Privileged Access Management

¿Qué es la Gestión del Acceso Privilegiado (PAM)?

What is Privileged Access Management?

La clave es entender el significado de la palabra «privilegiado».

Un usuario privilegiado es aquel que tiene acceso administrativo a los sistemas críticos. Por ejemplo, un individuo que pueda crear y eliminar cuentas de correo electrónico en un sistema Microsoft Exchange Server es un usuario privilegiado. Es decir, la palabra no se ha escogido por casualidad y, como con cualquier privilegio, este debe otorgarse únicamente a personas de confianza. Tan solo a aquellas personas consideradas como responsables se les pueden confiar privilegios de root: la capacidad de cambiar las configuraciones del sistema, instalar software, modificar cuentas de usuario o acceder a datos securizados. Por supuesto, desde el punto de vista de la seguridad, no tiene sentido confiar en alguien a ciegas. Esta es la razón por la cual incluso el acceso privilegiado necesita ser controlado y monitoreado. Y, claro está, los privilegios pueden ser revocados en cualquier momento.

¿Qué otros nombres le suelen dar a la Gestión de Acceso Privilegiado?

La nomenclatura de esta categoría de software sigue cambiando, y se suele denominar desde «Gestión de Cuentas Privilegiadas» a «Gestión de Sesiones Privilegiadas».

For this reason, the acronym PAM is sometimes also known as PSM or PxM.

¿Por qué necesitaría PAM?

PAM protege a su organización del uso indebido del acceso privilegiado, ya sea accidental o deliberado. Esta solución es particularmente interesante si su organización está creciendo, ya que cuanto más amplios y complejos sean los sistemas de TI de su organización, más usuarios privilegiados tendrá. Esto incluye empleados, contratistas, usuarios en remoto o incluso automatizados. ¡Muchas organizaciones tienen hasta el doble o el triple de usuarios privilegiados que de empleados!

Algunos de estos usuarios administradores pueden desactivar protocolos de seguridad existentes, lo que constituye una gran vulnerabilidad. Por ejemplo, si sus administradores pueden realizar cambios no autorizados en el sistema, acceder a datos prohibidos y después ocultar sus acciones, eso puede suponer un verdadero problema para su organización. Dejando de un lado las amenazas internas, esta también es una oportunidad magnífica para aquellos atacantes externos que desean ganar acceso a su sistema utilizando dichas credenciales de administrador. Pero no se preocupe, PAM resuelve este problema.

Otorgar privilegios a los usuarios únicamente en aquellos sistemas en los que estén autorizados.
Otorgar acceso tan solo cuando sea necesario y revocarlo tan pronto como desaparezca dicha necesidad.
Evitar que los usuarios privilegiados tengan o necesiten contraseñas locales/directas del sistema.
Gestionar de forma centralizada el acceso a un conjunto de sistemas heterogéneos.
Crear una pista de auditoría inalterable para cualquier operación privilegiada.

Componentes de una solución PAM

Las soluciones de Gestión de Acceso Privilegiado pueden diferir en sus arquitecturas, pero la mayoría constan de los siguientes componentes:

Access Manager: este módulo de PAM gobierna el acceso a las cuentas privilegiadas. Se trata de un único punto de definición y aplicación de políticas para la Gestión de Acceso Privilegiado. A través del Access Manager, los usuarios privilegiados pueden solicitar el acceso a un sistema. Este componente sabe a qué sistemas puede acceder un usuario y a qué nivel de privilegio. Un superadministrador puede añadir, modificar y eliminar cuentas de usuarios privilegiados en el Access Manager. Este planteamiento reduce el riesgo de que un antiguo empleado conserve acceso a un sistema crítico. (¡Esta situación se da mucho más de los que les gustaría admitir a los responsables de TI!)

Vault de contraseñas: los mejores sistemas PAM evitan que los usuarios privilegiados conozcan las contraseñas actuales de los sistemas críticos evitando, por ejemplo, la desactivación manual de un dispositivo físico. En cambio, el sistema PAM guarda esta contraseña en un vault seguro y le permite al usuario privilegiado acceder a un sistema una vez que éste haya retirado al Access Manager.

Session Manager: el control del acceso no es suficiente. Usted necesita saber qué es lo que hizo exactamente un usuario privilegiado durante una sesión de administrador. Un Session Manager rastrea las acciones llevadas a cabo durante una sesión de cuentas privilegiadas.

¿En qué se diferencia PAM de la Gestión de Identidades?

A menudo se confunde a PAM con la amplia categoría de la Gestión de Identidades. Hay cierto solapamiento, pero ambas soluciones son bastante diferentes: PAM se centra en el acceso de usuarios privilegiados mientras que la Gestión de Identidades (IdM) se ocupa de autenticar y autorizar a cualquier usuario que necesite acceder a un sistema. Un cajero de un banco que se conecte a una aplicación bancaria será autenticado a través de una solución IdM como Microsoft Active Directory. Esta solución, basada en el Protocolo ligero de acceso a directorios (LDAP, por sus siglas en inglés), no se adapta bien a PAM. Es un gran producto, pero no está pensado para controlar a los usuarios con privilegios. Por ejemplo, en el caso del Active Directory, no todos los dispositivos con cuentas de usuarios privilegiados se integran fácilmente en él.

Las soluciones de IdM también suelen estar diseñadas pensando en la apertura. En cambio, PAM ha sido concebida para ser cerrada. Por ejemplo, el estándar OAuth permite que la aplicación de una empresa autorice el acceso a una aplicación móvil de un tercero (p. ej., un sistema bancario utiliza OAuth para permitir a un usuario ver desde su móvil el saldo de una cuenta de comercio bursátil gestionada por una entidad diferente). Asimismo, las soluciones de IdM aprovechan las «aserciones de seguridad» como SAML para «poner las manos en el fuego por» un usuario del sistema cuando solicita acceso a datos pertenecientes a terceros. Por el contrario, PAM no utiliza aserciones de seguridad ni estándares de autorización de terceros: ni los necesita ni los quiere.

¿Desea obtener más información sobre PAM? ¡Solicite ya su Prueba Gratuita de WALLIX Bastion!

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

¿Qué es la Gestión del Acceso Privilegiado (PAM)?

What is Privileged Access Management?

¿Qué otros nombres le suelen dar a la Gestión de Acceso Privilegiado?

¿Por qué necesitaría PAM?

Componentes de una solución PAM

¿En qué se diferencia PAM de la Gestión de Identidades?

Supervisión de la seguridad en Azure y Gestión del Acceso Privilegiado (PAM)

Acceso Externo: ¡Le contamos por qué PAM es su mejor amigo!

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca