¿Qué es el control de acceso?

Copiar URL

El control de acceso es una técnica de autorización de seguridad que determina los recursos específicos que un usuario o un sistema puede visualizar o utilizar en una infraestructura de TI.

Es uno de los elementos fundamentales en materia de ciberseguridad y su objetivo básico consiste en proteger la información confidencial contra el acceso no autorizado. Para ello, se identifica la legitimidad de las credenciales de un usuario o de un sistema y, posteriormente, se le concede un nivel de acceso adecuado según su función o grado de autorización. Gracias a diversos mecanismos, como la supervisión en tiempo real, el cumplimiento normativo y la revisión, los sistemas de control de acceso pueden mejorar las medidas de seguridad de la empresa y reducir las amenazas.

Descubre los casos prácticos de automatización de la seguridad 

Hay seis tipos de modelos de control de acceso comunes. A continuación, se explica el modo en que cada uno de ellos gestiona los permisos de usuario:

Control de acceso basado en funciones (RBAC)

Este modelo concede o deniega el acceso a los usuarios según las funciones y las responsabilidades que tengan asignadas.Estas funciones determinan los recursos a los que pueden acceder los usuarios, de modo que los administradores del sistema puedan gestionar directamente los derechos de acceso conforme a ellas. El RBAC admite las jerarquías de funciones, por lo que aquellos usuarios que tienen una función de nivel superior también pueden heredar los permisos de acceso de otras inferiores, lo cual simplifica la gestión. Por ejemplo, un usuario con una función de "Personal" puede tener permisos limitados, como de solo lectura o de uso compartido de archivos, mientras que un "Gerente" dispondrá de todos los permisos de un usuario de "Personal" más derechos de acceso adicionales. El RBAC se rige por el principio del mínimo privilegio (PoLP), que constituye la base de la seguridad con confianza cero.

Control de acceso basado en reglas (RuBAC)

En este modelo, se concede o deniega el acceso en función de un conjunto de reglas predeterminadas que contemplan condiciones o criterios específicos de cada usuario. Para implementarlo, hay que identificar las necesidades particulares de los usuarios, crear políticas de gestión de identidades y accesos (IAM) que definan las reglas correspondientes y aplicar las condiciones pertinentes para mejorar la seguridad. Por lo general, las reglas se basan en una serie de condiciones, como la hora de acceso, la dirección IP y la autenticación de varios factores. Por ejemplo, se puede conceder acceso solo durante el horario laboral si el usuario inicia sesión de manera segura en una red privada virtual (VPN) o solo en aplicaciones locales.

Control de acceso obligatorio (MAC)

Esta técnica de seguridad aplica restricciones de acceso basadas en políticas y reglas obligatorias fijas que definen los administradores del sistema y en las que los usuarios no pueden modificar los permisos. La imposibilidad de modificar los accesos de los usuarios garantiza la protección de la información confidencial conforme a los protocolos de seguridad no negociables. En este sistema, a cada usuario se le asigna un nivel de seguridad predeterminado y los recursos se clasifican en función de su grado de confidencialidad. Si el nivel de seguridad del usuario coincide con el de clasificación del recurso o lo supera, se le otorga acceso; en caso contrario, se le deniega.

Es importante que este método no se considere un control de acceso conjunto basado en funciones y reglas. Aunque la aplicación de reglas obligatorias es su tarea principal, no permite que los usuarios gestionen los permisos de acceso (independientemente del nivel de seguridad), y los niveles de seguridad no dependen de la función del usuario. No obstante, esta técnica puede integrarse a los conceptos de RBAC en determinados sistemas de seguridad de datos.

Control de acceso discrecional (DAC)

Este sistema flexible de gestión de la seguridad de los recursos otorga acceso a los usuarios o lo revoca según el criterio del propietario.Cuando un usuario crea o sube archivos a su nube personal, puede especificar los permisos para cada uno de ellos a fin de determinar si son de acceso público, restringido a determinados usuarios o privado para uso exclusivo del propietario. Este tipo de control de acceso es habitual en los sistemas de archivos, ya que el propietario del recurso puede actualizar los permisos o eliminar el acceso de los usuarios en cualquier momento.

