Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Acceso con privilegios cubre controles que protegen el acceso con privilegios a su inquilino a los recursos. Incluye una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e involuntarios.
PA-1: Separar y limitar usuarios con privilegios elevados o administrativos
Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
5,4, 6,8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Principio de seguridad: asegúrese de identificar todas las cuentas de alto impacto empresarial. Limite el número de cuentas con privilegios o administrativos en el plano de control de la nube, el plano de administración y el plano de datos o carga de trabajo.
Guía de Azure: debe proteger todos los roles con acceso administrativo directo o indirecto a los recursos hospedados en Azure.
Azure Active Directory (Azure AD) es el servicio de administración de identidades y acceso predeterminado de Azure. Los roles integrados más críticos de Azure AD son Administrador global y Administrador de roles con privilegios, ya que los usuarios asignados a estos dos roles pueden delegar roles de administrador. Con estos privilegios, los usuarios pueden leer y modificar directa o indirectamente todos los recursos de su entorno de Azure:
- Administrador global o Administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que usan identidades de Azure AD.
- Administrador de roles con privilegios: los usuarios con este rol pueden administrar las asignaciones de roles en Azure AD, así como en Azure AD Privileged Identity Management (PIM). Además, este rol permite la administración de todos los aspectos de PIM y unidades administrativas.
Fuera de Azure AD, Azure tiene roles integrados que pueden ser críticos para el acceso privilegiado a nivel de recurso.
- Propietario: concede acceso total para administrar todos los recursos, incluida la capacidad de asignar roles en RBAC de Azure.
- Colaborador: concede acceso completo para administrar todos los recursos, pero no permite asignar roles en Azure RBAC, administrar asignaciones en Azure Blueprints o compartir galerías de imágenes.
- Administrador de acceso de usuario: permite administrar el acceso de usuario a los recursos de Azure.
Nota: Es posible que tenga otros roles críticos que deban regirse si usa roles personalizados en el nivel de Azure AD o nivel de recurso con determinados permisos con privilegios asignados.
Además, los usuarios con los siguientes tres roles en el portal del Acuerdo Enterprise de Azure también deben ser restringidos, ya que pueden usarse para administrar las suscripciones de Azure directa o indirectamente.
- Propietario de la cuenta: los usuarios con este rol pueden administrar suscripciones, incluida la creación y eliminación de suscripciones.
- Administrador de empresa: los usuarios asignados con este rol pueden administrar usuarios del portal (EA).
- Administrador del departamento: los usuarios asignados con este rol pueden cambiar los propietarios de la cuenta dentro del departamento.
Por último, asegúrese de restringir también las cuentas con privilegios en otros sistemas de administración, identidad y seguridad que tengan acceso administrativo a los recursos críticos para la empresa, como controladores de dominio (DCs) de Active Directory, herramientas de seguridad y herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden armarlos inmediatamente para poner en peligro los recursos críticos para la empresa.
Implementación de Azure y contexto adicional:
- Permisos de rol de administrador en Azure AD
- Uso de alertas de seguridad de Azure Privileged Identity Management
- Protección del acceso con privilegios para implementaciones híbridas y en la nube en Azure AD
Guía de AWS: Debe proteger todos los roles con acceso administrativo directo o indirecto a los recursos hospedados de AWS.
Los usuarios con privilegios o administrativos que deben protegerse incluyen:
- Usuario raíz: el usuario raíz es las cuentas con privilegios de nivel más alto en su cuenta de AWS. Las cuentas raíz deben estar muy restringidas y solo usarse en situaciones de emergencia. Consulte controles de acceso de emergencia en PA-5 (Configurar el acceso de emergencia).
- Identidades de IAM (usuarios, grupos, roles) con la directiva de permisos con privilegios: las identidades de IAM asignadas con una directiva de permisos como AdministratorAccess pueden tener acceso completo a los servicios y recursos de AWS.
Si usa Azure Active Directory (Azure AD) como proveedor de identidades para AWS, consulte la guía de Azure para administrar los roles con privilegios en Azure AD.
Asegúrese de restringir también las cuentas con privilegios en otros sistemas de administración, identidad y seguridad que tengan acceso administrativo a sus recursos críticos para la empresa, como AWS Cognito, herramientas de seguridad y herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden armarlos inmediatamente para poner en peligro los recursos críticos para la empresa.
Implementación de AWS y contexto adicional:
Guía de GCP: Usted debe proteger todos los roles con acceso administrativo directo o indirecto a los recursos alojados en GCP.
