Gestión de identidades y accesos en la nube: comprensión …



Aquí es donde las empresas enfrentan desafíos con la IAM en la nube y las mejores prácticas que deben seguir para corregir estos errores.

Hasta 2025, los clientes tendrán la culpa de 99% de las fallas de seguridad en la nube, según Gartnery El 90% de las organizaciones que no controlan el uso de la nube pública compartirán datos confidenciales de manera inapropiada. Esto no debería sorprender dada la inmensa complejidad de las ofertas de servicios de nube pública y las implementaciones híbridas y multinube hacia las que gravitan las empresas.

Las organizaciones deben implementar pautas de propiedad de la nube, establecer políticas de gobierno y encontrar una manera de visualizar quién tiene acceso a sus entornos de nube para evitar pérdidas financieras y exposición de datos. Por ejemplo, en un reciente evento que involucró a un motor de búsqueda líder, un servidor no seguro con una contraseña eliminada o vencida les dio a los ciberdelincuentes acceso a las consultas de búsqueda de los usuarios y la ubicación que los pone en riesgo de fraude.

Este artículo explora dónde las empresas enfrentan desafíos con la administración de acceso e identidad en la nube (IAM) y las mejores prácticas que deben seguir para corregir estos errores.

Por qué no puede aplicar IAM local en la nube
Muchas empresas asumen erróneamente que pueden usar el mismo enfoque de IAM para la nube y en las instalaciones, lo que pone en riesgo la seguridad y abre oportunidades para errores. Los datos en entornos de nube están altamente distribuidos, mientras que los entornos de centros de datos están centralizados y bien controlados, por lo que no se pueden aplicar las mismas reglas a ambos. Además, la nube permite a los usuarios aprovechar los servicios elásticos que pueden escalar hacia arriba y hacia abajo de forma dinámica. Esto significa que los entornos de nube experimentan una tasa de cambio rápida y las políticas de IAM antiguas que pueden ser adecuadas para las instalaciones locales no pueden mantenerse al día. Por lo tanto, las empresas deben reconocer que necesitan un nuevo conjunto de políticas diseñadas específicamente para su entorno de nube.

Es más fácil decirlo que hacerlo, ya que 81% de las organizaciones utilizan un enfoque de múltiples nubes y las herramientas de IAM de los proveedores de nube pública generalmente no pueden expandirse más allá de su propia plataforma, lo que dificulta la implementación de una solución de IAM estandarizada en todas las plataformas de nube.

Cómo los usuarios estropean los permisos de IAM
Un mistake común en la IAM en la nube es que las organizaciones son demasiado liberales con sus permisos, lo pretendan o no. Las personas de diferentes grupos (como empleados y contratistas) tienen acceso a los recursos en la nube y pueden activar el acceso y cambiar los permisos dentro de los entornos de la nube. Dado que la toma de decisiones está dispersa y es propiedad de personas que no siempre tienen la información básica necesaria para tomar decisiones de acceso informadas, es fácil otorgar acceso sin saberlo a usuarios o recursos que nunca deberían haber tenido acceso en primer lugar. Dado que los entornos en la nube son extensos y complejos, la visibilidad de qué usuarios tienen acceso a los datos se vuelve cada vez más difícil. Esta falta de visibilidad también puede hacer que las empresas ignoren las contraseñas caducadas o eliminadas que comprometen los recursos.

Consecuencias de no proteger a los usuarios y máquinas privilegiados
Las credenciales robadas o comprometidas y las configuraciones incorrectas de la nube fueron las causas más comunes de una brecha para las empresas en 2019, lo que representa casi 40% de incidentes maliciosos. En estos casos, los usuarios no autorizados se aprovechan de las políticas de IAM débiles para obtener acceso a los recursos y datos confidenciales. La infracción resultante suele costar a las empresas un promedio de $ 3,86 millones – y no se detiene ahí. Las infracciones también resultan en daños a la reputación y pérdida de la confianza del cliente, lo que afecta significativamente el valor de una empresa.

Mejores prácticas
Para evitar infracciones y mantener la seguridad de los datos, las organizaciones deben crear políticas de gobierno de IAM específicamente para sus entornos en la nube, y deben poder hacer cumplir estas políticas. Las mejores prácticas para la gobernanza de IAM en la nube incluyen:

  • Asegure la visibilidad para comprender quién o qué tiene acceso a recursos específicos de la nube. La visibilidad debe ser el primer paso y debe abarcar todo el entorno multicloud.
  • Diseñar, implementar y hacer cumplir las políticas de IAM para limitar el acceso a recursos confidenciales solo a los usuarios y máquinas que realmente lo necesitan. Esto incluye diseñar permisos para que los usuarios no puedan cambiar la configuración de permisos. Esto asegura que el acceso no intencional o heredado a través de políticas sea monitoreado y protegido.
  • Investigar herramientas de seguridad para asegurarse de recibir alertas sobre cambios en la política y riesgos posteriores. Por ejemplo, si una contraseña está configurada para caducar, ¿a quién se le avisará y qué sucederá si caduca? Desafortunadamente, el recurso a menudo se deja completamente abierto sin necesidad de autenticación.
  • Exponga los recursos de la nube mal configurados y los errores humanos. Haga la pregunta: ¿Cuál es el «radio de explosión» si ciertos recursos están expuestos? ¿Pueden aprovechar esa información usuarios no autorizados para obtener acceso a recursos adicionales? Tener en cuenta la superficie de ataque extendida al escribir e implementar políticas de IAM ayuda a garantizar que los activos más críticos estén protegidos adecuadamente.

El futuro
Mediante 2024Gartner predice que la mayoría de las empresas seguirán luchando para medir los riesgos de seguridad en la nube. Sin embargo, esto no debería disuadir a las organizaciones de usar la nube para impulsar sus cargas de trabajo y mejorar la eficiencia y la productividad. Las empresas deben tener una estrategia de gobierno en la nube para evaluar el riesgo frente a la recompensa para tomar decisiones informadas. Al implementar políticas de gobernanza e IAM para personas y máquinas mientras se mejora la visibilidad de la nube, las empresas pueden garantizar que los datos permanezcan seguros, que solo los usuarios autorizados tengan acceso a datos confidenciales y que el radio de explosión se minimice si ocurre un mistake.

Como evangelista técnico de CloudSphere, Keith Neilson es responsable de las relaciones y la estrategia con los analistas y proveedores de la nube de la empresa, con un enfoque en garantizar que el mercado en typical comprenda la propuesta de valor comercial y técnica de la plataforma CloudSphere. En … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original