Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo forma parte de la guía implementar una solución de arquitectura de acceso con privilegios .
El acceso con privilegios presenta un riesgo de seguridad crítico en la mayoría de las organizaciones, ya que permite el control directo sobre los sistemas de identidad, los planos de control en la nube y los recursos críticos para la empresa.
Obtenga información sobre cómo una arquitectura de acceso con privilegios seguro desempeña un papel fundamental en su escenario empresarial: proteja los recursos empresariales críticos mediante la reducción de este riesgo y el fortalecimiento del control sobre los sistemas confidenciales.
El planeamiento es el primer paso. Este artículo está dirigido a los implementadores y arquitectos de seguridad que convierten la arquitectura de acceso con privilegios en un plan práctico de lanzamiento (ámbito, requisitos previos, secuenciación y propiedad).
Durante la planeación, identifique las rutas de acceso con privilegios que más importan, decida qué rutas de acceso están permitidas y cuáles están bloqueadas, y asigne esas decisiones directamente a la implementación por fases que se debe seguir.
Antes de comenzar
- Nuestro modelo de adopción define un conjunto de escenarios empresariales críticos dirigidos a líderes empresariales y responsables de la toma de decisiones. Obtenga más información sobre el resultado empresarial de proteger y gestionar el acceso privilegiado a los sistemas críticos.
- Usamos materias de seguridad para ayudar a los equipos a ofrecer resultados de seguridad en toda la empresa. Más información sobre las materias asociadas a la arquitectura de acceso con privilegios
Resultados de planeamiento
Debe terminar de planificar con:
- Una comprensión compartida de las rutas de acceso con privilegios que más importan en su entorno.
- Acuerdo sobre las rutas de acceso permitidas, restringidas o eliminadas.
- Secuencia de implementación definida para reducir el riesgo sin interrumpir las operaciones.
- Responsabilidad clara para aprobar, cambiar y revisar las decisiones sobre el acceso con privilegios.
- Asignación directa de decisiones de planificación a fases de implementación.
Objetivos de implementación
El planeamiento de la implementación traduce los objetivos de diseño en decisiones aplicables.
Varias materias de seguridad y tecnologías impulsan los resultados de esta solución. En la tabla siguiente se muestra cómo se relacionan los objetivos de planificación con las disciplinas y la implementación descendente.
| Objetivo de implementación | Disciplinas implicadas | Resultado de la planeación |
|---|---|---|
|
Limitar la exposición de credenciales con privilegios Minimice cuándo, dónde y cómo se pueden usar las credenciales con privilegios. |
Estrategia y gobernanza Acceso e identidades Arquitectura de seguridad |
Lista documentada de roles, acciones y sistemas que constituyen acceso con privilegios. Reglas claras sobre cuándo se permite la elevación de privilegios, durante cuánto tiempo y con qué aprobación. Ayuda a aplicar el acceso Just-In-Time y elimina los privilegios permanentes. |
|
Aislamiento y supervisión de rutas de acceso a privilegios Exigir una autenticación sólida y una confianza de dispositivo. Supervise continuamente el comportamiento anómalo. Priorice la detección y la respuesta debido a un alto impacto. |
Arquitectura de seguridad Acceso e identidades SecOps |
Rutas de acceso con privilegios definidas explícitamente que están permitidas, restringidas o eliminadas. Por ejemplo, únicamente PAWs, portales y APIs aprobados, sin protocolos heredados ni acceso administrativo directo desde dispositivos personales. Proporciona un modelo sólido de permitir o bloquear para el acceso condicional, la seguridad de la interfaz y la supervisión. |
|
Reducir la superficie expuesta a ataques con privilegios Reduzca la superficie expuesta a ataques al minimizar el número de identidades, roles y asignaciones con privilegios. |
Estrategia, integración, gobernanza Acceso e identidades Administración de la posición de seguridad. |
Racionalización completa de roles con privilegios. Qué roles son necesarios o se pueden quitar, y qué flujos de trabajo deben cambiar para evitar privilegios permanentes. Acuerdo sobre los roles que se van a quitar de la asignación permanente. Métricas de éxito Por ejemplo, reducción de roles con privilegios permanentes. |
|
Separar la productividad y los flujos de trabajo administrativos Separe los flujos de trabajo para eliminar el puente entre los vectores de ataque comunes y el control de toda la empresa. |
Arquitectura de seguridad Infrastructure Acceso e identidades. |
Decisiones sobre dónde se puede producir el trabajo con privilegios. Indica si se requieren cuentas de administrador y dispositivos dedicados. Qué actividades están prohibidas para los entornos de productividad estándar. Qué flujos de trabajo deben moverse a dispositivos o sesiones con privilegios. Estas decisiones permiten las fases de despliegue de dispositivos y de aplicación del control de acceso sin ambigüedad. |
Uso de niveles de seguridad para planear
Los niveles de seguridad se usan durante la planeación para clasificar rutas de acceso con privilegios, no solo cuentas ni dispositivos. Con fines de planificación, usamos tres niveles de seguridad al revisar las rutas de acceso. Tenga en cuenta que esta guía de implementación solo se centra en el nivel con privilegios.
