Adaptación del articulo “The Cloud Security Layer Cake: Modern Use Cases for PAM”  https://www.cyberark.com/resources/blog/the-cloud-security-layer-cake-modern-use-cases-for-pam

Cálido, rico y chocolatoso. Desde el punto de vista de Sam Flaster (Escritor del blog), un pastel de chocolate es la mejor experiencia sensorial que un ser humano puede tener. Y en el mundo de las TI, se podría decir lo mismo de una infraestructura de TI diversa y especialmente diseñada. Cada aplicación empresarial, ya sea interna o orientada al cliente, debe ejecutarse en el servidor, la máquina virtual (VM), el contenedor o la base de datos correcta para la tarea en cuestión.

Y tal como un pastel de chocolate perfecto, la infraestructura empresarial moderna es multicapas. Una capa de TI fundamental son los servidores Linux y Windows que aún ejecutan de manera efectiva las aplicaciones On-Premises probadas y verdaderas. Otra capa está compuesta por las máquinas virtuales VMs alojadas en la nube, donde las organizaciones ‘elevan y cambian’ las aplicaciones en busca de eficiencia operativa. Las aplicaciones SaaS que empoderan a la fuerza laboral son otra capa. Lo mismo se aplica a los contenedores y las funciones serverless que impulsan las aplicaciones nativas de la nube de una empresa. Y luego, por supuesto, está la capa más poderosa (y de mayor riesgo) de la TI moderna, la capa de administración de la nube, donde los ingenieros y administradores inician o cambian configuraciones a través de la consola o la interfaz de línea de comandos (CLI).

Asegurar las identidades con acceso de alto riesgo a cada una de estas capas requiere controles personalizados, seguridad de identidad y programas de gestión de acceso privilegiado (PAM) a los cuales se les encarga de asegurar los accesos de mayor riesgo, y se les permite diseñarse cuidadosamente para abordar cada capa de la infraestructura de TI moderna.

Capa 1: Controles PAM para el Sistema de Niveles de Acceso a las Cargas de Trabajo Ejecutadas dentro de las VMs

No importa que tan bueno sea un pastel si su base no puede soportarlo. Muchas empresas aun administran gran parte de su infraestructura en Linux, Windows, bases de datos e incluso en Maingrame para la ejecución de sus aplicaciones probadas y verdaderas. Ocurre principalmente en industrias y corporaciones altamente reguladas, donde la computación de baja latencia es esencial, como en finanzas, energía y manufactura. Incluso cuando las organizaciones trasladan estos sistemas establecidos a la nube para obtener ahorros operativos, muchas adoptan un enfoque de ‘lift-and-shift’. Estos sistemas aún funcionan bien, por lo que no es necesario rediseñarlos más allá de moverlos de servidores locales a máquinas virtuales alojadas en la nube.

Ya sea que se alojen en las instalaciones o en la nube, siempre será esencial asegurar las credenciales privilegiadas y las claves SSH que otorgan acceso administrativo a estas cargas de trabajo. Esto es especialmente cierto en el caso de las cuentas integradas en servidores y máquinas virtuales, como las cuentas raíz en servidores Linux.

Las mejores prácticas fundamentales de PAM, como la rotación automática de credenciales y el acceso con privilegios mínimos, no solo pueden reducir el riesgo de robo de credenciales. A veces, estos controles pueden incluso ser necesarios para el cumplimiento de la seguridad de TI o la cobertura del seguro cibernético.

Consejo para hornear: como un buen pastel, los buenos programas de seguridad de identidad necesitan varias capas. Además de asegurar las credenciales, es esencial aplicar prácticas adicionales a PAM, como monitorear y aislar sesiones privilegiadas. Esto puede ayudar a disuadir las amenazas internas y evitar que el ransomware y el malware lleguen a las máquinas virtuales.

Capa 2: Controles PAM para el Acceso Operativo a las Cargas de Trabajo Ejecutadas dentro de las VMs

La mayoría de las máquinas virtuales son de corta duración. Esta es una de las propuestas de valor fundamentales de la computación en la nube; las organizaciones pueden ejecutar cargas de trabajo en máquinas virtuales alquiladas sin gastar tiempo ni dinero en el mantenimiento de la infraestructura. Si bien la administración de alto riesgo en máquinas virtuales específicas a veces puede ser necesaria, las organizaciones generalmente no crean cuentas de nivel de sistema dedicadas (y el riesgo asociado) para acceder a estas máquinas de corta duración.

Los programas PAM juegan un papel importante en asegurar el acceso a cargas de trabajo efímeras. Cuando se necesita acceso a sistemas autoadministrados específicos, el acceso privilegiado operativo puede elevarse justo a tiempo (JIT) para reducir el riesgo de robo de credenciales, lo que ayuda a reducir los privilegios permanentes. Los equipos de desarrollo y TI pueden elevar el acceso de forma nativa sin claves SSH ni contraseñas mediante el control de acceso basado en atributos (ABAC). Los equipos de seguridad de identidad pueden etiquetar cargas de trabajo para un proyecto específico mediante las funciones de etiquetado de CSP, lo que permite a los usuarios finales conectarse de forma nativa solo a los recursos etiquetados con este atributo. Y dado que los usuarios no tienen contraseñas con privilegios permanentes, existe un riesgo significativamente menor de robo de credenciales.

