Resumen
La gestión de las identidades y del acceso (IAM) se utiliza para administrar de forma uniforme y desde un solo lugar las identidades de los usuarios, es decir, las personas, los servicios y los servidores; automatizar los controles de acceso; y satisfacer los requisitos de cumplimiento tanto en los entornos tradicionales como en aquellos organizados en contenedores. Por ejemplo, se emplea cuando el personal utiliza una red privada virtual (VPN) para acceder a los recursos de la empresa con los que trabajará de forma remota.
La IAM contribuye a garantizar que solo las personas adecuadas accedan a los recursos que les corresponden, en especial cuando se utilizan varias instancias de nube. Sus marcos son esenciales para gestionar las identidades en los entornos virtuales y de edge computing, nube híbrida y servidor dedicado (bare metal) desde un solo lugar, ya que permite reducir los riesgos en torno a la seguridad o el cumplimiento normativo.
Métodos de IAM
Los métodos de la IAM controlan el acceso a los datos, las aplicaciones y los recursos que se encuentran en las instalaciones y en la nube, en función de la identidad del usuario o de la aplicación y de las políticas definidas en el ámbito administrativo. Están presentes en todas las etapas del ciclo de vida de DevOps y se utilizan para evitar el acceso no autorizado al sistema y los movimientos laterales.
Estos son algunos de los conceptos más importantes de la IAM:
Autenticación: se utiliza para verificar la identidad de los usuarios, los servicios y las aplicaciones.
Autorización: permite que los usuarios autenticados accedan a determinadas funciones o recursos.
Proveedores de identidad, almacenes de secretos y módulos de seguridad de hardware (HSM): posibilitan que los equipos de DevOps gestionen y protejan los secretos, los certificados, las claves y las credenciales de seguridad, ya sea que se encuentren en reposo o en tránsito.
Procedencia: consiste en verificar la identidad o la legitimidad del código o de una imagen, generalmente por medio de una firma digital o un registro de autenticidad.
A medida que evolucione el panorama de la seguridad, la IAM también incorporará otras funciones, como la inteligencia artificial, el machine learning (aprendizaje automático) y la autenticación biométrica.
Recursos de Red Hat
Autenticación: gestión de la identidad de los usuarios
La
autenticación consiste en confirmar o verificar la identidad de un usuario. La identidad de usuario (o identidad digital) es el conjunto de información que se utiliza para autenticar a una persona, un servicio o incluso dispositivos de IoT para que puedan acceder a conjuntos específicos de datos o redes empresariales. El ejemplo más conocido de autenticación es cuando alguien utiliza una contraseña para iniciar sesión en un sistema, y este corrobora la información proporcionada (es decir, la clave de acceso) para verificar su identidad.
Además de comprobar los datos de inicio de sesión, el proceso permite que los administradores de la TI supervisen y gestionen la actividad en la infraestructura y los servicios.
Existen varios enfoques para implementar una política de seguridad que aumente el nivel de protección del entorno, pero sin complicar a los usuarios. El single sign-on (SSO) y la autenticación de varios factores (MFA) son dos de los más conocidos.
SSO: en general, se requieren autenticaciones independientes para acceder a cada servicio, dispositivo y servidor. Sin embargo, el SSO establece un servicio de identificación central que los servicios configurados pueden consultar para comprobar si hay usuarios verificados. Estos se autentican una sola vez y pueden acceder a varios recursos.
MFA: es una medida de seguridad adicional que requiere comprobar la identidad con varios métodos antes de conceder el acceso a un sistema o servicio. Se pueden utilizar dispositivos criptográficos, como los tokens de hardware y las tarjetas inteligentes, o bien configurar otros métodos de autenticación, como las contraseñas tradicionales o las de un solo uso (OTP), el protocolo RADIUS, el cifrado de clave pública para la autenticación inicial (PKINIT) y las claves de acceso reforzadas.
También puedes emplear otras herramientas en la infraestructura para facilitar la gestión de las identidades, en especial en los entornos complejos o distribuidos, como la nube o los canales de CI/CD, donde puede ser difícil implementar sistemas de autenticación de los usuarios que sean eficaces. Las funciones del sistema ofrecen muchas ventajas en los entornos de DevSecOps. Los administradores de la TI ahorran tiempo y recursos gracias a los flujos de trabajo de configuración automatizados, uniformes y repetibles, lo cual reduce la carga y las tareas manuales relacionadas con la implementación, la administración de las identidades y el suministro o la eliminación de los recursos disponibles a lo largo del tiempo.
Autorización: determinación del acceso
La autenticación es lo que permite identificar al usuario que intenta acceder a un servicio. En cambio, la autorización es el proceso para definir los permisos que se le otorgarán, como editar, crear o eliminar la información.
