PAM 
A medida que las amenazas cibernéticas se vuelven más avanzadas, las organizaciones necesitan más que firewalls y políticas de contraseñas tradicionales para proteger los datos confidenciales.
La gestión del acceso privilegiado (PAM) es un subconjunto de la gestión de la identidad y el acceso (IAM) que aborda específicamente el control del acceso de los usuarios que trabajan con los sistemas y los datos más confidenciales dentro de una organización, como el personal de TI, la seguridad de la información y de DevOps. Entre otras tareas, la PAM aplica el principio de privilegios mínimos, que otorga a los usuarios el nivel mínimo de los sistemas y el acceso a los datos que necesitan para realizar su trabajo.
A medida que los ataques cibernéticos aumentan su frecuencia, intensidad e impacto financiero, más organizaciones están agregando soluciones de PAM a sus pilas de tecnología de seguridad. Sin embargo, evaluar y seleccionar la más adecuada puede suponer un desafío con tantos productos de PAM de la competencia disponibles.
Examinemos las seis principales características de gestión del acceso privilegiado que realmente necesita para proteger su organización.
1. Seguridad de confianza cero y conocimiento cero basada en la nube
Aunque los entornos de datos organizativos de hoy en día están en gran medida, o incluso totalmente, basados en la nube, muchos productos de PAM «modernos» se desarrollaron originalmente para las infraestructuras en las instalaciones, con las características de la nube habiéndose incorporado más tarde. Los productos de PAM que no se desarrollaron en la nube no aprovechan al máximo las características de la nube, como la capacidad de escalar automáticamente los recursos de la nube, tanto hacia arriba como hacia abajo, según sea necesario (escalado automático), o la seguridad de confianza cero y el cifrado de conocimiento cero.
Los productos que no son del conocimiento cero son intrínsecamente menos seguros porque el proveedor de servicios tiene acceso a los datos confidenciales de los usuarios. Los proveedores que no ofrecen conocimiento cero almacenan los datos en un formato legible o tienen la posibilidad de descifrar los datos de los usuarios. Si sus sistemas llegan a ser violados, los atacantes podrían acceder a estos datos sensibles. Por el contrario, los proveedores con conocimiento cero no pueden leer los datos de los usuarios, incluso si se produce una violación de seguridad, porque los datos están cifrados y solo el usuario tiene las claves.
Además de evitar las violaciones de los datos sensibles de los usuarios por parte de actores de amenazas externos o personas con información privilegiada maliciosos, el cifrado de conocimiento cero mantiene los datos confidenciales fuera de las manos de los reguladores gubernamentales. Los datos almacenados por el proveedor están sujetos a las leyes locales y podrían accederse o ser monitoreados sin el consentimiento del usuario, y los gobiernos o los organismos reguladores pueden solicitar acceso a los datos de los usuarios. Una empresa que no utilice cifrado de conocimiento cero puede verse legalmente obligada a proporcionar los datos de los usuarios en respuesta a dicha solicitud. Cuando una organización utiliza el cifrado de conocimiento cero, no puede cumplir con dichas solicitudes porque simplemente no tiene la capacidad de descifrar los datos de los usuarios.
Por último, el conocimiento cero genera confianza entre los proveedores de servicios y sus clientes. Las organizaciones deben poder confiar en que su proveedor de servicios gestiona y protege sus datos de forma responsable.
En un entorno de conocimiento cero, esta confianza es más fácil de otorgar porque el proveedor de servicios no puede acceder a la información confidencial de los usuarios, pase lo que pase.
KeeperPAM®: seguridad de conocimiento cero diseñada en la nube, para la nube
A diferencia de muchos de nuestros competidores, KeeperPAM no es un producto en las instalaciones con características de la nube que se incorporan más tarde. KeeperPAM se diseñó en la nube, para la nube, utilizando la arquitectura de seguridad de confianza cero de Keeper. Esto significa que nadie, excepto el usuario final, puede ver las contraseñas, los archivos u otros datos almacenados en Keeper Vault, ni siquiera su administrador local ni los propios empleados de Keeper. La infraestructura de Keeper intermedia en las conexiones, y se crean conexiones cifradas de extremo a extremo, de igual a igual, desde el navegador del usuario a la infraestructura de destino.
2. Control de acceso granular y aplicación de políticas
El control de acceso granular ayuda a las organizaciones a crear un entorno seguro, eficiente y conforme al cumplimiento, al limitar el acceso a justo lo necesario para los usuarios o los sistemas. Por lo general, se combina con Control del acceso basado en roles (RBAC) y el acceso de privilegios mínimos (también conocido como el privilegio justo, o JEP), donde los permisos de acceso a los sistemas y los datos se basan en la función laboral de un empleado, con el objetivo final de garantizar que los usuarios solo puedan acceder a los recursos que necesitan para realizar su trabajo, y nada más. Dado que el control del acceso granular, la RBAC y los privilegios mínimos/JEP son las piedras angulares de los entornos de seguridad modernos de confianza cero, es imperativo que su solución de PAM las admita.