Control de acceso basado en atributos (ABAC)

Este método se basa en los atributos del usuario, los recursos y el entorno, y evalúa dichas características de manera simultánea. Por ejemplo, cuando un usuario proporciona las credenciales para iniciar sesión en un servicio de nube, el sistema recuperará los atributos del usuario (como sus funciones o permisos) desde su perfil. Luego, identificará los atributos de los recursos, como el tipo de archivo, el propietario y el grado de confidencialidad, junto con otros de tipo contextual, como la hora de acceso del usuario, su ubicación y si la solicitud se realiza a través de una red segura. A continuación, el sistema evaluará si los atributos combinados cumplen las políticas de seguridad y decidirá si concede o deniega el acceso.

Listas de control de acceso (ACL)

Las ACL son listas que definen los permisos de los usuarios o del sistema y las acciones que pueden ejecutar cuando acceden a un recurso. Por lo general, los administradores del sistema se encargan de crearlas y gestionarlas; sin embargo, algunos sistemas automatizados pueden generar ACL basadas en reglas o políticas predeterminadas. 
 

Los sistemas de control de acceso, son un elemento fundamental e indispensable para tu infraestructura de TI, ya sea que necesites uno o varios. Evalúa tus necesidades en cuanto a seguridad y cumplimiento normativo para determinar el modelo de control de acceso más adecuado para tu empresa.

Simplifique su centro de operaciones de seguridad 

Las ventajas de elegir Red Hat para DevSecOps

Se trata de un conjunto de reglas que especifica si un usuario o una entidad tiene acceso a un archivo o recurso determinado en un entorno informático, o si no lo tiene. En concreto, las ACL funcionan como filtros asociados a los recursos del sistema. Por ejemplo, cuando un usuario intenta acceder a un recurso, el sistema comprobará la ACL vinculada a este último y comparará la identidad del usuario con los contenidos que figuran en la lista. Si el sistema encuentra un registro coincidente, se concede al usuario el ingreso con los permisos especificados; en caso contrario, se deniega el acceso. Al igual que los firewalls, las ACL se basan en reglas y funcionan con criterios definidos previamente a la hora de evaluar las solicitudes de acceso. Sin embargo, mientras que las listas establecen los permisos de usuario, los firewalls hacen lo propio con las reglas que aprueban o deniegan el tráfico de red. 

Hay dos tipos de ACL:

ACL de sistema de archivos. Con este método, se define y gestiona el contenido y los directorios de un sistema de archivos y se filtra el acceso a estos. A partir de reglas definidas previamente, esta ACL indica a los sistemas operativos los usuarios que pueden acceder y los privilegios que poseen dentro del sistema.

ACL de la red. Este método filtra el acceso a los dispositivos de red (como los enrutadores, los conmutadores y los firewalls) y gestiona la seguridad al especificar el tráfico que puede ingresar a la red y las actividades permitidas una vez dentro.

Esta función de seguridad es imprescindible y puede instalarse en cualquier dispositivo de seguridad o enrutamiento para simplificar la identificación de los usuarios o los sistemas y gestionar el modo en que interactúan con la información confidencial. 

Si bien ambos son métodos de gestión de recursos, su funcionamiento es diferente. Las ACL controlan los permisos de los usuarios individuales con niveles inferiores de seguridad de los datos, mientras que los sistemas de RBAC lo hacen a escala empresarial y con la supervisión de los administradores. Los RBAC ofrecen un enfoque más amplio para simplificar la gestión de la seguridad basada en las funciones del usuario, en tanto que las ACL permiten adaptar reglas más específicas a los usuarios individuales según cada recurso, sin que ello afecte a sus respectivas funciones.

El RBAC es la solución perfecta para las empresas que cuentan con funciones definidas. La mejor manera de utilizarlo es como sistema de seguridad para toda la empresa con la ayuda de un administrador de supervisión. Por su parte, la ACL es más adecuada para el control detallado de los recursos individuales y ofrece la flexibilidad necesaria para gestionar el acceso sin problemas. La elección de un método u otro depende en gran medida de los requisitos estructurales y de seguridad de tu empresa, como las auditorías de cumplimiento normativo; entre ellas, la identificación de la cantidad de usuarios o tráfico no autorizado que dispone de acceso de administrador del sistema. La gestión de recursos facilita el análisis y la revisión de la seguridad de los datos para que tu empresa cumpla la normativa.

