Gestión de las identidades y del acceso (IAM)

La gestión de las identidades y del acceso (IAM) se utiliza para administrar de forma centralizada y uniforme las identidades de los usuarios, es decir, las personas, los servicios y los servidores; automatizar los controles de acceso; y cumplir con los requisitos normativos tanto en los entornos tradicionales como en los organizados en contenedores. Por ejemplo, se emplea cuando el personal utiliza una red privada virtual (VPN) para acceder a los recursos de la empresa con los que trabajará de forma remota.

La IAM permite garantizar que solo las personas adecuadas accedan a los recursos que les corresponden, en especial cuando se utilizan varias instancias de nube. Sus marcos son esenciales para gestionar las identidades en los entornos virtuales y de edge computing, nube híbrida y servidor dedicado (bare metal) desde una ubicación centralizada, ya que permite reducir los riesgos en torno a la seguridad o el cumplimiento normativo.

Los métodos de IAM controlan el acceso a los datos, las aplicaciones y los recursos que se encuentran en las instalaciones y en la nube, en función de la identidad del usuario o de la aplicación, y de las políticas definidas en el ámbito administrativo. Están presentes en todas las etapas del ciclo de vida de DevOps y se utilizan para evitar el acceso no autorizado al sistema y los movimientos laterales.

Estos son algunos de sus conceptos:

• Autenticación: se utiliza para verificar la identidad de los usuarios, los servicios y las aplicaciones.

• Autorización: permite que los usuarios autenticados accedan a determinadas funciones o recursos. 

• Proveedores de identidad, almacenes de secretos y módulos de seguridad de hardware (HSM): permiten que los equipos de DevOps gestionen y protejan los secretos, los certificados, las claves y las credenciales de seguridad, ya sea que se encuentren en reposo o en tránsito. 

• Procedencia: consiste en verificar la identidad o la legitimidad del código o de una imagen, generalmente por medio de una firma digital o un registro de autenticidad.

A medida que evolucione el panorama de la seguridad, la IAM también incorporará funciones adicionales, como la inteligencia artificial (IA), el aprendizaje automático (ML) y la autenticación biométrica.

La autenticación consiste en confirmar o verificar la identidad de un usuario Una identidad de usuario (o identidad digital) es el conjunto de información que se utiliza para autenticar a una persona, un servicio o incluso dispositivos de IoT en conjuntos específicos de datos o redes empresariales. El ejemplo más conocido de autenticación es cuando alguien utiliza una contraseña para iniciar sesión en un sistema, y este corrobora la información proporcionada (es decir, la clave de acceso) para verificar su identidad.

El proceso no solo permite registrar la información de inicio de sesión, sino también que los administradores de la TI supervisen y gestionen la actividad en la infraestructura y los servicios.

Hay varios enfoques para implementar una política de seguridad que aumente el nivel de protección del entorno, pero sin complicar a los usuarios. El single sign-on (SSO) y la autenticación de varios factores (MFA) son dos de los más conocidos.

• SSO: en general, se requieren autenticaciones independientes para acceder a cada servicio, dispositivo y servidor. Sin embargo, el SSO establece un servicio de identificación central que los servicios configurados pueden consultar para comprobar si hay usuarios verificados. Estos se autentican una sola vez y pueden acceder a varios recursos.

• MFA: es una medida de seguridad adicional que requiere varias comprobaciones para verificar la identidad antes de conceder el acceso. Se pueden utilizar dispositivos criptográficos, como los tokens de hardware y las tarjetas inteligentes, o bien configurar otros métodos de autenticación, como las contraseñas tradicionales o las de un solo uso (OTP), el protocolo RADIUS, el cifrado de clave pública para la autenticación inicial (PKINIT) y las claves de acceso reforzadas.

También puede emplear otras herramientas en la infraestructura para facilitar la gestión de las identidades, principalmente en los entornos complejos o distribuidos, como la nube o los canales de CI/CD, donde no es sencillo autenticar a los usuarios de forma efectiva. Las funciones del sistema ofrecen muchas ventajas en los entornos de DevSecOps. Los administradores de la TI ahorran tiempo y recursos gracias a los flujos de trabajo de configuración automatizados, uniformes y repetibles, lo cual reduce sus responsabilidades y las tareas manuales relacionadas con la implementación, la administración de las identidades y el suministro o la eliminación de los recursos disponibles a lo largo del tiempo.

La autenticación es lo que permite identificar al usuario que intenta acceder a un servicio. En cambio, la autorización es el proceso para definir los permisos que se le otorgarán, como editar, crear o eliminar la información. 

Los controles de acceso mejoran la gestión de las identidades, ya que asignan usuarios con derechos predeterminados. Estos controles se suelen otorgar durante la configuración de la cuenta o la preparación de los usuarios; y se rigen por el modelo de confianza cero, que consiste en otorgar los privilegios mínimos.

