Por Morey J. Haber, director de Seguridad de BeyondTrust
¿Qué es CIEM?
La gestión de los privilegios de la infraestructura en la nube (CIEM, pronunciado «Kim») se refiere al proceso de descubrimiento y gestión de los permisos y privilegios, y al proceso de aplicación de los mínimos privilegios en la nube. Las soluciones CIEM son soluciones de gestión de la seguridad en la nube centradas en la identidad, cuyo objetivo es agilizar la gestión de los privilegios y la aplicación de los mínimos privilegios en los proveedores de servicios en la nube (CSP) y en los entornos multicloud.
Aunque las soluciones CIEM pueden ser utilizadas en organizaciones que operan en un único entorno de nube (pública o privada), proporcionan un mayor valor cuando se aprovechan en entornos de multi-nube. De lo contrario, las organizaciones se verían obligadas a depender de un conjunto de herramientas nativas de los distintos proveedores de nubes que utilizan.
Este blog proporcionará una visión general de CIEM, incluyendo por qué es necesario, sus beneficios, y la solución BeyondTrust Cloud PrivilegeBroker.
¿Por qué es necesario el CIEM?
La nube proporciona una infraestructura dinámica para que los recursos se construyan y desabastezcan en función de la demanda y la carga de trabajo. Las identidades creadas para estos casos de uso dinámico son especialmente susceptibles de ser sobre aprovisionadas con privilegios, creando un riesgo desmesurado.
Aunque los proveedores de la nube ofrecen algunas herramientas nativas de gestión de identidades, estas herramientas no son portables a las plataformas de otros proveedores de servicios en la nube. Cuando las organizaciones utilizan varios proveedores, implementar las políticas y el tiempo de ejecución para gestionarlas todas se convierte en una carga debido a las disparidades inherentes de la terminología a las identidades y los privilegios.
La mala gestión de las identidades en la nube puede provocar un riesgo excesivo para la seguridad en la nube. Sin un enfoque proactivo de la gestión de las identidades en la nube y sus privilegios asociados, es inevitable que se produzca un incidente perjudicial. Esto es especialmente cierto si una identidad tiene demasiados privilegios.
La implementación de una gestión centralizada y del concepto de mínimo privilegio para estas identidades puede reducir el riesgo para todo el entorno. Sin embargo, en ausencia de controles estandarizados, la complejidad de la administración de los privilegios de acceso en varias nubes es una fórmula demostrada para los puntos ciegos de visibilidad, las brechas de seguridad en la nube, las anomalías de cumplimiento y una posible infracción.
Beneficios del CIEM
CIEM es una nueva solución diseñada completamente en y para la nube. Permite a las organizaciones descubrir, gestionar y supervisar los privilegios en tiempo real y, a continuación, modelar el comportamiento de cada persona en múltiples infraestructuras en la nube, incluidos los entornos híbridos. La tecnología señala y alerta cuando se identifican riesgos o comportamientos inadecuados y aplica políticas de mínimos privilegios para cualquier infraestructura en la nube. Los productos CIEM aprovechan la automatización para cambiar las políticas y los privilegios. Esto hace que el propietario de la solución pueda aplicar fácilmente las mismas políticas en recursos de nube tradicionalmente incompatibles.
La integración de CIEM con otras soluciones fundamentales de gestión de accesos privilegiados (PAM) unifica la gestión de secretos, contraseñas, privilegios mínimos y accesos remotos para garantizar que se aborda cualquier brecha de privilegios y privilegios. Esto contribuye en gran medida a abordar la superficie de riesgo de la seguridad en la nube.
Una de las funciones principales de la gestión de accesos privilegiados es laaplicación del principio de mínimo privilegio (PoLP). La aplicación de un modelo de seguridad de mínimo privilegio implica asignar sólo los permisos mínimos necesarios a un usuario (o identidad de máquina) para realizar una tarea específica y utilizar un modelo de acceso temporal (JIT)para estos privilegios durante el tiempo necesario para completar la tarea. En otras palabras, sólo asignar el acceso privilegiado según sea necesario, cuando se cumplan los desencadenantes de contexto adecuados. Esta práctica reducirá eficazmente la superficie de ataque de una empresa, ya sea en las instalaciones o en la nube. La integración de CIEM en una plataforma PAM tradicional ayuda a garantizar que no se pase por alto ninguna instancia de acceso privilegiado.
Los beneficios del CIEM son cruciales para cualquier proyecto de transformación digital y entorno multicloud:
Proporciona una visión consolidada y estandarizada para la gestión de identidades y privilegios en la nube.
Permite la supervisión y configuración granular de los permisos y privilegios, y aplica el concepto de autoridades para rastrear los modelos de privilegios entre los distintos proveedores de servicios en la nube.
Aplica un proceso automatizado para garantizar que todas las identidades son apropiadas y se asignan adecuadamente a cada carga de trabajo.
Recoge las diferencias entre las distintas plataformas de infraestructura en la nube y proporciona una visión única con orientación práctica para su resolución.
¿Cuáles son las principales características de una solución CIEM?
Hoy en día, el CIEM es necesario como parte de una solución PAM de próxima generación para hacer frente a los desafíos de las identidades en entornos de nube y multi-nube. Las soluciones CIEM implementan las siguientes prácticas recomendadas de seguridad:
Descubrimiento de cuentas y privilegios: haga un inventario de todas las identidades y privilegios y clasifíquelos adecuadamente, en tiempo real. Esto se ajusta a la naturaleza dinámica de los entornos de la nube y a las propiedades temporales de los recursos de la nube.
