La Gestión del Acceso Privilegiado (PAM) para los MSSP que utilicen AWS

Pese a que Amazon Web Services (AWS) suponga una buena noticia para los proveedores de servicios, todavía existen desafíos en materia de seguridad. AWS proporciona a los proveedores de servicios una forma de hacer que su negocio crezca sin tener que tratar con muchas de las molestias y costes asociados al mantenimiento de una infraestructura de nube. Por ejemplo, un Proveedor de servicios de seguridad administrados (MSSP) puede dejar que AWS haga todo el trabajo pesado por él, suministrando una infraestructura que sea infinitamente escalable.

Aunque AWS se encargue de securizar la infraestructura, el proveedor de servicios sigue teniendo que hacer frente a la protección de sus propias aplicaciones. Esta responsabilidad incluye la gestión y monitoreo de los usuarios privilegiados (administradores) que, si no se controlan apropiadamente, pueden llegar a constituir una amenaza potencialmente significativa para la organización.

AWS securiza su infraestructura, pero son los MSSP quienes deben proteger sus propias aplicaciones.

El impacto del modelo de seguridad de dos niveles

AWS, como la mayoría de los proveedores de infraestructuras de nube, trabaja con una política de seguridad de «dos niveles». Estos proveedores defienden la propia infraestructura, incluyendo la red y el hardware subyacente. Cabe destacar que el cliente proveedor de servicios tiene que establecer políticas y mecanismos de aplicación que sean adecuados para satisfacer sus objetivos de negocio.

Los proveedores de servicios tienen que suministrar su solución a clientes individuales además de AWS. Existen muchos factores que forman parte del suministro de un servicio de seguridad, incluidas las operaciones como el escaneo de malware o la aplicación de parches. No obstante, la gestión de los usuarios privilegiados surge como una de las tareas esenciales para la seguridad.  El proveedor de servicios necesita estar seguro de que tan solo las personas adecuadas pueden acceder a los back-ends administrativos que impulsan sus soluciones. Sin este tipo de control, las vulnerabilidades se disparan.

La importancia de PAM para los proveedores de servicios en AWS

La Gestión de Acceso Privilegiados (PAM) implica la administración, monitoreo y auditoría de las actividades de los usuarios privilegiados. Un usuario privilegiado que tenga acceso root puede llevar a cabo las siguientes tareas:

  • Cambiar las configuraciones del sistema
  • Instalar software
  • Crear y modificar usuarios
  • Acceder o modificar datos securizados
  • Modificar sus propios niveles de privilegios administrativos y los de terceros

Una de las particularidades de PAM es el gran trabajo que supone para cualquier organización. Sin embargo, en el caso de los proveedores de servicios en AWS, este esfuerzo se duplica: el proveedor de servicios tiene que estar al tanto de sus propios usuarios privilegiados. De igual manera, este proveedor también debería permitir que sus clientes mantuvieran un cierto nivel de control sobre sus propios usuarios privilegiados.

Por ejemplo, un MSSP tiene que rastrear cómo sus empleados configuran y modifican la solución MSSP en AWS. Una vez que los clientes del MSSP obtienen sus propias instancias basadas en la nube de la solución MSSP, estos buscan controlar a aquellos usuarios que puedan obtener acceso root. La capacidad del cliente MSSP de funcionar de forma eficaz será determinada sobre todo por su PAM. Si alguna de estas entidades empleara contratistasusuarios remotosusuarios automatizados, la cosa se complicaría aún más, ya que sus privilegios son necesarios para las actualizaciones y mantenimiento del sistema.

Cómo funciona PAM para un proveedor de servicios basado en AWS

PAM proporciona una solución centralizada y segura para la autorización, reautorización y monitoreo de todos los usuarios privilegiados en la solución basada en AWS. Además, aplica políticas que limitan que los usuarios privilegiados ignoren los sistemas de seguridad, protegiendo a la organización no solo de las amenazas «internas», sino también de aquellos hackers que busquen privilegios mejorados de acceso a la cuenta secuestrada.

PAM proporciona a las organizaciones una solución centralizada para autorizar, reautorizar y monitorear a todos los usuarios privilegiados.

Algunas de las funciones de una solución PAM:

  • Otorgar privilegios a los usuarios únicamente en aquellos sistemas AWS en los que estén autorizados.
  • Otorgar acceso a AWS tan solo cuando sea necesario y revocarlo tan pronto como desaparezca dicha necesidad.
  • Evitar la necesidad de que los usuarios privilegiados tengan o necesiten contraseñas para sistemas alojados en AWS.
  • Gestionar de forma rápida y centralizada el acceso a un conjunto de sistemas heterogéneos en AWS.
  • Crear una pista de auditoría inalterable para cualquier operación privilegiada que se produzca en AWS.
  • Generar analíticas y predicciones sobre el comportamiento de los usuarios privilegiados.

La solución PAM para proveedores de servicios en AWS

WALLIX ofrece una solución PAM diseñada para los proveedores de servicios que operen en AWS. La solución WALLIX AWS, que se ejecuta en un entorno de AMI de Amazon Linux, está desarrollada por el Amazon Elastic Compute Cloud (Amazon EC2). Es multi-tentant y permite que cada cliente proveedor de servicios disponga de su propia instancia dedicada con funciones de PAM como:

  • Acceso de inicio de sesión único con un solo clic para usuarios privilegiados en AWS.
  • Protección de credenciales sensibles para aplicaciones albergadas en AWS en un vault certificado.
  • Gestión automatizada y ciclo de contraseñas utilizadas en AWS.
  • Control completo y rastreo de todos los usuarios y acciones AWS.
  • Gestión y grabación de sesiones SSH y RDP.
  • Grabación OCR de sesiones RDP y VNC que se pueden consultar.
  • Configuración sencilla de las acciones prohibidas en AWS con alertas y desconexiones de sesión.
  • Registro de auditoría impecable de las sesiones de cuentas privilegiadas en AWS.
WALLIX PAM proporciona las herramientas que las organizaciones necesitan para controlar a sus recursos más críticos.

Garantizar la seguridad AWS con PAM

A pesar de que PAM tan solo sea un componente de la seguridad para un servicio que se esté ejecutando en AWS es, sin lugar a duda, uno de los más críticos.  El acceso privilegiado forma parte de la esencia de muchas medidas defensivas y procesos de seguridad. Es fundamental que un proveedor de servicios que trabaje con AWS sea capaz de identificar quién en su organización, y en las organizaciones de sus clientes, está autorizado a administrar las soluciones alojadas en AWS. A continuación, tendrán que monitorear las sesiones de cuentas privilegiadas y construir un registro de auditoría para que puedan ser avisados en caso de que se detecten actividades sospechosas. La grabación de sesiones ayuda a responder a incidentes en caso de que se produzca un problema. Los proveedores de servicios que construyen en AWS deberían considerar PAM como un requisito indispensabe para la seguridad de sus soluciones.

¿Está interesado en saber más sobre cómo la solución de WALLIX puede ayudar a garantizar a seguridad de AWS en su organización? Póngase en contacto con nosotros.