Con la configuración de privilegios mínimos, los usuarios acceden únicamente a los recursos necesarios para llevar a cabo una tarea o un proyecto puntual, y solo pueden realizar las acciones que se requieren. Las políticas de acceso también pueden restringir el tiempo durante el cual estarán disponibles ciertos recursos. 

Por ejemplo, es posible que los empleados puedan acceder a una mayor cantidad de recursos que los proveedores, los partners, los distribuidores y los clientes. En el caso de que a un usuario se le otorgue un nivel de acceso diferente, los administradores de la TI podrán realizar los ajustes necesarios desde la base de datos de identidades.

Algunos de los sistemas de gestión del acceso que se rigen por este principio incluyen la gestión de acceso privilegiado (PAM) y el control de acceso basado en funciones (RBAC).

La PAM suele ser el tipo de control más importante. Por lo general, los administradores y el personal de DevOps que reciben estos privilegios tienen acceso ilimitado a la información confidencial y pueden implementar cambios en las aplicaciones, las bases de datos, los sistemas o los servidores empresariales.

El RBAC define los roles o los grupos de usuarios, y luego les otorga acceso a las funciones o los recursos que necesitan según sus responsabilidades laborales. Además, permite otorgar los derechos de acceso de manera uniforme y precisa, lo cual no solo simplifica los procesos de administración y contratación, sino que también reduce la acumulación de privilegios. El RBAC automatiza la asignación de los derechos de acceso según la función del usuario en la empresa, lo cual permite ahorrar tiempo y recursos.

La IAM proporciona un nivel de seguridad que se integra al proceso de desarrollo de las aplicaciones; además, es fundamental para implementar el enfoque de DevSecOps en la empresa. Es uno de los elementos esenciales para diseñar un enfoque de seguridad en capas en los entornos virtuales, de servidor dedicado (bare metal), nube y contenedores. 

Debe asegurarse de que el sistema de IAM pueda respaldar las soluciones en diversos entornos y cargas de trabajo. Esto implica que se implemente en las etapas de desarrollo, prueba, operaciones y supervisión de las aplicaciones.

Las empresas pueden tomar ciertas medidas para acotar la gran cantidad de opciones disponibles de IAM:

• Analizar los sistemas nuevos y los heredados, en especial si cuenta con aplicaciones tanto en las instalaciones como en la nube

• Identificar las fallas de seguridad de las partes interesadas, tanto internas como externas

• Determinar los tipos de usuarios y sus derechos de acceso específicos

Luego de definir las necesidades de la empresa en materia de seguridad, deberá implementar una solución de IAM. Puede elegir una opción independiente, un servicio gestionado de identidades o un servicio de suscripción a la nube de un tercero, por ejemplo, la identidad como servicio (IDaaS).

Red Hat® Enterprise Linux® ofrece un servicio de autenticación simplificado, confiable y uniforme en una nube híbrida abierta. Incluye funciones de gestión centralizada de las identidades (IdM), para que pueda autenticar a los usuarios e implementar el RBAC con una sola interfaz, las cual se puede ajustar para abarcar todo su centro de datos.

La gestión de identidades en Red Hat Enterprise Linux le permite:

• Simplificar en gran medida la infraestructura de gestión de las identidades

• Cumplir con los requisitos normativos modernos, como el Estándar de Seguridad de Datos para el Sector de Tarjetas de Pago (PCI-DSS), la Base para las Configuraciones del Gobierno de Estados Unidos (USGCB) y las Guías de Implementación Técnica de Seguridad (STIG)

• Disminuir los riesgos relacionados con el acceso no autorizado y el aumento de los privilegios

• Crear la base para un entorno operativo muy dinámico y flexible, el cual debe ser compatible con la nube y los contenedores

• Configurar los controles de acceso en los sistemas, las máquinas virtuales (VM) y los contenedores nuevos con antelación

• Reducir los costos de las operaciones diarias y las responsabilidades de los equipos de TI en materia de seguridad

La función de gestión de las identidades de Red Hat Enterprise Linux se puede combinar con Microsoft Active Directory, el protocolo ligero de acceso a los directorios (LDAP) y otras soluciones externas de IAM mediante las interfaces de programación de aplicaciones (API) estándares. También puede gestionar la autenticación y la autorización de los servicios de forma centralizada utilizando las técnicas basadas en certificados.

Red Hat Enterprise Linux ofrece un sistema de gestión de la automatización, la seguridad y el ciclo de vida que permite que los productos que se ejecutan en ella, como Red Hat OpenShift®, aprovechen las mismas tecnologías de protección y apliquen la ciberseguridad integrada al desarrollo de las aplicaciones basadas en contenedores.