Conciliación de privilegios en varias nubes: reúne las cuentas y los privilegios e identifica cuáles son únicos por nube y cuáles son compartidos, utilizando un modelo uniforme para simplificar la gestión.
Clasificación de privilegios: Basado en la información de detección, los privilegios pueden ser reportados, consultados, auditados y gestionados por el tipo de derecho, los permisos y por el usuario. Esto permite orientar la información para cumplir con los objetivos y las identidades de gestión y la clasificación basada en los privilegios.
Optimización de los privilegios: basándose en el descubrimiento en tiempo real y el uso operativo de los privilegios, la solución clasifica el exceso de recursos y las identidades. A continuación, las identidades pueden optimizarse para el acceso menos privilegiado.
Supervisión de los privilegios: la detección en tiempo real también permite identificar cualquier cambio en las identidades y los privilegios, lo que permite alertar y detectar cambios inadecuados que podrían suponer un riesgo para el entorno, los procesos y los datos.
Corrección de privilegios: basándose en todos los datos disponibles, aconseja y, en la mayoría de los casos, automatiza completamente la eliminación de las identidades y los privilegios asociados que infrinjan las políticas establecidas, o requiere una corrección para aplicar los principios de mínimo privilegio.
Arquitectura estándar de implantación del CIEM
Los principales componentes de la arquitectura de una solución CIEM estándar incluyen:
Conexiones basadas en la API para enumerar las identidades y los privilegios por proveedor de nube e instancia.
Almacenamiento para la creación de modelos y el análisis de identidades, privilegios y políticas de reparación actuales e históricas
Mecanismo de políticas para identificar las amenazas, los cambios y la creación y asignación inapropiada de identidades y privilegios
Interfaz de usuario para la gestión de la solución y la agregación de la información de la nube múltiple en una sola imagen
La principal ventaja de esta arquitectura de seguridad con respecto a las soluciones PAM e IAM on-premise se basa en que los conectores basados en la API operan y descubren las identidades en tiempo real. Con esta arquitectura, el mecanismo de políticas y la automatización se adaptan para identificar los riesgos en los entornos de la nube. El estado de las identidades y los privilegios puede evaluarse continuamente. Además, la interfaz de usuario está basada en atributos para mostrar toda la información relevante independientemente del proveedor de la nube.
La tecnología on-premise se basa generalmente en el descubrimiento por lotes a través de la red utilizando agentes, direcciones IP o listas de activos que pueden resolverse mediante DNS. Por el contrario, la detección en la nube proporciona resultados casi perfectos en comparación con los resultados llenos de errores de la exploración en la red.
Cloud PrivilegeBroker – Una solución CIEM de un líder en PAM
BeyondTrust Cloud PrivilegeBroker es una solución CIEM que proporciona a los clientes una visión centralizada de los permisos y privilegios en toda su huella multicloud. Cloud PrivilegeBroker es una extensión natural de lo que hemos hecho durante muchos años: aplicar el principio de mínimo privilegio en toda la infraestructura de nuestros clientes.
Con las organizaciones acelerando los proyectos de transformación digitaly migrando recursos y cargas de trabajo a la nube, BeyondTrust puede ayudarle a mitigar el riesgo de la nube relacionado con usuarios con demasiados permisos y trabajar hacia un modelo de confianza cero a través de la implementación de políticas de mínimo privilegio. Cloud PrivilegeBroker ayuda a nuestros clientes a lograr esto con recomendaciones detalladas para el ajuste de los privilegios y la recuperación guiada.
El panel de control de Cloud PrivilegeBroker facilita la visualización de la puntuación de riesgo global y el riesgo a lo largo del tiempo relacionado con los privilegios. El panel también muestra un resumen de los elementos de alto privilegio que hay que abordar.
Cloud PrivilegeBroker hace que sea mucho más fácil entender y gestionar los privilegios y permisos de múltiples nubes que las herramientas nativas de IAM integradas en cada plataforma de nube por separado. Nuestra solución le ayuda a armonizar esta visión, a gestionar las políticas en todo el conjunto de nubes y a mejorar la productividad general.
Estas son las 7 ventajas que ofrece Cloud PrivilegeBroker a nuestros clientes:
- Obtener una visibilidad inmediata de los permisos y privilegios en toda la infraestructura multicloud.
- Identificar rápidamente a los usuarios con exceso de privilegios.
- Simplificar la gestión de los privilegios proporcionando recomendaciones detalladas para la aplicación de las políticas en las plataformas en la nube.
- Mitigar la proliferación de privilegios revelando continuamente los permisos excesivos y ajustándolos.
- Comprender el riesgo asociado a las identidades y privilegios sobre provisionados, con una única puntuación de riesgo.
- Seguir los esfuerzos de mitigación con una visión del riesgo a lo largo del tiempo.
- Ayudar a los equipos de seguridad y auditoría a cumplir y demostrar el cumplimiento con una vista de las recomendaciones completadas y una pista de auditoría.
Las soluciones CIEM abordan una brecha en la gestión de privilegios en múltiples nubes y proporcionan la visibilidad y el control necesarios sobre los permisos que podrían exponer a las organizaciones a peligrosos vectores de amenaza y hacerlas susceptibles de sufrir una brecha. Estas soluciones de gestión de la seguridad en la nube están evolucionando y se integran perfectamente con PAM para garantizar que los entornos on-prem, en la nube e híbridos estén representados de forma armoniosa e igualmente seguros.
BeyondTrust Cloud PrivilegeBroker ofrece a los clientes una gestión centralizada, eficiente y granular de miles de permisos y privilegios en la nube que devuelven a los equipos el control de su infraestructura crítica, reduciendo significativamente el riesgo de una brecha en la nube.