El acceso justo a tiempo (JIT) es otra característica importante para garantizar un acceso privilegiado seguro. El JIT otorga a los usuarios o los sistemas un acceso temporal y limitado en el tiempo a los recursos solo cuando los necesitan para realizar tareas específicas. Esto significa que el acceso es:
- Aprovisionado bajo demanda: se activa cuando se solicita o se activa por un evento específico.
- De duración limitada: se revoca automáticamente después de un período predefinido o una vez que se completa la tarea.
- Está al tanto del contexto: puede incorporar condiciones como el rol del usuario, la ubicación, el dispositivo o la postura de seguridad.
Cómo simplifica KeeperPAM el control granular del acceso y la aplicación de políticasKeeperPAM puede proporcionar acceso JIT a cualquier infraestructura o sistema de destino sin exponer las credenciales. Una vez el acceso caduca, las credenciales se pueden rotar automáticamente. Al implementar los principios del JIT y de privilegios mínimos/JEP, KeeperPAM reduce los privilegios permanentes, mitiga las vulnerabilidades de seguridad y reduce el riesgo de permisos excesivos. |
3. Gestión, control y grabación de sesiones
En el contexto de la gestión del acceso privilegiado, la gestión, la supervisión y la grabación de sesiones son características críticas que proporcionan supervisión, control y responsabilidad sobre las actividades de los usuarios privilegiados. Estas características garantizan que las acciones realizadas por las cuentas privilegiadas se rastrean, registran y revisan cuidadosamente para mitigar los riesgos asociados con su acceso privilegiado.
La gestión de sesiones implica controlar las sesiones de los usuarios privilegiados, incluido el inicio, el mantenimiento y la finalización del acceso a los sistemas confidenciales. Asegúrese de que su solución de PAM disponga de las siguientes capacidades:
- Inicio de sesión: facilitar conexiones seguras y temporales con los sistemas de destino.
- Control del acceso: aplicar políticas como los límites de tiempo o el uso específico de dispositivos durante las sesiones.
- Terminación de sesiones: finalizar las sesiones automáticamente en función de la inactividad o la violación de políticas.
- Monitoreo de sesiones: seguimiento en tiempo real de las actividades de los usuarios en sesiones privilegiadas que permite al personal de TI y de seguridad ver qué acciones se están realizando, a menudo a través de paneles de control en vivo o mecanismos de uso compartido de pantalla.
- Grabación de sesiones: capturar y almacenar registros detallados y, a menudo, una reproducción de tipo video de las sesiones privilegiadas. Las grabaciones suelen incluir pulsaciones de teclas, comandos ejecutados, pantallas vistas y mucho más.
La gestión, el control y la grabación de sesiones ayudan a evitar actividades maliciosas al permitir a los equipos de seguridad intervenir cuando se detectan acciones sospechosas o no autorizadas durante una sesión privilegiada. Reducen las amenazas internas al disuadir el uso indebido de privilegios y proporcionar pruebas para las investigaciones forenses si se producen incidentes. La gestión de sesiones, en particular la grabación de sesiones, también es clave para el cumplimiento. Muchas normas del sector y marcos regulatorios (por ejemplo, la HIPAA, el PCI DSS y el RGPD) requieren un seguimiento, documentación y presentación de informes sobre las actividades de los usuarios privilegiados para proteger los datos sensibles.
Asegúrese de seleccionar una solución de PAM que admita la tunelización y el uso de herramientas propias (BYOT). La tunelización hace referencia a la capacidad de enrutar y gestionar de forma segura las comunicaciones o las interacciones con sistemas remotos a través de un intermediario o un proxy, sin necesidad de acceso directo al sistema de destino. Esto es particularmente importante en las soluciones de PAM, porque permite una comunicación segura y cifrada entre el dispositivo del usuario y el sistema de destino; enruta todas las comunicaciones a través de una puerta de enlace de PAM o un proxy, que aplica el RBAC y permite la gestión de sesiones; y es compatible con múltiples protocolos (por ejemplo, SSH, RDP, HTTPS) para permitir a los usuarios gestionar diversos entornos de forma segura.
BYOT es una característica de las soluciones de PAM integrales que permite a los usuarios utilizar de forma segura sus herramientas y aplicaciones preferidas para interactuar con los sistemas, en lugar de confiar únicamente en las herramientas proporcionadas por la plataforma de PAM. Por ejemplo, permite a los administradores del sistema utilizar su cliente SSH favorito, como PuTTY o Terminal, para conectarse a un servidor a través de la plataforma de PAM. Esto permite flujos de trabajo que requieren herramientas especializadas o preferencias de los usuarios, al tiempo que mantiene la seguridad y la gobernanza.