El rol integrado más crítico en Google Cloud es el superadministrador. El superadministrador puede realizar todas las tareas en la consola de administración y tiene permisos administrativos irreversibles. Se desaconseja usar la cuenta de superadministrador para la administración diaria.
Los roles básicos son roles heredados muy permisivos y se recomienda que los roles básicos no se usen en entornos de producción, ya que concede un acceso amplio en todos los recursos de Google Cloud. Los roles básicos incluyen los roles Visor, Editor y Propietario. En su lugar, se recomienda usar roles predefinidos o personalizados. Entre los roles predefinidos con privilegios importantes se incluyen:
- Administrador de la organización: los usuarios con este rol pueden administrar directivas de IAM y ver directivas de organización para organizaciones, carpetas y proyectos.
- Administrador de directivas de la organización: los usuarios con este rol pueden definir las restricciones que una organización quiere colocar en la configuración de los recursos en la nube estableciendo directivas de organización.
- Administrador de roles de organización: los usuarios con este rol pueden administrar todos los roles personalizados de la organización y los proyectos que dependen de ella.
- Administrador de seguridad: los usuarios con este rol pueden obtener y establecer cualquier directiva de IAM.
- Denegar Administrador: los usuarios con este rol tienen permisos para leer y modificar las políticas de denegación de IAM.
Además, ciertos roles predefinidos contienen permisos de IAM con privilegios a nivel de organización, carpeta y proyecto. Estos permisos de IAM incluyen:
- Administrador de la organización
- carpetaIAMAdmin
- proyectoIAMAdmin
Además, implemente la separación de tareas mediante la asignación de roles a cuentas para distintos proyectos o aprovechando la autorización binaria con Google Kubernetes Engine.
Por último, asegúrese de restringir también las cuentas con privilegios en otros sistemas de administración, identidad y seguridad que tengan acceso administrativo a los recursos críticos para la empresa, como DNS en la nube, herramientas de seguridad y herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden armarlos inmediatamente para poner en peligro los recursos críticos para la empresa.
Implementación de GCP y contexto adicional:
- Procedimientos recomendados para la cuenta de superadministrador
- Referencia de roles básicos y predefinidos de IAM
- Separación de tareas y roles de administración de identidades y acceso
Partes interesadas en la seguridad del cliente (más información):
- Administración de identidades y claves
- Arquitectura de seguridad
- Administración del cumplimiento de la seguridad
- Operaciones de seguridad
PA-2: Evitar el acceso permanente para las cuentas de usuario y los permisos
Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
No disponible | AC-2 | No disponible |
Principio de seguridad: en lugar de crear privilegios permanentes, use el mecanismo Just-In-Time (JIT) para asignar acceso con privilegios a los distintos niveles de recursos.
Guía de Azure: habilite el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure y Azure AD mediante Azure AD Privileged Identity Management (PIM). JIT es un modelo en el que los usuarios reciben permisos temporales para realizar tareas con privilegios, lo que impide que los usuarios malintencionados o no autorizados obtengan acceso después de que los permisos hayan expirado. El acceso se concede solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividad sospechosa o no segura en la organización de Azure AD.
Restrinja el tráfico entrante a los puertos de administración de máquinas virtuales (VM) confidenciales con la característica Just-In-Time (JIT) de Microsoft Defender for Cloud para el acceso a máquinas virtuales. Esto garantiza que solo se concede acceso con privilegios a la máquina virtual cuando los usuarios lo necesitan.
Implementación de Azure y contexto adicional:
- Implementación de acceso Just-In-Time de Azure PIM
- Descripción del acceso a la máquina virtual Just-in-Time (JIT)
Guía de AWS: Use AWS Security Token Service (AWS STS) para crear credenciales de seguridad temporales para acceder a los recursos a través de la API de AWS. Las credenciales de seguridad temporales funcionan casi de forma idéntica a las credenciales de clave de acceso a largo plazo que los usuarios de IAM pueden usar, con las siguientes diferencias:
- Las credenciales de seguridad temporales tienen una vida a corto plazo, de minutos a horas.
- Las credenciales de seguridad temporales no se almacenan con el usuario, pero se generan dinámicamente y se proporcionan al usuario cuando se solicita.
Implementación de AWS y contexto adicional:
Guía de GCP: use el acceso condicional de IAM para crear acceso temporal a los recursos mediante vinculaciones de roles condicionales en políticas de autorización, que se conceden a los usuarios de Cloud Identity. Configure atributos de fecha y hora para aplicar controles basados en el tiempo para acceder a un recurso determinado. El acceso temporal puede tener una vida a corto plazo, de minutos a horas, o puede concederse en función de los días o horas de la semana.
