Un enfoque proactivo e integral de la seguridad de la identidad en la nube es esencial

La seguridad en la nube se ha transformado. De hecho, la mayoría de los equipos de seguridad tratan de llevar a cabo medidas adecuadas de reducción de riesgos, aunque la seguridad eficaz en la nube va más allá. Con motivo del Día Mundial de la Seguridad en la Nube, que se celebra el 3 de abril, Charles Chu, director general de Soluciones Informáticas y para Desarrolladores de CyberArk, analiza la problemática de la seguridad cloud y las pautas para reforzarla.

Las organizaciones nativas de la nube que operan en entornos complejos y multicloud se enfrentan a un panorama que evoluciona rápidamente y a una explosión de identidades (tanto humanas como de máquinas), que los modelos de seguridad tradicionales tienen dificultades para gestionar. “La falta de visibilidad y la incapacidad de administrar rápidamente el acceso privilegiado sin control provocan una mayor vulnerabilidad, riesgo y problemas de cumplimiento”, asegura Chu, añadiendo que, “para hacer frente a esta situación, las organizaciones deberían adoptar un enfoque gradual, empezando por el cumplimiento normativo y avanzando hacia medidas de seguridad más sofisticadas”.

La implantación de una política de cero privilegios permanentes ayuda a minimizar las superficies de ataque, mientras que centralizar la gestión de identidades garantiza una aplicación consistente entre los servicios en la nube. “Un enfoque proactivo e integral de la seguridad de la identidad en la nube es esencial para proteger los activos de la organización en un entorno digital cada vez más complejo", apunta Chu

 

Principales amenazas en el entorno de la nube

CyberArk ha identificado cuáles son las áreas reconocidas como amenazas en el entorno de la nube, y qué acciones pueden ayudar a reducir estos riesgos:

-     Usuarios inactivos en la nube. Los usuarios o las cuentas inactivas con privilegios de acceso permanente representan un riesgo importante. A menudo pasan desapercibidos en entornos de nube y ofrecen entradas de puerta trasera para los ciberdelincuentes. Para mitigar esta amenaza se puede utilizar la automatización para revocar el acceso o desactivar cuentas después de un cierto período de inactividad. O bien realizar revisiones frecuentes de acceso a las funciones, permisos y actividades de los usuarios para garantizar que solo existan las cuentas necesarias y activas. Esto ayudará a mantener el cumplimiento de muchos marcos regulatorios que requieren minimizar el acceso.

-     Configuraciones erróneas. Las configuraciones incorrectas en un entorno de nube se refieren a activos o servicios configurados incorrectamente que pueden exponer a una organización a riesgos de distintos niveles. Dada la complejidad de las arquitecturas de nube modernas, los ajustes de configuración pueden ser miles. Cada configuración ofrece una posible oportunidad de error. Con el objetivo de abordar esa amenaza, es necesario revisar las políticas de IAM periódicamente para garantizar el principio de privilegio mínimo, aplicar la autenticación multifactor (MFA) para todos los usuarios e implementar un modelo de acceso just-in-time, eliminando los permisos permanentes y alineándolos con privilegios permanentes cero (ZSP).

-      Acceso persistente a la nube. El acceso persistente significa que, si un atacante compromete una cuenta, tiene acceso indefinido hasta que se detecta. Lo cual provocará que los ciberdelincuentes establezcan un punto de apoyo más sólido, realicen reconocimientos e, incluso, se propaguen a otras partes de la red. Cambiar el acceso just-in-time, que proporciona acceso temporal que se revoca automáticamente después de un cierto período o después de completar la tarea, realizar revisiones frecuentes de los derechos de acceso, para garantizar que los usuarios tengan solo los permisos necesarios, o aplicar MFA para todos los usuarios, especialmente aquellos con privilegios elevados son algunos de los pasos necesarios para mitigar las amenazas.

-     Permisos excesivos. Los permisos excesivos en la nube brindan a los usuarios, y potencialmente a los atacantes, más acceso del necesario para realizar sus tareas, aparte de que pueden provocar fugas de datos, escalada de privilegios y riesgos operativos. Para evitarlo, se pueden asignar permisos basados en roles organizacionales (RBAC); respetar el principio de privilegio mínimo (PoLP), proporcionando siempre el acceso mínimo necesario; supervisar las actividades de los usuarios y emplear inteligencia artificial o herramientas basadas en aprendizaje automático, para detectar y alertar comportamientos anómalos; o, por último, establecer límites estrictos sobre los permisos que se pueden otorgar.

-     Secretos no rotados. En el mundo de la arquitectura de múltiples nubes, los secretos (ya sean claves API, tokens, pares de claves públicas/privadas o contraseñas) actúan como conductos de acceso vitales a datos y servicios cruciales. Por lo que, si los secretos permanecen estáticos, el factor de riesgo se agrava. Gestionar proactivamente estos secretos en todas las plataformas en la nube es una necesidad. En este sentido, lo aconsejable es implementar una política obligatoria para rotar secretos a intervalos regulares, cuya frecuencia puede variar según la sensibilidad del secreto; automatizar la rotación de secretos utilizando herramientas nativas de la nube o soluciones de terceros para reducir los errores manuales. Y, por último, revocar y reemplazar secretos al instante.

-     Cuentas de administrador no protegidas. Las cuentas de administrador son la joya de la corona de cualquier infraestructura de TI y otorgan acceso privilegiado al corazón de los sistemas y los datos. A medida que las empresas amplían su presencia en la nube es esencial administrar de forma segura estas cuentas, con sus permisos elevados. Con el objetivo de mitigar este riesgo, una organización puede implementar y hacer cumplir MFA para todas las cuentas de administrador, lo cual garantiza una capa adicional de seguridad. También es necesario auditar y revisar, de manera regular, los registros y rutas de acceso en AWS, GCP y Azure o crear un mecanismo para detectar y proteger nuevos administradores, asegurando la distinción entre administradores federados y administradores locales con contraseña.