La gestión de derechos de infraestructura en la nube (Cloud Infrastructure Entitlement Management, CIEM) es un enfoque basado en software para gestionar los derechos, permisos y privilegios de acceso de usuarios y aplicaciones a los ambientes en la nube de una organización.
Índice
Debido a que las organizaciones se han vuelto cada vez más dependientes de aplicaciones e infraestructura en la nube, se ha vuelto un componente crítico de la ciberseguridad gestionar los derechos, privilegios y permisos de los usuarios.
La mayoría de los servidores en la nube tienen capacidades limitadas de gestión de accesos e identidades (IAM) que no fueron creadas para la escala, complejidad y naturaleza dinámica de los ambientes actuales. Cloud Infrastructure Entitlement Management (CIEM) ayuda a cerrar las brechas, especialmente para aquellos ambientes multinube que representan un desafío especial para las soluciones tradicionales de gestión de accesos.
Una ventaja clave de CIEM es que permite que los equipos de seguridad hagan cumplir los modelos de acceso del menor privilegio, reduciendo los riesgos comunes asociados con el exceso de permisos. El enfoque del menor privilegio limita el acceso de los usuarios a recursos e infraestructura al mínimo necesario para realizar una tarea dada, esto en línea con los principios de la seguridad zero-trust. CIEM hace más fácil cumplir con este enfoque al simplificar el monitoreo y seguimiento de las identidades de los usuarios en los ambientes en la nube.
¿Cómo funciona CIEM?
CIEM automatiza la configuración y el cumplimiento de las reglas de identidades y las políticas de seguridad en los ambientes empresariales en la nube. CIEM escanea los permisos existentes, registra quién los está usando (tanto humanos como máquinas) y ajusta los privilegios de acceso conforme sea necesario para asegurarse de que están alineados con las políticas empresariales. Estos ajustes pueden automatizarse (típicamente es el caso de los ambientes de gran escala) o se pueden realizar de forma manual cuando el equipo de seguridad recibe una alerta de parte de CIEM.
Las herramientas de CIEM son sofisticadas y usan machine learning y analíticos para comprender y monitorear las políticas de acceso y cómo se aplican en los ambientes en la nube. Esto significa que las herramientas CIEM pueden hacer más que solamente asegurar que se están asignando correctamente los permisos (es decir, que cumplan con las políticas empresariales). Pueden monitorear el comportamiento de los usuarios y notificar a los equipos de seguridad acerca de cualquier anomalía o brecha potencial. Al realizar ambas funciones, CIEM brinda una seguridad fuerte e integral para las empresas a través de sus plataformas en la nube.
Las funcionalidades clave de la mayoría de las soluciones CIEM incluyen:
- Monitoreo continuo: Las herramientas CIEM siempre están activas, escaneando los ambientes en la nube para monitorear el uso y acceso a la información. Los sistemas CIEM pueden dar seguimiento a actualizaciones en las políticas empresariales en tiempo real y asegurar de que los privilegios y permisos de cada usuario estén alineados con esas políticas, ya sea ajustándose automáticamente o alertando sobre desviaciones a los equipos de seguridad.
- Gestión multinube: El software CIEM puede gestionar la seguridad a través de múltiples ambientes en la nube al mismo tiempo de forma centralizada, eliminando la necesidad para los equipos de seguridad de desplegar múltiples sistemas paralelos para dar seguimiento a los permisos en ambientes distintos.
- Actualizaciones auotmáticas: Las empresas pueden usar herramientas de CIEM para dar seguimiento y evaluar riesgos potenciales a sus ambientes en la nube conforme estos emergen, y responder por medio de ajustes y actualizaciones automáticas a las políticas. Si lo prefieren, los equipos de seguridad pueden depender de CIEM para monitorear y mandar alertas sobre los cambios de políticas y entonces ellos manualmente realizar las actualizaciones correspondientes.
¿Cómo difiere CIEM de otras soluciones de gestión de identidades?