Implementación de GCP y contexto adicional:
- Información general sobre las condiciones de IAM
- Configuración del acceso temporal
- Introducción al Administrador de Contextos de Acceso
Partes interesadas en la seguridad del cliente (más información):
- Administración de identidades y claves
- Arquitectura de seguridad
- Administración del cumplimiento de la seguridad
- Operaciones de seguridad
PA-3: Administración del ciclo de vida de identidades y derechos
Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Principio de seguridad: use un proceso automatizado o un control técnico para administrar el ciclo de vida de identidad y acceso, incluida la solicitud, la revisión, la aprobación, el aprovisionamiento y el desaprovisionamiento.
Guía de Azure: use las características de administración de derechos de Azure AD para automatizar los flujos de trabajo de solicitud de acceso (para grupos de recursos de Azure). Esto permite que los flujos de trabajo de los grupos de recursos de Azure administren asignaciones de acceso, revisiones, expiración y aprobación dual o de varias fases.
Use la administración de permisos para detectar, ajustar automáticamente el tamaño adecuado y supervisar continuamente los permisos no utilizado y excesivos asignados a las identidades de usuario y carga de trabajo en infraestructuras de varias nubes.
Implementación de Azure y contexto adicional:
- ¿Qué son las revisiones de acceso de Azure AD?
- ¿Qué es la administración de derechos de Azure AD?
- Información general sobre la administración de permisos
Guía de AWS: use AWS Access Advisor para extraer los registros de acceso de las cuentas de usuario y los derechos de los recursos. Cree un flujo de trabajo manual o automatizado para integrarse con AWS IAM para administrar asignaciones de acceso, revisiones y eliminaciones.
Nota: Hay soluciones de terceros disponibles en AWS Marketplace para administrar el ciclo de vida de las identidades y los derechos.
Implementación de AWS y contexto adicional:
Guía de GCP: use los registros de auditoría en la nube de Google para extraer los registros de auditoría de acceso a datos y actividad de administración para las cuentas de usuario y los derechos de los recursos. Cree un flujo de trabajo manual o automatizado para integrarse con GCP IAM para administrar asignaciones de acceso, revisiones y eliminaciones.
Use Google Cloud Identity Premium para proporcionar servicios principales de administración de identidades y dispositivos. Estos servicios incluyen características como el aprovisionamiento automatizado de usuarios, la inclusión en listas blancas de aplicaciones y la administración automatizada de dispositivos móviles.
Nota: Hay soluciones de terceros disponibles en Google Cloud Marketplace para administrar el ciclo de vida de las identidades y los derechos.
Implementación de GCP y contexto adicional:
- Asesor de acceso de IAM
- Acceso a Cloud Identity y Atlassian: administración del ciclo de vida de los usuarios en toda la organización
- Concesión y revocación del acceso a la API
- Revocar el acceso a un proyecto de Google Cloud
Partes interesadas en la seguridad del cliente (más información):
- Administración de identidades y claves
- Seguridad de aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
PA-4: Revisar y conciliar el acceso de los usuarios con regularidad
Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Principio de seguridad: realice una revisión periódica de los derechos de la cuenta con privilegios. Asegúrese de que el acceso concedido a las cuentas es válido para la administración del plano de control, el plano de administración y las cargas de trabajo.
Guía de Azure: revise todas las cuentas con privilegios y los derechos de acceso en Azure, incluidos los inquilinos de Azure, los servicios de Azure, los procesos de VM/IaaS, CI/CD y las herramientas de administración y seguridad empresariales.
Use las revisiones de acceso de Azure AD para revisar los roles de Azure AD, los roles de acceso a recursos de Azure, las pertenencias a grupos y el acceso a las aplicaciones empresariales. Los informes de Azure AD también pueden proporcionar registros para ayudar a detectar cuentas obsoletas o cuentas que no se han usado durante cierto tiempo.
Además, Azure AD Privileged Identity Management se puede configurar para alertar cuando se crea un número excesivo de cuentas de administrador para un rol específico e identificar cuentas de administrador obsoletas o configuradas incorrectamente.
