Volver a lo básico con la administración de permisos en la nube


Al usar el marco de administración de permisos AAA para operaciones en la nube, las organizaciones pueden abordar la autenticación, autorización y auditoría.

A medida que paso más tiempo discutiendo la nube con clientes y socios de seguridad, me ha hecho pensar mucho sobre cómo la industria está evolucionando continuamente para descubrir nuevas formas de estratificar en seguridad y complejidad, mientras que al mismo tiempo descuido algunos de los conceptos básicos.

Un ejemplo principal es la administración de permisos para identidades y recursos que acceden a la infraestructura en la nube (privada, pública o híbrida). Uno de los marcos de seguridad frecuentemente citados es un marco AAA relativamente easy: autenticación, autorización y auditoría. Este marco está destinado a ayudar a las personas a comprender los matices de la gestión de la identidad y a pensar específicamente sobre cómo reducir o mitigar el riesgo minimizando la superficie de ataque.

Específicamente, las empresas necesitan administrar todas las identidades (humanas o no humanas) en función de lo que se les permite acceder (a través de la autenticación, por ejemplo, contraseñas), así como a qué tareas pueden realizar estas identidades mediante la autorización y la gestión de privilegios. El marco también define las acciones realizadas por las identidades a través de auditorías y registros.

Aunque los vectores de amenazas que enfrentan las organizaciones han evolucionado significativamente y han aumentado su sofisticación, sigo creyendo que este marco es fácil de entender e implementar También es esencial usarlo como foundation para que las empresas desarrollen su estrategia de seguridad en la nube.

Así es como esto podría funcionar en una organización centrada en la nube o en la nube.

¿Autenticación? ¿O cero confianza?
Con la continua adopción de infraestructura en la nube, aplicaciones en la nube y dispositivos y aplicaciones móviles, el concepto de seguridad basada en el perímetro para la autenticación es inadecuado. De hecho, creo que es una forma muy arcana de ver la autenticación. En los últimos 10 años, este espacio ha visto un cambio muy necesario en el pensamiento y la estrategia liderados por proveedores como Okta, Ping Identification y Netskope. Los clientes buscan una solución de autenticación que funcione en su infraestructura de centro de datos existente y su infraestructura en la nube. La nueva arquitectura y estrategia de autenticación tiene como objetivo centrarse en «confiar pero verificar» o «verificar pero nunca confiar» en todos los procesos de autenticación.

Al last, esto solo significa una autenticación más rigurosa e integral que requiere una reestructuración basic de las redes existentes para las organizaciones. La implementación puede llevar tiempo porque hay muchos más conceptos básicos para acertar en la autenticación. Primero, la autenticación multifactorial ya no es negociable: debe implementarse para todos los servicios e infraestructura nativos de la nube, así que deje de retrasar e implemente para todas sus identidades.

Autorización de dimensionamiento correcto
La autorización es el regulate de gestión de permisos más olvidado en la organización de seguridad. Este suele ser el caso en todas las empresas porque en un mundo en la nube, la visibilidad básica requiere un conocimiento profundo de la infraestructura subyacente, y hay decenas de miles de permisos y recursos para administrar. Imagínese si cada identidad de infraestructura en la nube, humana o máquina, tuviera la misma capacidad para realizar tareas y acceder a la misma información, sistemas y datos.

La autorización es esencial para restringir las acciones de las identidades a solo lo que realmente necesitan realizar, lo que lessen significativamente el riesgo no deseado y evitable. Debe formar la foundation de cada programa de seguridad, pero puede ser desalentador en complejidad.

La clave para obtener los conceptos básicos correctos es el tamaño correcto de los permisos y centrarse en los permisos que requiere una identidad en función de lo que requieren para hacer su trabajo a diario en comparación con la identificación de todos los permisos que posiblemente puedan necesitar. Aumente esto con la entrega de permisos o privilegios adicionales bajo demanda cuando y solo cuando las identidades los necesiten. Esto ofrece un modelo de autorización integral basado en los permisos utilizados en lugar de los permisos otorgados.

Auditoría: ¿Quién hizo qué?
Suena uncomplicated para la mayoría de las personas, pero es sorprendentemente complicado y difícil determinar todas las actividades en las que se han ejecutado las identidades. Esto es especialmente cierto cuando considera los miles de recursos a los que estas identidades pueden acceder en múltiples plataformas de infraestructura en la nube.

Es esencial tener capacidades de auditoría como un elemento clave para un marco de seguridad de infraestructura de nube robusto, por difícil o complejo que sea. Saber a qué recursos se accede o se intenta acceder no es suficiente. Saber qué hace o intenta hacer cada identidad dentro de sus recursos de infraestructura en la nube es obligatorio para detectar amenazas y para una respuesta sólida ante incidentes. Esto también es crítico para los controles continuos de seguridad y cumplimiento en todas sus plataformas de infraestructura en la nube.

El cambio a la nube es desalentador y los proveedores de infraestructura de la nube lo hacen aún más complejo. Los servicios de cada proveedor ofrecen un número desconcertante de opciones que vienen con su propio conjunto de permisos predeterminados. Esta complejidad se ve agravada por el uso de múltiples nubes. A medida que se create este cambio a la nube, y el command de acceso es lo único que impide que alguien acceda a información confidencial en un bucket de S3 o instancia de EC2, es importante seguir un enfoque básico para los controles de autenticación, autorización y auditoría para proteger los datos. a escala.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Raj Mallempati es Director de Operaciones de CloudKnox Safety, donde es responsable de los negocios generales de CloudKnox y de las estrategias de comercialización. Antes de unirse a CloudKnox, Raj fue recientemente Vicepresidente Senior de Marketing and advertising en Malwarebytes. Raj también ha celebrado … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia primary