez que los clientes del MSSP obtienen sus propias instancias basadas en la nube de la solución MSSP, estos buscan controlar a aquellos usuarios que puedan obtener acceso root. La capacidad del cliente MSSP de funcionar de forma eficaz será determinada sobre todo por su PAM. Si alguna de estas entidades empleara contratistas, usuarios remotos o usuarios automatizados, la cosa se complicaría aún más, ya que sus privilegios son necesarios para las actualizaciones y mantenimiento del sistema.

Cómo funciona PAM para un proveedor de servicios basado en AWS

PAM proporciona una solución centralizada y segura para la autorización, reautorización y monitoreo de todos los usuarios privilegiados en la solución basada en AWS. Además, aplica políticas que limitan que los usuarios privilegiados ignoren los sistemas de seguridad, protegiendo a la organización no solo de las amenazas «internas», sino también de aquellos hackers que busquen privilegios mejorados de acceso a la cuenta secuestrada.

PAM proporciona a las organizaciones una solución centralizada para autorizar, reautorizar y monitorear a todos los usuarios privilegiados.

Algunas de las funciones de una solución PAM:

Otorgar privilegios a los usuarios únicamente en aquellos sistemas AWS en los que estén autorizados.
Otorgar acceso a AWS tan solo cuando sea necesario y revocarlo tan pronto como desaparezca dicha necesidad.
Evitar la necesidad de que los usuarios privilegiados tengan o necesiten contraseñas para sistemas alojados en AWS.
Gestionar de forma rápida y centralizada el acceso a un conjunto de sistemas heterogéneos en AWS.
Crear una pista de auditoría inalterable para cualquier operación privilegiada que se produzca en AWS.
Generar analíticas y predicciones sobre el comportamiento de los usuarios privilegiados.

La solución PAM para proveedores de servicios en AWS

WALLIX ofrece una solución PAM diseñada para los proveedores de servicios que operen en AWS. La solución WALLIX AWS, que se ejecuta en un entorno de AMI de Amazon Linux, está desarrollada por el Amazon Elastic Compute Cloud (Amazon EC2). Es multi-tentant y permite que cada cliente proveedor de servicios disponga de su propia instancia dedicada con funciones de PAM como:

Acceso de inicio de sesión único con un solo clic para usuarios privilegiados en AWS.
Protección de credenciales sensibles para aplicaciones albergadas en AWS en un vault certificado.
Gestión automatizada y ciclo de contraseñas utilizadas en AWS.
Control completo y rastreo de todos los usuarios y acciones AWS.
Gestión y grabación de sesiones SSH y RDP.
Grabación OCR de sesiones RDP y VNC que se pueden consultar.
Configuración sencilla de las acciones prohibidas en AWS con alertas y desconexiones de sesión.
Registro de auditoría impecable de las sesiones de cuentas privilegiadas en AWS.

WALLIX PAM proporciona las herramientas que las organizaciones necesitan para controlar a sus recursos más críticos.

Garantizar la seguridad AWS con PAM

A pesar de que PAM tan solo sea un componente de la seguridad para un servicio que se esté ejecutando en AWS es, sin lugar a duda, uno de los más críticos. El acceso privilegiado forma parte de la esencia de muchas medidas defensivas y procesos de seguridad. Es fundamental que un proveedor de servicios que trabaje con AWS sea capaz de identificar quién en su organización, y en las organizaciones de sus clientes, está autorizado a administrar las soluciones alojadas en AWS. A continuación, tendrán que monitorear las sesiones de cuentas privilegiadas y construir un registro de auditoría para que puedan ser avisados en caso de que se detecten actividades sospechosas. La grabación de sesiones ayuda a responder a incidentes en caso de que se produzca un problema. Los proveedores de servicios que construyen en AWS deberían considerar PAM como un requisito indispensabe para la seguridad de sus soluciones.

¿Está interesado en saber más sobre cómo la solución de WALLIX puede ayudar a garantizar a seguridad de AWS en su organización? Póngase en contacto con nosotros.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

La Gestión del Acceso Privilegiado (PAM) para los MSSP que utilizan AWS

El impacto del modelo de seguridad de dos niveles

La importancia de PAM para los proveedores de servicios en AWS

Cómo funciona PAM para un proveedor de servicios basado en AWS

La solución PAM para proveedores de servicios en AWS

Garantizar la seguridad AWS con PAM

La ley SOX y la Gestión del Acceso Privilegiado

El comercio minorista corre peligro: desafíos y soluciones

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca