Cómo la unión de la Gestión de Identidades y Accesos (IAM) y PAM ayuda a lograr un gobierno coherente de identidades

En este mes se cumplen 25 años de la famosa viñeta publicada por la revista The New Yorker: «En Internet, nadie sabe que eres un perro». Cuánta razón tenía su autor, y la sigue teniendo un cuarto de siglo más tarde. Lo más probable es que el artista, Peter Steiner, no tuviera ni idea de cuan profética iba a ser su viñeta. En efecto, estamos en «los días perros» de Internet, o al menos en lo que se refiere a la Gestión de Identidades y Accesos (IAM) y PAM.

On the Internet, nobody knows you're a dog - Wikipedia
Peter Steiner, New Yorker Cartoon

¿Quién es quién? La esencia de la Administración y Gobierno de Identidades (IGA) y la Gestión de Identidades y Accesos (IAM)

Todas las medidas de seguridad se basan en la identidad del usuario, cuestión fundamental hoy en día. No solo se trata de saber quién es un perro y quién no, sino más bien de descubrir quién ayuda a agentes malignos, quién es un antiguo empleado rencoroso, y así sucesivamente. Todo control de seguridad debe fundarse en las respuestas a las siguientes preguntas críticas sobre la identidad:

  • «¿Quién es quién?»
  • «¿Es el usuario quién dice ser?» (o lo que dice ser)
  • «¿Puedo confiar en él?»
  • «¿Qué tareas le puedo confiar?»

Este es el origen del gobierno de identidades.

Gobierno de identidades

El gobierno de identidades es la disciplina informática que supervisa quién es quién dentro de una organización, así como quién está autorizado a hacer qué. Por ejemplo, ¿puede Fulanito usar el Sistema A? ¿Y el B? No, no puede acceder a ninguno de ellos, en cambio, Menganito sí que puede utilizarlos. La gobernanza de identidades comprende sistemas, políticas y procesos relacionados con la identidad del usuario, autenticación y autorización de sistemas. También incluye la gestión de los usuarios privilegiados, que son aquellos que tienen permiso para administrar los ajustes del sistema.

En la práctica, el gobierno de identidades implica el uso de soluciones para la Gestión de Identidades y Accesos (IAM) y la Gestión del Acceso Privilegiado (PAM). Para entender cómo funciona el gobierno de identidades (o cómo podría funcionar mejor), primero es necesario entender cómo funcionan IAM y PAM.

Entender cómo funcionan las herramientas disponibles

¿Qué es la Gestión de Identidades y Accesos (IAM)?

IAM se ocupa de dos factores vinculados pero distintos de la identidad del usuario. En primer lugar, una solución IAM tiene que ser capaz de autenticar a un usuario, es decir, hacer la típica pregunta de «¿realmente es quien dice ser?» No obstante, la autenticación del usuario tan solo es una parte del proceso de IAM, ya que esta solución también debe confirmar la(s) autorización(es) del usuario.

Las soluciones IAM verifican:

  • Que los usuarios son quienes dicen ser
  • A qué sistemas/herramientas tiene acceso un usuario determinado

Para comprender mejor el tema haremos una analogía entre la Gestión de Identidades y Accesos y el embarque a un avión. El proceso de «autenticación», en el que demostramos quienes decimos ser, se correspondería con el momento en el que le enseñamos nuestro pasaporte a un agente de aduanas. En cambio, la «autorización» sería más bien el billete que necesitamos para montar en el avión. En pocas palabras, cuando iniciamos sesión con el Active Directory de Microsoft es como cuando enseñamos nuestro pasaporte a un agente de aduanas y este verifica nuestra identidad. Por el contrario, cuando lo hacemos con el Microsoft Exchange Server, es como si estuviéramos mostrando nuestro billete para embarcar en el avión. A esto también se le conoce como control del acceso: no podemos acceder al avión sin billete ni tampoco al Exchange Server sin autorización.

Lo ideal sería que el departamento de TI hubiese configurado la IAM para controlar el acceso a todos sus recursos, como aplicaciones, bases de datos, recursos de almacenamiento y redes y recursos pertenecientes a socios. Por consiguiente, las plataformas de IAM mitigarían la seguridad y los riesgos asociados al incumplimiento que pudiesen surgir de los accesos no autorizados.