| Nivel de seguridad | propósito |
|---|---|
| Empresa | Seguridad de línea base para todos los usuarios y dispositivos. |
| Especializado | Mayor protección para roles elevados y de alto impacto empresarial. |
| Con privilegios | Protección máxima para el plano de control y la administración de toda la organización. |
Al planificar el acceso privilegiado, utilice los niveles de seguridad para responder:
- ¿Qué rutas de acceso requieren las protecciones más seguras?
- ¿Qué rutas de acceso pueden permanecer temporalmente en un nivel inferior durante la modernización?
- ¿Dónde deben ser obligatorias las protecciones antes de que se permita ningún trabajo con privilegios?
Principios clave de planificación:
- Los niveles de seguridad se aplican a las rutas de acceso, no solo a las identidades.
- Si el trabajo se realiza a través de una ruta de acceso con privilegios, esa ruta de acceso debe cumplir el nivel de seguridad necesario.
- Guía de niveles de seguridad:
- Patrones de cumplimiento
- Perfiles de configuración
- Decisiones de acceso condicional
- Secuenciación de implementación
Esto le permite modernizar el acceso con privilegios de forma incremental, a la vez que garantiza que las rutas de acceso de mayor riesgo se abordan primero.
Implementación de secuencia para reducir el riesgo
La modernización del acceso con privilegios debe reducir el riesgo sin interrumpir las operaciones. El planeamiento establece la secuenciación que sigue la implementación.
Una secuencia de planeación típica:
-
Deje de crear un nuevo riesgo con privilegios. Evite que las actividades privilegiadas continúen por vías inseguras mientras se llevan a cabo la planificación y la auditoría.
- No hay nuevas asignaciones de roles con privilegios permanentes.
- No hay nuevas rutas de acceso no seguras.
- Proteja primero las rutas de acceso de mayor impacto: comience con el plano de control de identidad (administradores de inquilinos y suscripciones). Pase a la infraestructura principal y a los sistemas de producción.
- Establecer bases seguras. Defina las identidades privilegiadas y, a continuación, configure dispositivos dedicados para acceso con privilegios y rutas de acceso aprobadas.
- Expanda la cobertura de forma incremental. Endurecer el cumplimiento a medida que la supervisión y la validación maduran. Use la detección para identificar y corregir rutas de acceso nuevas o no aprobadas.
Esta secuenciación garantiza que las auditorías, el cumplimiento y la corrección sean válidas porque existen protecciones antes de que se aprieten los controles.
Vincular la planificación con la implementación
La implementación aplica las decisiones producidas durante el diseño y la planificación.
| Planificación del resultado | Cumplimiento de la implementación |
|---|---|
| Definiciones y ámbito de roles con privilegios | Fase 1: Proteger el plano de control de identidad. Proteger las asignaciones de roles, la configuración de PIM, los flujos de trabajo de aprobación y la auditoría. |
| Requisitos de dispositivos con privilegios | Fase 2: Proteger dispositivos. Implementar e imponer el uso de estaciones de trabajo de acceso privilegiado reforzadas (PAW) |
| Rutas de acceso aprobadas y bloqueadas | Fase 3: Configurar la directiva. Configure el acceso condicional, las restricciones de interfaz y el bloqueo del protocolo. |
| Ventajas y excepciones aceptadas | Fase 1: Proteger el plano de control de identidad y la fase 3: Configurar directiva. Registro, flujos de trabajo de revisión, cuentas de acceso de emergencia. |
| Supervisión del acceso con privilegios | Fase 4: Supervisión y detección de amenazas. Reglas de detección, priorización de alertas, validación de rutas de acceso aprobadas. |
Antes de implementar cada fase, asegúrese de que ha completado las acciones de planeación correspondientes.
Pasos siguientes
Comience la implementación con la fase 1: configure el plano de control de identidad . Esta fase establece la base en la que se definen y protegen las identidades con privilegios, las asignaciones de roles y las rutas de elevación autorizadas.
Todos los controles posteriores de dispositivo, directiva y supervisión dependen de esta fase.