Implementación de Azure y contexto adicional:
- Creación de una revisión de acceso de los roles de recursos de Azure en Privileged Identity Management (PIM)
- Cómo utilizar las revisiones de identidad y acceso de Azure AD
Guía de AWS: revise todas las cuentas con privilegios y los derechos de acceso en AWS, incluidas las cuentas de AWS, los servicios, vm/IaaS, los procesos de CI/CD y las herramientas de administración y seguridad empresariales.
Use el Asesor de acceso de IAM, el Analizador de acceso y los informes de credenciales para revisar los roles de acceso a recursos, las pertenencias a grupos y el acceso a las aplicaciones empresariales. Los informes del Analizador de acceso de IAM y de Credenciales pueden proporcionar registros para ayudar a detectar cuentas obsoletas o cuentas que no se han utilizado durante cierto tiempo.
Si usa Azure Active Directory (Azure AD) como proveedor de identidades para AWS, use la revisión de acceso de Azure AD para revisar periódicamente las cuentas con privilegios y los derechos de acceso.
Implementación de AWS y contexto adicional:
Guía de GCP: revise todas las cuentas con privilegios y los derechos de acceso en Google Cloud, incluidas las cuentas de Cloud Identity, los servicios, vm/IaaS, los procesos de CI/CD y las herramientas de administración y seguridad empresariales.
Use los registros de auditoría en la nube y el Analizador de directivas para revisar los roles de acceso a los recursos y las pertenencias a grupos. Cree consultas de análisis en el Analizador de directivas para determinar qué principales pueden acceder a recursos específicos.
Si usa Azure Active Directory (Azure AD) como proveedor de identidades para Google Cloud, use la revisión de acceso de Azure AD para revisar periódicamente las cuentas con privilegios y los derechos de acceso.
Además, Azure AD Privileged Identity Management se puede configurar para alertar cuando se crea un número excesivo de cuentas de administrador para un rol específico e identificar cuentas de administrador obsoletas o configuradas incorrectamente.
Implementación de GCP y contexto adicional:
Partes interesadas en la seguridad del cliente (más información):
- Administración de identidades y claves
- Seguridad de aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
PA-5: Configurar el acceso de emergencia
Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
No disponible | AC-2 | No disponible |
Principio de seguridad: configure el acceso de emergencia para asegurarse de que no está bloqueado accidentalmente fuera de la infraestructura crítica en la nube (como el sistema de administración de identidades y acceso) en caso de emergencia.
Las cuentas de acceso de emergencia rara vez se deben usar y pueden ser muy perjudiciales para la organización si están en peligro, pero su disponibilidad para la organización también es fundamental para los pocos escenarios cuando se requieren.
Guía de Azure: para evitar que se bloquee accidentalmente fuera de la organización de Azure AD, configure una cuenta de acceso de emergencia (por ejemplo, una cuenta con rol de administrador global) para el acceso cuando no se puedan usar cuentas administrativas normales. Las cuentas de acceso de emergencia suelen tener privilegios elevados y no deben asignarse a individuos específicos. Las cuentas de acceso de emergencia se limitan a situaciones "excepcionales" o de emergencia en las que no se pueden usar las cuentas administrativas normales.
Debe asegurarse de que las credenciales (como la contraseña, el certificado o la tarjeta inteligente) para las cuentas de acceso de emergencia se mantienen seguras y solo se conocen para las personas que tienen autorización para usarlas solo en una emergencia. También puede usar controles adicionales, tales controles duales (por ejemplo, dividir la credencial en dos partes y darle a personas independientes) para mejorar la seguridad de este proceso. También debe supervisar los registros de inicio de sesión y auditoría para asegurarse de que las cuentas de acceso de emergencia solo se usan cuando están autorizadas.
Implementación de Azure y contexto adicional:
Guía de AWS: las cuentas de AWS "raíz" no deben usarse para tareas administrativas normales. Dado que la cuenta "raíz" tiene privilegios elevados, no debe asignarse a individuos específicos. Su uso debe limitarse únicamente a escenarios de emergencia o de "ruptura de cristal" cuando no se puedan usar las cuentas administrativas normales. Para las tareas administrativas diarias, se deben usar cuentas de usuario con privilegios independientes y asignar los permisos adecuados a través de roles de IAM.
También debe asegurarse de que las credenciales (como contraseña, tokens de MFA y claves de acceso) para las cuentas raíz se mantienen seguras y solo se conocen para las personas que están autorizadas a usarlas solo en caso de emergencia. MFA debe habilitarse para la cuenta raíz y también puede usar controles adicionales, como controles duales (por ejemplo, dividir la credencial en dos partes y darle a personas independientes) para mejorar la seguridad de este proceso.