Obtén más información sobre el control de acceso basado en funciones

Sin un sistema de automatización de TI, las empresas se ven obligadas a realizar sus tareas de forma manual, lo cual supone un aumento del tiempo de producción, de los costos operativos y de los puntos vulnerables en materia de seguridad, como el acceso no autorizado. La automatización reduce los errores humanos al simplificar las tareas rutinarias, como la preparación del usuario, las actualizaciones del sistema, las revisiones de acceso y la generación de auditorías a una velocidad que, de otro modo, supondría un desafío si se hicieran manualmente. Conforme crecen las empresas, esta herramienta permite gestionar un mayor volumen de datos y usuarios y, al mismo tiempo, posibilita la detección de amenazas en tiempo real y la respuesta ante ellas, con lo cual se refuerza la seguridad.

La implementación de la gestión automatizada de parches y la gestión de la información y los eventos de seguridad (SIEM) con control de acceso pueden reducir al mínimo los errores humanos en los procesos de seguridad de TI y mejorar el cumplimiento normativo. Las soluciones de gestión de parches pueden combinarse con un software de automatización para corregir los puntos vulnerables conocidos en los sistemas o las aplicaciones que implementan las políticas de control de acceso. Por otro lado, la automatización de SIEM detecta posibles anomalías mediante el análisis de patrones de acceso en tiempo real y puede emitir alertas automáticas a los equipos de seguridad cuando se produce un evento. Además, esta herramienta automatiza los registros de auditoría y hace un seguimiento y almacena las actividades de acceso a efectos del cumplimiento normativo. 

Si se complementa el control de acceso con la automatización, las empresas pueden aplicar las políticas de acceso con menos privilegios de manera eficaz y, a su vez, garantizar que ese permiso se ajuste a las necesidades de la institución.

Guía sobre la automatización para los ejecutivos de TI

Network automation for everyone

Red Hat® Ansible® Automation Platform te permite automatizar las tareas manuales y acelerar la obtención de resultados, a la vez que facilita su aplicación con la flexibilidad y complejidad que exigen las empresas modernas. El controlador de automatización es el plano de control de la plataforma y permite que los administradores definan la automatización, trabajen con ella y deleguen las tareas en todos los equipos. Proporciona funciones minuciosas y específicas de RBAC que se integran a los sistemas de autenticación empresarial para garantizar que la automatización cumpla los estándares de seguridad y las normas de la empresa. Además, los equipos de operaciones de seguridad pueden utilizar esta plataforma para gestionar otras aplicaciones empresariales, como las soluciones de SOAR.

Si buscas mejorar la seguridad, el cumplimiento normativo y la eficiencia operativa de la gestión de identidades y accesos en la organización de contenedores, Red Hat OpenShift® puede ayudarte a gestionar el acceso de los usuarios a pods, nodos y clústeres completos. Esta plataforma de aplicaciones de nube híbrida para empresas te permite gestionar, implementar y ajustar las aplicaciones organizadas en contenedores y, al mismo tiempo, aprovechar los elementos potentes de Kubernetes, incluidas funciones de seguridad como el RBAC de Kubernetes.

Da los primeros pasos con el controlador de automatización

Recurso

La empresa automatizada

Lea este ebook para descubrir el potencial de la automatización para revolucionar los servicios de TI, como las redes, la infraestructura, la seguridad, DevOps y el extremo de la red.

Cursos de capacitación y certificación de Red Hat Ansible Automation Platform

Conozca los cursos de capacitación y los exámenes de certificación de Red Hat Ansible Automation Platform, y encuentre el plan de desarrollo de habilidades que mejor se adapte a su trabajo.

Más información

Diseña una estrategia de automatización para la TI

La automatización aislada solo puede llevarte hasta cierto punto. Para extenderla a todas las áreas de las operaciones de TI, necesitas una estrategia de automatización que unifique los equipos, los procesos y los flujos de trabajo desconectados.

¿Qué implica gestionar la infraestructura virtual? ¿Y cómo puede ayudar la automatización?

La gestión de la infraestructura virtual consiste en la coordinación de los recursos de TI, los sistemas de software y otras herramientas para gestionar las máquinas virtuales y los entornos de TI relacionados a lo largo de todo su ciclo de vida.

El concepto de CloudOps

CloudOps (u operaciones en la nube) combina las operaciones de TI y las prácticas recomendadas para gestionar entornos en la nube.

Automatización y gestión: lecturas recomendadas

Producto destacado

Artículos relacionados