Cómo mejora KeeperPAM la gestión, la supervisión y la grabación de sesiones
Las herramientas de gestión de sesiones privilegiadas (PSM) de KeeperPAM utilizan la bóveda de secretos, JIT/JEP y la grabación y reproducción de sesiones remotas para garantizar que las credenciales y la infraestructura críticas estén protegidas. A través de la grabación de sesiones y el registro de pulsaciones de teclas, la actividad de los usuarios durante las conexiones y en los sitios web protegidos se puede grabar con fines de revisión, cumplimiento o seguridad. Esto garantiza unas interacciones adecuadas, y reduce las amenazas internas y el fraude.
Las acciones de los usuarios dentro de Keeper Vault también quedan registradas, al igual que la herramienta módulo de informes y alertas avanzados (ARAM) de Keeper, que permite a las organizaciones configurar alertas para actividades sospechosas, como los intentos de inicio de sesión fallidos, los cambios en políticas administrativas, el uso compartido de registros y los cambios en el ciclo de vida de los usuarios. ARAM también puede generar informes específicamente para abordar marcos de cumplimiento como FedRAMP, SOC 2, ISO 27001 y la HIPAA.
Las organizaciones pueden integrar Keeper con su herramienta de gestión de la información de seguridad y de eventos (SIEM) existente para un análisis más sofisticado. Keeper se integra con cualquier SIEM que admita el envío de logs de sistemas y cuenta con integraciones listas para usar para muchos, incluidas, entre otras, Splunk, Datadog, Azure y LogRhythm.
KeeperPAM ofrece a los desarrolladores una opción de acceso a los sistemas, y pueden utilizar la interfaz visual de Keeper Connection Manager para acceder a los recursos, o crear túneles TCP cifrados para acceder a los sistemas utilizando sus herramientas preferidas, como las bases de datos o los emuladores de terminales.
KeeperPAM también ofrece aislamiento remoto del navegador (RBI), que aísla la actividad de navegación web de un usuario de su dispositivo local al ejecutarla en un entorno virtual aislado, como un entorno de pruebas o una máquina virtual, en un servidor remoto. El contenido web se renderiza en el servidor remoto, por lo que los scripts maliciosos, el malware o las vulnerabilidades no pueden llegar al dispositivo del usuario.
4. Compatibilidad con claves de acceso
Las claves de acceso son un método de autenticación moderno y resistente al phishing, diseñado para reemplazar a las contraseñas tradicionales. Son un tipo de sistema de inicio de sesión sin contraseñas que utiliza la criptografía de clave pública para mejorar la seguridad y la facilidad de uso. Las claves de acceso están siendo adoptadas por las principales empresas de tecnología, como Apple, Google y Microsoft, y cuentan con el apoyo de la Alianza FIDO. A medida que van generalizándose, se espera que reduzcan drásticamente los ataques cibernéticos relacionados con contraseñas, hagan que las experiencias en línea sean más seguras y fáciles de usar, y transformen la verificación de la identidad digital mediante la estandarización de métodos seguros y fáciles de usar.
Al adoptar las claves de acceso, las organizaciones pueden mejorar significativamente la seguridad al tiempo que reducen las complejidades asociadas con la gestión de contraseñas tradicional, por lo que debe asegurarse de que su solución de PAM las admita.
KeeperPAM hace que sea fácil almacenar y utilizar claves de acceso de forma segura
KeeperPAM es la forma sencilla y segura de que su organización almacene las contraseñas, las claves de acceso y los archivos de todos los empleados, además de en todos los dispositivos. Cuando se combina con la integración de SSO, KeeperPAM permite a sus usuarios disfrutar de una experiencia sin fisuras y sin contraseñas.
5. Bóveda y gestión de contraseñas con rotación automatizada
La rotación y la bóveda de contraseñas automatizadas son características de las soluciones de PAM modernas que mejoran la seguridad y la gestión de las cuentas privilegiadas al automatizar la gestión de las contraseñas y almacenarlas de forma segura.
La rotación automatizada de contraseñas cambia automáticamente las contraseñas de las cuentas privilegiadas en intervalos específicos o después de cada uso. El proceso se rige por políticas predefinidas y no requiere intervención manual. La rotación automatizada de contraseñas reduce el riesgo de acceso no autorizado debido a credenciales comprometidas u obsoletas, garantiza que ningún usuario tenga acceso permanente a las cuentas privilegiadas y cumple con los requisitos regulatorios, como el PCI DSS y la HIPAA, que obligan a rotar las contraseñas.