También debe supervisar los registros de inicio de sesión y auditoría en CloudTrail o EventBridge para asegurarse de que las cuentas de acceso raíz solo se usan cuando están autorizadas.
Implementación de AWS y contexto adicional:
Guía de GCP: Las cuentas de superadministrador de Google Cloud Identity no deben usarse para tareas administrativas normales. Dado que la cuenta de superadministrador tiene privilegios elevados, no debe asignarse a individuos específicos. Su uso debe limitarse únicamente a escenarios de emergencia o de "ruptura de cristal" cuando no se puedan usar las cuentas administrativas normales. Para las tareas administrativas diarias, se deben usar cuentas de usuario con privilegios independientes y asignar los permisos adecuados a través de roles de IAM.
También debe asegurarse de que las credenciales (como contraseña, tokens de MFA y claves de acceso) para las cuentas de superadministrador se mantienen seguras y solo se conocen para las personas que están autorizadas a usarlas solo en caso de emergencia. MFA debe habilitarse para la cuenta de superadministrador y también puede usar controles adicionales, como controles duales (por ejemplo, dividir la credencial en dos partes y darle a personas independientes) para mejorar la seguridad de este proceso.
También debe supervisar los registros de inicio de sesión y auditoría en Registros de auditoría en la nube, o consultar el Analizador de directivas, para asegurarse de que las cuentas de superadministrador solo se usan cuando están autorizadas.
Implementación de GCP y contexto adicional:
Partes interesadas en la seguridad del cliente (más información):
- Seguridad de aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
- Operaciones de seguridad (SecOps)
PA-6: Uso de estaciones de trabajo con privilegios de acceso
Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
12.8, 13.5 | AC-2, SC-2, SC-7 | No disponible |
Principio de seguridad: las estaciones de trabajo aisladas protegidas son importantes para la seguridad de roles confidenciales, como el administrador, el desarrollador y el operador de servicio crítico.
Guía de Azure: use Azure Active Directory, Microsoft Defender o Microsoft Intune para implementar estaciones de trabajo de acceso con privilegios (PAW) locales o en Azure para tareas con privilegios. La PAW debe administrarse centralmente para aplicar la configuración segura, incluida la autenticación segura, las líneas de base de software y hardware, y el acceso lógico y de red restringidos.
También puede usar Azure Bastion, que es un servicio PaaS totalmente administrado por la plataforma que se puede aprovisionar dentro de la red virtual. Azure Bastion permite la conectividad RDP/SSH a las máquinas virtuales directamente desde Azure Portal mediante un explorador web.
Implementación de Azure y contexto adicional:
- Descripción de las estaciones de trabajo de acceso con privilegios
- Implementación de estaciones de trabajo de acceso con privilegios
Guía de AWS: Use Session Manager en AWS Systems Manager para crear una ruta de acceso (una sesión de conexión) a la instancia ec2 o a una sesión del explorador a los recursos de AWS para tareas con privilegios. El Administrador de Sesiones permite la conectividad RDP, SSH y HTTPS a los hosts de destino a través del reenvío de puertos.
También puede optar por implementar estaciones de trabajo de acceso con privilegios (PAW) administradas centralmente a través de Azure Active Directory, Microsoft Defender o Microsoft Intune. La administración central debe aplicar la configuración segura, incluida la autenticación segura, las líneas de base de software y hardware, y el acceso lógico y de red restringidos.
Implementación de AWS y contexto adicional:
Guía de GCP: Use el Escritorio de Proxy (IAP) Identity-Aware para crear una ruta de acceso (una sesión de conexión) a la instancia de cálculo para tareas privilegiadas. IAP Desktop permite la conectividad RDP y SSH a los hosts de destino a través de la redirección de puertos. Además, las instancias de cómputo de Linux con acceso externo pueden conectarse a través de SSH en el navegador mediante la consola de Google Cloud.
También puede optar por implementar estaciones de trabajo de acceso con privilegios (PAW) administradas centralmente a través de Google Workspace Endpoint Management o soluciones de Microsoft (Azure Active Directory, Microsoft Defender o Microsoft Intune). La administración central debe aplicar la configuración segura, incluida la autenticación segura, las líneas de base de software y hardware, y el acceso lógico y de red restringidos.
También puede crear hosts bastión para acceder de forma segura a entornos de confianza con parámetros definidos.