Consejo para hornear: La ausencia de credenciales no equivale a la ausencia de confianza. Para adoptar los conceptos de Zero Trust para el acceso a la nube, adopte el paradigma «nunca confíe, siempre verifique». Las mejores prácticas de PAM, como la aplicación de privilegios mínimos y el aislamiento de sesiones, reducen la confianza. Mientras tanto la implementación de la autenticación multifactor adaptativa (MFA) puede ayudarle a verificar.

Capa 3: Acceso en la Nube a los Servicios del Proveedor de Servicios en la Nube.

Los equipos PAM ya lo saben: un gran poder conlleva una gran responsabilidad. Proteger el acceso más poderoso en la nube pública es fundamental. Y eso incluye el acceso que utilizan los ingenieros de élite para lanzar, configurar y desmantelar los servicios que impulsan sus aplicaciones. Ya sea que estos ingenieros accedan a esta capa de administración de la nube a través de consolas web o CLI, su acceso debe estar protegido.

La elevación de JIT puede ayudar a reducir el riesgo de robo de credenciales en estos escenarios. Pero una vez que se eleva el acceso, los equipos de desarrollo tienen derechos para cambiar o eliminar lo que quieran.

Muchas organizaciones están adoptando el concepto de seguridad emergente de Cero Privilegios Permanentes (ZSP) para proteger a los equipos de desarrollo sin ralentizarlos. En este modelo, los ingenieros pueden elevar el acceso JIT solo a roles con el alcance de los permisos suficientes para el trabajo en cuestión (o, en otras palabras, acceso con privilegios mínimos).

ZSP proporciona una reducción de riesgos significativa y de defensa en profundidad. En primer lugar, los desarrolladores no tienen credenciales con acceso permanente, por lo que esas credenciales no se pueden robar. En segundo lugar, incluso si los desarrolladores se convierten en infiltrados maliciosos o ven comprometido su acceso, sus permisos son limitados, lo que reduce el radio de explosión de un ataque.

Consejo para hornear: Empodera a los desarrolladores con ZSP, en lugar de ralentizarlos. En una interrupción o situación crítica («critsit»), los ingenieros necesitan la capacidad de utilizar sus herramientas preferidas para solicitar derechos elevados y salvar el día. La integración con las herramientas de desarrollo preferidas es fundamental para estos casos y al igual que la adopción significativa de controles PAM. Lo mismo se aplica a los controles de monitoreo de sesión para disuadir amenazas internas y mantener registros de auditoría con fines de cumplimiento.

Capa 4: Acceso de alto riesgo a aplicaciones SaaS

El riesgo no se limita a los entornos de infraestructura y software. También existe en aplicaciones web alojadas en la nube que utilizan todos los miembros de la fuerza laboral, desde ingenieros de software hasta administradores de recursos humanos y finanzas. Desafortunadamente, este acceso también presenta un riesgo de seguridad significativo, considerando que los atacantes pueden usarlo para obtener acceso a datos confidenciales.

Las organizaciones pueden proteger esta capa final de acceso de alto riesgo en la nube con protección de sesión del navegador web y controles de monitoreo. La protección de sesión puede defenderse contra el secuestro de sesión y los ataques de robo de cookies. Al igual que con la infraestructura o el acceso a la consola, el monitoreo de sesiones de alto riesgo puede proporcionar un seguimiento de auditoría completo de la actividad del usuario para satisfacer los requisitos de cumplimiento y evitar el uso indebido interno.

Sugerencia para hornear: Para obtener la receta correcta de seguridad en la nube, ajuste los controles de acuerdo con el nivel de riesgo de los datos en una aplicación SaaS. Por ejemplo, el acceso comprometido a aplicaciones que contienen datos de IP o Registros Medicos Electronicos, presentan más riesgos que el acceso a una aplicación de capacitación. Al igual que con los controles PAM que aseguran el acceso a la infraestructura de alto riesgo, requerir una autenticación mejorada para las aplicaciones web más confidenciales es una mejor práctica simple que puede reducir significativamente el riesgo.

Capa 5: La Gestión de Secretos

Los humanos no son las únicas identidades que requieren acceso privilegiado en entornos de varias nubes. Las identidades de las máquinas, como las funciones serverless, las cuentas de aplicaciones y los bots RPA, también usan credenciales para autenticar procesos autónomos. De hecho, se estima que las identidades de las máquinas superan en número a las identidades humanas en el mundo actual, que se encuentra cargado de software, por un factor de 45:1.

Las organizaciones deben controlar los secretos de las aplicaciones de forma consistente para reducir el riesgo de que los atacantes comprometan las credenciales codificadas. Centralizar la gobernanza y la rotación de credenciales en un único centro independiente de la nube puede ayudar a mitigar este riesgo.

Sugerencia para hornear: Para obtener el glaseado más sabroso, satisfaga los gustos de sus equipos de desarrollo. Muchos ingenieros prefieren usar herramientas nativas de AWS, Azure y GCP. Permitir la rápida «actualización» de la gestión de credenciales a los almacenes de secretos nativos de la nube puede mantener contentos a los desarrolladores y mantener seguros los secretos.

Los controles de privilegios inteligentes son ingredientes vitales dentro de cada capa de un entorno de múltiples nubes. Con un enfoque en capas para asegurar el acceso privilegiado, las organizaciones pueden desarrollar una receta poderosa: seguridad fácil de usar que no ralentiza la velocidad de ingeniería. Ese es todo un logro, aunque tal vez no tan impresionante como un buen pastel de chocolate.