¿Qué es la Gestión de Acceso Privilegiado (PAM)?

What is Privileged Access Management?

La clave es entender el significado de la palabra «privilegiado».

Un usuario privilegiado es aquel que tiene acceso administrativo a los sistemas críticos. Por ejemplo, un individuo que pueda crear y eliminar cuentas de correo electrónico en un sistema Microsoft Exchange Server es un usuario privilegiado. Es decir, la palabra no se ha escogido por casualidad y, como con cualquier privilegio, este debe otorgarse únicamente a personas de confianza. Tan solo a aquellas personas consideradas como responsables se les pueden confiar privilegios de root: la capacidad de cambiar las configuraciones del sistema, instalar software, modificar cuentas de usuario o acceder a datos securizados. Por supuesto, desde el punto de vista de la seguridad, no tiene sentido confiar en alguien a ciegas. Esta es la razón por la cual incluso el acceso privilegiado necesita ser controlado y monitoreado. Y, claro está, los privilegios pueden ser revocados en cualquier momento.

 

¿Qué otros nombres le suelen dar a la Gestión de Acceso Privilegiado?

La nomenclatura de esta categoría de software sigue cambiando, y se suele denominar desde «Gestión de Cuentas Privilegiadas» a «Gestión de Sesiones Privilegiadas».

For this reason, the acronym PAM is sometimes also known as PSM or PxM.

¿Por qué necesitaría PAM?

PAM protege a su organización del uso indebido del acceso privilegiado, ya sea accidental o deliberado. Esta solución es particularmente interesante si su organización está creciendo, ya que cuanto más amplios y complejos sean los sistemas de TI de su organización, más usuarios privilegiados tendrá. Esto incluye empleados, contratistas, usuarios en remoto o incluso automatizados. ¡Muchas organizaciones tienen hasta el doble o el triple de usuarios privilegiados que de empleados!

Algunos de estos usuarios administradores pueden desactivar protocolos de seguridad existentes, lo que constituye una gran vulnerabilidad. Por ejemplo, si sus administradores pueden realizar cambios no autorizados en el sistema, acceder a datos prohibidos y después ocultar sus acciones, eso puede suponer un verdadero problema para su organización. Dejando de un lado las amenazas internas, esta también es una oportunidad magnífica para aquellos atacantes externos que desean ganar acceso a su sistema utilizando dichas credenciales de administrador. Pero no se preocupe, PAM resuelve este problema.

Una solución PAM ofrece una manera segura y simple de autorizar y monitorear a los usuarios privilegiados de todos los sistemas importantes. PAM le permite:

  • Otorgar privilegios a los usuarios únicamente en aquellos sistemas en los que estén autorizados.
  • Otorgar acceso tan solo cuando sea necesario y revocarlo tan pronto como desaparezca dicha necesidad.
  • Evitar que los usuarios privilegiados tengan o necesiten contraseñas locales/directas del sistema.
  • Gestionar de forma centralizada el acceso a un conjunto de sistemas heterogéneos.
  • Crear una pista de auditoría inalterable para cualquier operación privilegiada.

Componentes de una solución PAM

Las soluciones de Gestión de Acceso Privilegiado pueden diferir en sus arquitecturas, pero la mayoría constan de los siguientes componentes:

  • Access Manager: este módulo de PAM gobierna el acceso a las cuentas privilegiadas. Se trata de un único punto de definición y aplicación de políticas para la Gestión de Acceso Privilegiado. A través del Access Manager, los usuarios privilegiados pueden solicitar el acceso a un sistema. Este componente sabe a qué sistemas puede acceder un usuario y a qué nivel de privilegio. Un superadministrador puede añadir, modificar y eliminar cuentas de usuarios privilegiados en el Access Manager. Este planteamiento reduce el riesgo de que un antiguo empleado conserve acceso a un sistema crítico. (¡Esta situación se da mucho más de los que les gustaría admitir a los responsables de TI!)
  • Vault de contraseñas: los mejores sistemas PAM evitan que los usuarios privilegiados conozcan las contraseñas actuales de los sistemas críticos evitando, por ejemplo, la desactivación manual de un dispositivo físico. En cambio, el sistema PAM guarda esta contraseña en un vault seguro y le permite al usuario privilegiado acceder a un sistema una vez que éste haya retirado al Access Manager.
  • Session Manager: el control del acceso no es suficiente. Usted necesita saber qué es lo que hizo exactamente un usuario privilegiado durante una sesión de administrador. Un Session Manager rastrea las acciones llevadas a cabo durante una sesión de cuentas privilegiadas.

¿En qué se diferencia PAM de la Gestión de Identidades?

A menudo se confunde a PAM con la amplia categoría de la Gestión de Identidades. Hay cierto solapamiento, pero ambas soluciones son bastante diferentes: PAM se centra en el acceso de usuarios privilegiados mientras que la Gestión de Identidades (IdM) se ocupa de autenticar y autorizar a cualquier usuario que necesite acceder a un sistema. Un cajero de un banco que se conecte a una aplicación bancaria será autenticado a través de una solución IdM como Microsoft Active Directory. Esta solución, basada en el Protocolo ligero de acceso a directorios (LDAP, por sus siglas en inglés), no se adapta bien a PAM. Es un gran producto, pero no está pensado para controlar a los usuarios con privilegios. Por ejemplo, en el caso del Active Directory, no todos los dispositivos con cuentas de usuarios privilegiados se integran fácilmente en él.

Las soluciones de IdM también suelen estar diseñadas pensando en la apertura. En cambio, PAM ha sido concebida para ser cerrada. Por ejemplo, el estándar OAuth permite que la aplicación de una empresa autorice el acceso a una aplicación móvil de un tercero (p. ej., un sistema bancario utiliza OAuth para permitir a un usuario ver desde su móvil el saldo de una cuenta de comercio bursátil gestionada por una entidad diferente).  Asimismo, las soluciones de IdM aprovechan las «aserciones de seguridad» como SAML para «poner las manos en el fuego por» un usuario del sistema cuando solicita acceso a datos pertenecientes a terceros. Por el contrario, PAM no utiliza aserciones de seguridad ni estándares de autorización de terceros: ni los necesita ni los quiere.

¿Desea obtener más información sobre PAM? Solicite su Prueba Gratuita de WALLIX Bastion.