Implementación de GCP y contexto adicional:
- Conexión segura a instancias de máquina virtual
- Conexión a máquinas virtuales Linux mediante Identity-Aware Proxy
- Conexión a máquinas virtuales mediante un host bastión
Partes interesadas en la seguridad del cliente (más información):
- Seguridad de aplicaciones y DevSecOps
- Operaciones de seguridad (SecOps)
- Administración de identidades y claves
PA-7: Siga el principio de administración suficiente (privilegios mínimos)
Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Principio de seguridad: siga el principio de administración suficiente (privilegios mínimos) para administrar los permisos en el nivel específico. Use características como el control de acceso basado en rol (RBAC) para administrar el acceso a los recursos a través de asignaciones de roles.
Guía de Azure: use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los recursos de Azure mediante asignaciones de roles. A través de RBAC, puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos y estos roles se pueden inventariar o consultar mediante herramientas como la CLI de Azure, Azure PowerShell y Azure Portal.
Los privilegios que asigne a los recursos a través de Azure RBAC siempre deben limitarse a lo que requieren los roles. Los privilegios limitados complementarán el enfoque Just-In-Time (JIT) de Azure AD Privileged Identity Management (PIM) y esos privilegios se deben revisar periódicamente. Si es necesario, también puede usar PIM para definir una asignación enlazada a tiempo, que es una condición en una asignación de roles donde un usuario solo puede activar el rol dentro de las fechas de inicio y finalización especificadas.
Nota: Use roles integrados de Azure para asignar permisos y crear solo roles personalizados cuando sea necesario.
Implementación de Azure y contexto adicional:
- ¿Qué es el control de acceso basado en rol de Azure (RBAC de Azure)
- Configuración de RBAC en Azure
- Cómo utilizar las revisiones de identidad y acceso de Azure AD
- Azure AD Privileged Identity Management - asignación limitada en el tiempo
Guía de AWS: Use la directiva de AWS para administrar el acceso a los recursos de AWS. Hay seis tipos de directivas: directivas basadas en identidades, directivas basadas en recursos, límites de permisos, directiva de control de servicios (SCP) de AWS Organizations, lista de control de acceso y directivas de sesión. Puede usar directivas administradas de AWS para casos de uso comunes de permisos. Sin embargo, debe tener en cuenta que las directivas administradas pueden tener permisos excesivos que no se deben asignar a los usuarios.
También puede usar AWS ABAC (control de acceso basado en atributos) para asignar permisos basados en atributos (etiquetas) asociados a recursos de IAM, incluidas entidades de IAM (usuarios o roles) y recursos de AWS.
Implementación de AWS y contexto adicional:
Guía de GCP: use la directiva de IAM de Google Cloud para administrar el acceso a los recursos de GCP a través de asignaciones de roles. Puede usar los roles predefinidos de Google Cloud para casos de uso de permisos comunes. Sin embargo, debe tener en cuenta que los roles predefinidos pueden tener permisos excesivos que no se deben asignar a los usuarios.
Además, use la inteligencia de directivas con el recomendador de IAM para identificar y quitar permisos excesivos de las cuentas.
Implementación de GCP y contexto adicional:
Partes interesadas en la seguridad del cliente (más información):
- Seguridad de aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
- Administración de posturas
- Administración de identidades y claves
PA-8 Determinar el proceso de acceso para la compatibilidad con proveedores de nube
Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
6.1, 6.2 | AC-4, AC-2, AC-3 | No disponible |
Principio de seguridad: establezca un proceso de aprobación y una ruta de acceso para solicitar y aprobar solicitudes de soporte técnico del proveedor y acceso temporal a los datos a través de un canal seguro.
Guía de Azure: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos, use caja de seguridad del cliente para revisar y aprobar o rechazar cada solicitud de acceso a datos realizada por Microsoft.
Implementación de Azure y contexto adicional:
Guía de AWS: en escenarios de soporte técnico en los que los equipos de soporte técnico de AWS necesitan acceder a los datos, cree una cuenta en el portal de soporte técnico de AWS para solicitar soporte técnico. Revise las opciones disponibles, como proporcionar acceso de solo lectura a los datos o la opción de compartir pantalla para que el soporte de AWS acceda a tus datos.
Implementación de AWS y contexto adicional:
Guía de GCP: en escenarios de soporte técnico en los que la atención al cliente de Google Cloud necesita acceder a los datos, use la aprobación de acceso para revisar y aprobar o rechazar cada solicitud de acceso a los datos realizadas por Cloud Customer Care.
Implementación de GCP y contexto adicional:
Partes interesadas en la seguridad del cliente (más información):