¿Qué es la Gestión del Acceso Privilegiado (PAM)?

Un usuario privilegiado es aquel que tiene derecho a iniciar sesión en el back-end administrativo de un sistema, a partir del cual puede configurar, modificar o eliminar otras cuentas de usuario. El usuario puede tener el privilegio de modificar las configuraciones del sistema o incluso desinstalarlas y, en algunos casos, los usuarios privilegiados también pueden acceder a los datos almacenados en el sistema. Cabe destacar que el acceso privilegiado también recibe el nombre de «root access».

Lo cierto es que este tipo de acceso plantea varias potenciales amenazas de seguridad. Por ejemplo, un agente maligno que suplante a un usuario privilegiado podría afectar gravemente a una organización mediante la escucha, la modificación de los datos de producción o la desconexión de los sistemas. Las soluciones PAM logran mitigar dichos riesgos.

Estas soluciones buscan establecer un camino seguro y directo para autorizar y monitorear a todos los usuarios privilegiados, y una de sus funciones es la capacidad de conceder y revocar el acceso privilegiado. Además, las soluciones PAM pueden actuar como un intermediario entre los usuarios privilegiados y los sistemas que gestionan para que así estos usuarios no tengan un acceso directo y de back-end. Con algunas soluciones, como la de WALLIX, el usuario privilegiado ni si quiera sabe la contraseña que se necesita para acceder al sistema que está administrando, lo que evita las invalidaciones manuales, que constituyen una vulnerabilidad significativa.

Las soluciones PAM proporcionan:

–         Control exhaustivo sobre quién tiene acceso a los sistemas críticos

–         Visibilidad completa de la actividad de los usuarios

–         Cifrado y gestión de contraseñas para aplicar políticas de contraseñas sólidas

 

identity access management - IAM - PAM

Cómo funcionan juntos IAM y PAM

Los desafíos de IAM y PAM

Muchas organizaciones tienen una solución IAM como el Active Directory y, o bien algunas funciones de PAM, o bien una solución PAM completa. No obstante, existe el riesgo de que IAM y PAM funcionen como silos, ya que fácil tener políticas de acceso inconsistentes entre las soluciones IAM y PAM. Por ejemplo, mientras que IAM puede requerir revisiones de los privilegios de los usuarios, PAM puede no necesitarlo. Esto es más común de lo que se puede imaginar, sobre todo si PAM no se gestiona con firmeza.

Mejores prácticas de IAM y PAM

La mejor práctica es unir IAM y PAM para lograr un gobierno de identidades unificado. La mecánica de esta unificación es variada. En algunos casos, puede tratarse de una simple coordinación de las políticas de acceso entre las dos soluciones, mientras que las opciones más avanzadas incluyen la integración entre IAM y PAM.

Una solución conjunta IAM-PAM centraliza el gobierno de las identidades, fusionando la gestión de los accesos privilegiados con un único almacén de identidades autorizado. Los beneficios de este planteamiento incluyen un único punto de control para el aprovisionamiento de todos los accesos de identidad en la organización, la simplificación de la incorporación y la salida de usuarios, la detección de usuarios con derechos de acceso excesivos y la posibilidad de que los auditores revisen las posibles incoherencias en los controles de acceso y las violaciones de la política.

La solución WALLIX-AXIAD

Con el objetivo de ofrecer una solución de IAM-PAM integrada, WALLIX se ha asociado con AxiadIDS. Ahora, la solución Bastion PAM de WALLIX se combina con la plataforma de Accesos e Identidades de Confianza de AxiadIDS. Por un lado, WALLIX se encarga de que tan sólo los usuarios autorizados tengan acceso a las cuentas, aplicaciones y dispositivos sensibles mientras que supervisa y gestiona sus permisos y acciones. Y, por otro lado, la plataforma Axiad verifica la identidad de estos usuarios autorizados y garantiza que se pueda confiar en ellos mediante la autenticación a partir de una combinación de credenciales y pruebas de identidad. Ambas soluciones se complementan entre sí, proporcionando un enfoque holístico de la seguridad a través de una solución integrada.

¿Está interesado en obtener más información sobre cómo puede mejorar el control de accesos de sus sistemas, datos y dispositivos más críticos? Póngase en contacto con nosotros y le mostraremos cómo WALLIX le puede ayudar.