Los controles de acceso mejoran la gestión de las identidades, ya que asignan usuarios con derechos predeterminados. Estos controles se suelen otorgar durante la configuración de la cuenta o la preparación de los usuarios, y se rigen por el modelo de confianza cero, que consiste en otorgar los privilegios mínimos.Con la configuración de
privilegios mínimos, los usuarios acceden únicamente a los recursos necesarios para llevar a cabo una tarea o un proyecto puntual y solo pueden realizar las acciones que se requieren. Las políticas de acceso también pueden restringir el tiempo durante el cual estarán disponibles ciertos recursos.
Por ejemplo, es posible que los empleados puedan acceder a una mayor cantidad de recursos que los proveedores, los partners, los distribuidores y los clientes. En el caso de que a un usuario se le otorgue un nivel de acceso diferente, los administradores de la TI podrán realizar los ajustes necesarios desde la base de datos de identidades.
Algunos de los sistemas de gestión del acceso que se rigen por este principio incluyen la gestión de acceso privilegiado (PAM) y el control de acceso basado en funciones (RBAC).
La PAM es el tipo de control más importante. Por lo general, los administradores y el personal de DevOps que reciben estos privilegios tienen acceso ilimitado a la información confidencial y pueden implementar cambios en las aplicaciones, las bases de datos, los sistemas o los servidores empresariales.
El RBAC define los roles o los grupos de usuarios y, luego, les concede acceso a las funciones o los recursos que necesitan según sus responsabilidades laborales. Además, permite otorgar los derechos de acceso de manera uniforme y precisa, lo cual no solo simplifica los procesos de administración e incorporación de nuevos usuarios, sino que también reduce la acumulación de privilegios. El RBAC automatiza la asignación de los derechos de acceso según la función del usuario en la empresa, de modo que se ahorran tiempo y recursos.
Elección de la solución adecuada de IAM
La
IAM proporciona un nivel de seguridad integrado al proceso de desarrollo de las aplicaciones y es fundamental para implementar el enfoque de DevSecOps en la empresa. Es uno de los elementos esenciales para diseñar un enfoque de seguridad en capas en los entornos virtuales, de servidor dedicado (bare metal), nube y contenedores.
Debes asegurarte de que el sistema de IAM pueda respaldar las soluciones en diversos entornos y cargas de trabajo. Esto supone que se implemente en las etapas de desarrollo, prueba, operaciones y supervisión de las aplicaciones.
Las empresas pueden tomar ciertas medidas para acotar la gran cantidad de opciones disponibles de IAM:
analizar los sistemas nuevos y heredados, en especial si cuentas con aplicaciones tanto en las instalaciones como en la nube;
identificar las fallas de seguridad de las partes interesadas, tanto internas como externas;
determinar los tipos de usuarios y sus derechos de acceso específicos.
Luego de definir las necesidades de la empresa en materia de seguridad, deberás implementar una solución de IAM. Puedes elegir una opción independiente, un servicio gestionado de identidades o un servicio de suscripción a la nube de un tercero, por ejemplo, la identidad como servicio (IDaaS).
La solución de IAM de Red Hat
Red Hat® Enterprise Linux® ofrece un servicio de autenticación simplificado, confiable y uniforme en una nube híbrida abierta. Incluye funciones de gestión concentrada de las identidades (IdM), para que puedas autenticar a los usuarios e implementar el RBAC con una sola interfaz que se puede ajustar para abarcar todo tu centro de datos.
La gestión de identidades en Red Hat Enterprise Linux te permite:
simplificar en gran medida la infraestructura de gestión de las identidades;
satisfacer los requisitos de cumplimiento modernos, como el Estándar de Seguridad de Datos para el Sector de Tarjetas de Pago (PCI-DSS), la Base para las Configuraciones del Gobierno de Estados Unidos (USGCB) y las Guías de Implementación Técnica de Seguridad (STIG);
disminuir los riesgos relacionados con el acceso no autorizado y el aumento de los privilegios;
crear la base para un entorno operativo muy dinámico y flexible, el cual debe ser compatible con la nube y los contenedores;
configurar los controles de acceso en los sistemas, las máquinas virtuales (VM) y los contenedores nuevos con antelación;
reducir los costos de las operaciones diarias y las responsabilidades de los equipos de TI en materia de seguridad.
La función de gestión de las identidades de Red Hat Enterprise Linux se puede combinar con Microsoft Active Directory, el protocolo ligero de acceso a los directorios (LDAP) y otras soluciones externas de IAM mediante las interfaces de programación de aplicaciones (API) estándares. También puedes gestionar la autenticación y la autorización de los servicios desde un solo lugar utilizando las técnicas basadas en certificados.
Red Hat Enterprise Linux ofrece un sistema de gestión de la automatización, la seguridad y el ciclo de vida que permite que los productos que se ejecutan en ella, como Red Hat OpenShift®, aprovechen las mismas tecnologías de protección y apliquen la ciberseguridad integrada al desarrollo de las aplicaciones basadas en contenedores.
El blog oficial de Red Hat
Obtenga la información más reciente sobre nuestro ecosistema de clientes, socios y comunidades.