Las herramientas y enfoques tradicionales de gestión de identidades incluyen Identity Access Management (IAM), Privileged Access Managed (PAM) y Cloud Security Posture Management (CSPM).
IAM es similar a CIEM en el sentido de que ambas gestionan identidades digitales y controlan el acceso a sistemas e información. IAM brinda funcionalidades base como autentificación de usuarios autorizaciones y control de accesos basado en roles para toda la organización. CIEM amplía las capacidades de IAM por medio de una profunda visibilidad nativa de la nube de los permisos, detectando fallas de configuración y exceso de permisos, además de automatizando las acciones de remediación. Si bien IAM es esencial para gestionar identidades, a menudo le hace falta la capacidad de generar insights granulares y el grado de automatización requerido para los complejos ambientes multinube; brechas que las herramientas de CIEM han sido expresamente diseñadas para cubrir.
Las herramientas PAM verifican las identidades de los usuarios antes de otorgar contraseñas digitales para permitir el acceso a información sensible. Las soluciones PAM fueron diseñadas para servidores on-premises, mientras que CIEM fue hecho expresamente para la nube. CIEM puede brindar funciones similares a las de PAM, pero con mayor detalle, más automatizadas y más fáciles de usar.
CSPM monitorea las configuraciones de la nube, y se asegura de que los recursos de la nube se están usando de forma correcta y alineada con políticas. CIEM complementa a CSPM brindando gestión de identidades y de propiedades junto con la gestión de configuraciones de CSPM. Ambos contribuyen a una fuerte postura de seguridad en la nube.
¿Cómo es que CIEM simplifica la seguridad en la nube?
Los ambientes en la nube son altamente dinámicos e involucran recursos que a menudo se encuentran fuera del control directo de la organización, incluyendo infraestructura, plataformas y software operado por proveedores y terceros. Esta naturaleza de que los ambientes en la nube están compuestos de varias partes ha dado lugar a que se establezcan acuerdos de responsabilidad compartida para la seguridad en la nube, lo cual significa que los proveedores y los clientes tienen roles específicos para mantener la seguridad de los ambientes en la nube.
Debido a que los usuarios se encuentran de lado de la empresa, y sus privilegios y permisos son principalmente gestionados por la empresa, CIEM es una herramienta esencial que permite que las organizaciones cumplan una parte importante de sus responsabilidades compartidas para la seguridad de la nube.
Los proveedores de servicios en la nube también tienen sus propias herramientas para otorgar y gestionar permisos. Estos son únicos de cada plataforma o servicio en la nube, complicando su seguimiento y monitoreo por parte de las organizaciones, especialmente a escala o a través de varios ambientes en la nube.
Al depender solamente de las herramientas provistas por los proveedores de la nube sin una gestión efectiva de propiedades, las organizaciones pueden enfrentar dificultades con:
- El monitoreo y gestión accesos y permisos entre los sistemas multinube
- Exceso de permisos, ya sea que se otorguen accidentalmente o se hayan obtenido maliciosamente, que permiten que un usuario o dispositivo acceda a recursos o funciones restringidas.
- Monitoreo insuficiente de la información sensible, potencialmente dando lugar a malos usos
- Falta de visibilidad, dificultando el cumplimiento de políticas empresariales
- Prácticas inconsistentes a través de varios ambientes en la nube, dando lugar a omisiones y gestión ineficiente
CIEM, por otra parte, brinda una visibilidad centralizada de todos los usuarios a través de todos los sistemas en la nube, de forma que los equipos de seguridad pueden monitorear y ajustar permisos en un solo lugar, evitando inconsistencias, fallas de cumplimiento o brechas. Al usar herramientas CIEM, los equipos de seguridad pueden implementar políticas de seguridad en la nube de forma mucho más eficiente y efectiva.
¿Cuáles son los beneficios de CIEM?
