Buenas prácticas para la gestión de cuentas privilegiadas: Consolidación de Identidades
La seguridad y gestión de las cuentas privilegiadas requiere procedimientos y soluciones que trascienden las medidas de control habituales y requieren una adecuación entre el nivel de riesgo y la operativa llevada a cabo por los usuarios.
Sois muchos los usuarios y clientes que, en relación a nuestra línea de negocio de gestión de identidades, nos preguntáis y reclamáis información y procedimientos para tratar la gestión de cuentas privilegiadas de vuestras organizaciones.
Evolucionar hacia una gestión eficaz de identidades privilegiadas en tu organización implica un proceso de adaptación. Debido a la complejidad de la temática, he decidido abordar este tema en este post.
En primer lugar, todo proceso de implantación de un sistema PIM (Priviledge Identity Management) implica la consolidación de identidades y el control de los accesos.
El objetivo no es otro que unificar la identidad en todas las plataformas para reducir la complejidad de la gestión de las mismas
Control de los accesos y consolidación de las cuentas privilegiadas de tu organización
Identifica y elimina todas las cuentas privilegiadas que estén en desuso
Con el fin de preparar la gestión de privilegios para súper-usuarios, se debe reducir al mínimo posible el número de cuentas privilegiadas, lo que limitará considerablemente la superficie vulnerable de cara a una posible brecha de seguridad
Realiza un completo inventario de las cuentas privilegiadas; es decir:
- Cuentas de administración local por defecto.
- Cuentas de administrador individual.
- Cuentas de servicio.
- Cuentas de administrador de dominio.
- Cuentas de emergencia.
- Cuentas de administrador de aplicaciones.
- Cuentas de administrador de máquina virtual.
Todas estas cuentas deben ser registradas y categorizadas. Aquellas que no resulten necesarias, sean redundantes o estén en desuso deberían ser eliminadas.
Establece un procedimiento estandarizado para la aprobación y revocación de privilegios de acceso.
Tal como se explica en nuestro White Paper Cómo Preparar a tu Organización para una Solución de Gestión de Identidades, la modificación de la relación de un empleado con respecto a la organización (ya sea por un cambio de puesto, así como el abandono de la empresa por su parte, etc.), genera acumulación de privilegios o la aparición de cuentas huérfanas respectivamente.
Pero eso no es todo.
En ocasiones, se atribuye privilegios a usuarios estándar, lo cual genera múltiples problemas, dado que:
- Las acciones de administración llevadas a cabo por un usuario estándar pueden ser difíciles de rastrear.
- Las cuentas de usuarios son más vulnerables frente a los cibercriminales, dado que también se emplean para la navegación web, la apertura de los emails, etc.
- Estas prácticas pueden llegar a convertirse en algo habitual.
Estas circunstancias implican un serio peligro para la seguridad de la información de tu organización y deben evitarse, mediante un adecuado proceso de aprovisionamiento y desprovisionamiento.
Almacena las credenciales privilegiadas en un entorno seguro
Sobra decir que las passwords de los usuarios privilegiados jamás deberían ser compartidas ni guardadas en entornos carentes de seguridad, sino en sistemas centrales que protejan la información de las credenciales de un acceso no autorizado, tales como un Directorio LDAP o Active Directory (AD).
Renueva las passwords de cuentas privilegiadas de forma periódica
Aunque se trata de un procedimiento estándar bastante eficaz, muchos empleados no lo siguen con la frecuencia deseada. Es por ello que la automatización de la renovación de las passwords puede ser un paso necesario para garantizar una buena gestión de las cuentas privilegiadas.
Elimina las passwords de codificación fija (hard-coded passwords) para scripts o aplicaciones
Este tipo de contraseñas no sólo limitan su adecuada actualización, sino que constituyen un fácil objetivo para los hackers. El acceso privilegiado a scripts o aplicaciones debería poder tener lugar sin necesidad de utilizar contraseñas estáticas.
Implanta sistemas avanzados de autenticación para las cuentas privilegiadas
Una contraseña per sé nunca será una medida de protección suficientemente eficaz para una cuenta privilegiada.
Es imprescindible contar con soluciones de autenticación avanzada para acceder a:
- Las cuentas de administración de endpoints.
- Las cuentas de administrador de dominio.
- La consola administrativa de gestión de cuentas privilegiadas.
Consolida las cuentas privilegiadas
El uso de un directorio LDAP centralizado facilita el despliegue de una solución PIM para entornos heterogéneos. Se consigue así aprovechar al máximo los beneficios del Directorio LDAP en lo que se refiere a la gestión de identidades, la autenticación y, por supuesto, la gestión de privilegios basada en atributos, pertenencia a grupos, etc.
De esta manera, se evita tener que gestionar diferentes fuentes de identidad consolidando las identidades de sistemas heterogéneos en un mismo repositorio basado en un directorio LDAP.
Busca soluciones que permitan extender la política de grupos a entornos heterogéneos
Determinadas soluciones permiten extender el modelo de política de grupos de un directorio LDAP a entornos heterogéneos, mediante conectores con dichos entornos (BBDD, REST, etc.), mediante políticas de acceso a la red (mediante conectores SSH, powershell, etc.) o mediante gestión de certificados de ordenadores personales para el uso de aplicaciones (por ejemplo mediante autenticación basada en Radius/802.1x).
La consolidación de las cuentas de los súper-usuarios, así como el control de los accesos constituyen el primer paso hacia una gestión de identidades privilegiadas eficiente.
Si este post te ha resultado útil, por favor, compártelo, porque necesitamos asegurar que los usuarios privilegiados de nuestras organizaciones son productivos sin que por ello supongan un riesgo para la seguridad.
Descárgate el WhitePaper Cómo preparar tu organización para una solución de Gestión de Identidades.