La bóveda de contraseñas hace referencia a almacenar de forma segura las credenciales de las cuentas privilegiadas en un repositorio cifrado y centralizado (la «bóveda»). Los usuarios o los sistemas deben autenticarse con la solución de PAM para recuperar las contraseñas y poder acceder a los recursos. El acceso a la bóveda está restringido en función de políticas como el RBAC, y las credenciales se pueden recuperar para sesiones específicas y están ocultas para el usuario. Esto acaba con el almacenamiento disperso de credenciales confidenciales en los sistemas o los dispositivos personales, se integra con las políticas de control de acceso para restringir quién puede recuperar o utilizar contraseñas específicas y registra cada acceso a la bóveda, lo que proporciona visibilidad del uso de las credenciales.
Por lo general, las mejores prácticas de seguridad cibernética desaconsejan el uso compartido de contraseñas. Lo ideal sería que todos los usuarios tuvieran inicios de sesión únicos para cada sistema y aplicación. Sin embargo, en la práctica, esto no siempre es posible, por lo que es importante asegurarse de que su solución de PAM permita a sus usuarios compartir contraseñas de forma segura. Además de cuentas compartidas, busque características como el uso compartido temporal (acceso limitado en el tiempo), los usos compartidos de una sola vez y los usos compartidos con autodestrucción.
Cómo protege KeeperPAM la bóveda de contraseñas y automatiza la rotación
KeeperPAM permite a los usuarios compartir el acceso a las cuentas de forma segura sin exponer las credenciales. El acceso compartido puede ser indefinido o limitado en el tiempo, e incluye el uso compartido de una sola vez y los recursos compartidos que se autodestruyen después de un período especificado. Una vez el acceso caduca, las credenciales se pueden rotar automáticamente. KeeperPAM ofrece a los equipos de TI y de seguridad un control completo sobre qué usuarios pueden compartir credenciales y archivos. Al garantizar que solo los usuarios autorizados puedan iniciar recursos compartidos, las organizaciones pueden evitar la pérdida de datos y cumplir con las normativas de cumplimiento con más facilidad.
La arquitectura de seguridad de conocimiento cero de KeeperPAM garantiza una bóveda de contraseñas completamente segura. Keeper no puede acceder a nada dentro de las bóvedas de los usuarios, y ningún tráfico se enruta a través de la red de Keeper, lo que garantiza una privacidad de los datos total. Nadie, ni siquiera los empleados de Keeper, puede acceder o descifrar los datos de la bóveda de los usuarios.
La rotación de contraseñas automatizada de KeeperPAM permite a los administradores descubrir, gestionar y rotar las credenciales de las cuentas de servicio o de administrador en todos sus entornos de datos empresariales. La característica de bóveda y rotación de contraseñas centralizada de Keeper se alinea con el modelo de confianza cero, al garantizar que las credenciales no sean accesibles de forma persistente, además de la verificación y supervisión de todos los accesos.
6. Protege a toda su organización, no solo las TI
Algunos productos actuales de PAM en el mercado han sido diseñados únicamente para proteger a los administradores de TI, al personal de DevOps y a otros usuarios privilegiados. Sin embargo, es de vital importancia proteger a todos los usuarios de su organización, no solo a los que tienen acceso privilegiado. Esto significa que tendría que implementar tanto una solución de PAM como una solución de IAM general, y luego gestionar y mantener ambos productos. Esto genera más trabajo para sus equipos de TI y de seguridad, y hace que sea más difícil garantizar que las políticas y los controles internos se apliquen de forma coherente en toda su base de usuarios.
KeeperPAM se diseñó para proteger toda su base de usuarios
Con KeeperPAM, todo lo que las organizaciones deben hacer es implementar Keeper Vault a todos sus usuarios para una cobertura completa. KeeperPAM proporciona un control del acceso de privilegios mínimos basado en roles, adaptado a las funciones laborales. Esto permite a las organizaciones agilizar el acceso de los usuarios al tiempo que mantienen políticas de seguridad sólidas, reducen las tareas administrativas para los equipos de TI y la fricción para los usuarios finales.
KeeperPAM es fácil de utilizar para todos los miembros de su organización. No requiere que los usuarios tenga acceso directo a la infraestructura o a la puerta de enlace de Keeper. No tiene más que implementar la bóveda web de Keeper a sus usuarios, y todo estará totalmente integrado, sin necesidad de instalación de un cliente de escritorio ni de agentes.
Elija KeeperPAM como solución de PAM definitiva para su organización
KeeperPAM es la primera solución que incorpora la funcionalidad crítica de PAM en una bóveda en la nube que proporciona acceso seguro a toda su base de usuarios, no solo a su departamento de TI. Como plataforma totalmente nativa de la nube, KeeperPAM consolida la bóveda, la gestión de secretos, la gestión de conexiones, el acceso de confianza cero y el aislamiento remoto del navegador en una interfaz unificada.
Programe un demo de KeeperPAM para obtener más información sobre el enfoque proactivo de Keeper para proteger el acceso y unificar la gestión de todos sus recursos críticos.