Desplegar una solución de gestión de derechos de infraestructura en la nube tiene muchos beneficios, incluyendo:
- Mayor visibilidad en la nube. Especialmente en los ambientes multinube, usuarios y dispositivos acceden constantemente a aplicaciones, información almacenada, plataformas y otras herramientas distribuidas entre distintos recursos en la nube (e incluso nubes distintas). CIEM facilita el seguimiento a toda esta actividad. Muchas soluciones brindan una sola consola para visualizar el ambiente completo, radicalmente reduciendo la complejidad para los equipos de seguridad que tienen la tarea de mantener la integridad de los sistemas en la nube.
- Mejor control sobre los recursos de la nube. Al optimizar la gestión hacia un solo sistema CIEM, los equipos de seguridad y TI pueden asignar y limitar accesos y permisos de forma centralizada y de acuerdo a las necesidades de cada usuario. Esto no solamente ahorra tiempo, liberando al personal de seguridad para realizar otras tareas, también reduce el riesgo de errores, falta de cumplimiento con las políticas de seguridad en la nube, malos usos de los activos en la nube y brechas deliberadas del ambiente empresarial en la nube.
- Gestión activa de riesgos. Un monitoreo y cumplimiento continuo de las identidades, permisos y privilegios en la nube le brinda mayor insight a los equipos de seguridad sobre el estado de la seguridad en tiempo real a través de varios ambientes en la nube, de forma que pueden gestionar el riesgo de forma más activa y efectiva.
- Cumplimiento con normativas. Además de hacer cumplir las políticas empresariales relacionadas con la seguridad y los permisos en la nube, las soluciones CIEM le brindan un impulso adicional a los equipos de seguridad para asegurar que sus organizaciones mantienen el cumplimiento con leyes y regulaciones aplicables. Muchas organizaciones tienen requerimientos de protección para información privada y confidencial que son difíciles de mantener en escenarios con múltiples nubes. CIEM cambia eso.
Lo que se debe considerar al momento de elegir una solución CIEM
Antes de implementar un sistema de gestión de derechos de infraestructura en la nube, las organizaciones deberían de considerar sus necesidades en relación de lo siguiente:
- Capacidades multinube. Aunque la gestión de identidades a través de varios ambientes en la nube es un punto fuerte de las soluciones CIEM, es importante considerar que diferentes soluciones van a tener capacidades diferentes. Es importante elegir una solución que cumple con las necesidades específicas de la organización.
- Granularidad. Algunas soluciones CIEM pueden “ver” mejor los permisos que otras, incluso a nivel de logs, activos de datos y recursos individuales en la nube. Las organizaciones deben elegir una solución que brinde el nivel de detalle que necesitan para gestionar el riesgo efectivamente.
- Analíticos Para mejorar continuamente su postura en general de seguridad en la nube, las organizaciones deberían aprovechar analíticos que puedan identificar patrones y detectar anomalías, esto al establecer un entendimiento de los comportamientos típicos de los usuarios en la nube y actualizando constantemente ese modelo.
¿Dónde puedo obtener ayuda con los sistemas de gestión de derechos de infraestructura en la nube?
Trend Vision One™ Cloud Security brinda capacidades completas de CIEM para las organizaciones, ya sea que dependan de una sola plataforma en la nube o cuenten con ambientes híbridos o multinube. Cloud Security combina una visibilidad profunda con monitoreo continuo, evaluación de riesgos, capacidades de gestión de la exposición, y más; brindando así una solución integral para la seguridad de la nube que incluye CIEM. Conozca más acerca de cómo Cloud Security puede ayudarle a mantener seguros sus activos en la nube.
Artículos Relacionados
Reporte de Verizon de brechas de datos & almacenamiento en la nube no protegido
Responsabilidad Compartida para la Seguridad de la Nube
Está a una Falla de Configuración de una Brecha de Datos Basada en la Nube
Microsoft Azure Well-Architected Framework
Usando Shift-Left para Encontrar Vulnerabilidades Antes del Despliegue
AWS Well-Architected
Seguro, Protegido y Privado, Sin Importar Cuál Sea Su Negocio
National Institute of Standards and Technology (NIST)