Esta publicación de blog forma parte de la serie Jornada Zero Trust, en la que presentamos diversas formas de implementar una arquitectura Zero Trust de manera simplificada. Si esta es tu primera lectura, te recomendamos que consultes la primera fase. Por otro lado, si deseas saber más sobre los requisitos para implementar el control de acceso puedes consultar este artículo.
Anteriormente, enumeramos los requisitos para implementar el control de acceso de acuerdo con los requerimientos de una arquitectura Zero Trust basada en ISO/IEC 27002. Ahora, pasaremos a las etapas de gestión y control de acceso a los sistemas y aplicaciones, en las cuales estos requisitos se ponen en práctica.
Gestión de acceso de usuarios
Prevenir accesos no autorizados a los sistemas y servicios es fundamental para el correcto funcionamiento de una arquitectura Zero Trust. En este sentido, la norma ISO/IEC 27002 establece un conjunto de buenas prácticas que buscan alcanzar el mismo propósito y que tienen como actividad principal la formalización de procesos.
Formalización de procesos para el control de acceso
Vale la pena reiterar aquí la importancia de los registros y la formalización cuando se lleva a la práctica la filosofía Zero Trust, ya que la documentación de los procesos posibilita extraer la visibilidad necesaria para monitorear, analizar y optimizar la seguridad de los activos y servicios de TI. Esto también se aplica para el control de acceso a ellos.
Por lo tanto, la gestión de accesos requiere un proceso formal de registro, inhabilitación y eliminación de ID de usuarios y tiene por objetivo establecer las siguientes reglas:
-
Uso de una ID de usuario única: es una forma de vincular a cada usuario con sus responsabilidades y acciones, por lo que cualquier otro permiso solo puede darse mediante previa aprobación y respetándose su documentación respectiva.
-
Eliminación, revocación o inhabilitación inmediata de las ID de los usuarios que han salido de una organización: como explicamos en el primer artículo sobre control de acceso, es necesario tomar en consideración los criterios de criticidad y sensibilidad de los activos/recursos involucrados, así como realizar análisis críticos con frecuencia, especialmente para usuarios de sistemas como “sysadmin”, “root”, “administrator” y otros.
-
Eliminación e identificación periódica o desactivación de usuarios redundantes con ID: la eliminación de ID duplicadas, la prevención de conflictos de ID y garantizar que no se emitan a otros usuarios es importante por muchas razones, por ejemplo, la garantía del uso de ID únicas. Emitir identificaciones temporales es una buena práctica en estos casos, ya que las credenciales de largo plazo favorecen la redundancia.
-
El token y las ID no pueden ser secuenciales: al definir un patrón para generar un token de inicio de sesión, si la implementación proporciona valores secuenciales, este podría violarse mediante ingeniería inversa.
Es importante señalar que las reglas también se aplican, dentro de las posibilidades, a las identidades de máquinas. La idea es que cualquier permiso a otorgarse o revocarse, para todo tipo de usuarios, pase por un proceso adecuado y formal que debe ser documentado.
Otro punto a considerarse es el aprovisionamiento para el acceso de los usuarios, que exploraremos con mayor profundidad en el siguiente apartado.
Acceso en el aprovisionamiento de usuarios
El aprovisionamiento de usuarios consiste en otorgar o revocar permisos para servicios y aplicaciones dentro del entorno de trabajo. En el ámbito de Zero Trust, la formalización de este proceso es necesaria y debe cumplir con los requisitos de control y políticas de acceso.
Esto facilita la ejecución de otro procedimiento importante para el control de acceso: el análisis del nivel de acceso otorgado. En él, la política de acceso, construida en las fases anteriores de la jornada de Zero Trust, es el parámetro para determinar si la solicitud es consistente con los requisitos y no se puede activar ningún derecho sin una verificación completa.
Además, todos los procedimientos mencionados en el tópico anterior se aplican al aprovisionamiento, como es el caso de la documentación, la eliminación de derechos para los usuarios que dejan una organización, las adaptaciones de derechos para los usuarios que cambian de función y los análisis críticos frecuentes con participación del propietario de los activos.
Nota: Se recomienda asignar cláusulas contractuales a las identidades humanas, incluidos socios y proveedores de servicios, que especifiquen sanciones para casos de intentos de acceso no autorizado.
Derechos de acceso privilegiados
Formalizar el control y restricción en el otorgamiento y uso de derechos de acceso privilegiado es un proceso crítico, cuya ejecución debe estar estrictamente alineada con la política de control de acceso, considerando los requisitos mínimos para realizar esta tarea.
A manera de analogía, un control de acceso privilegiado es como la llave que abre el cofre de un tesoro (el área a la que acceder) que solo dos elementos de la organización pueden abrir directamente: el vigilante y el propietario.
Estos trabajarán juntos en las etapas en las que el usuario se identifica, se analizan críticamente sus responsabilidades y adquiere la credencial temporal con el nivel de acceso suficiente para abrir el cofre, comprobándose en cada paso si se han cumplido los requisitos de control de acceso.
Una vez que se completa la verificación, se le asignan los derechos al usuario y este recibe una ID diferente a la que utilice en sus actividades habituales. A continuación, el vigilante abre el cofre para que el propietario le dé al usuario acceso a los recursos que necesite, quien a su vez deberá utilizarlos dentro de un plazo determinado.
Volviendo al contexto de Zero Trust, mientras el acceso privilegiado esté activo, se deben ejecutar y mantener procedimientos específicos para evitar el uso no autorizado de la ID otorgada al usuario, de preferencia utilizando soluciones que permitan la creación de reglas de forma granular.
También es muy recomendable que los derechos otorgados tengan una fecha de vencimiento definida y se revoquen al final de la actividad, ya que accesos maliciosos, como ransomware o malware, solo tendrán éxito si obtienen permisos para realizar ciertas acciones.
Control de acceso a sistemas y aplicaciones
Entre las directrices ISO/IEC 27002 destinadas a controlar el acceso al sistema y a la aplicación, tenemos dos tipos de control que son importantes para una arquitectura Zero Trust preparada para el futuro, que se aplican al uso de programas capaces de sobreponer controles y aplicaciones del sistema, así como al código fuente de los programas.
La política de acceso debe garantizar la protección de los usuarios y su información de autenticación, además de describir los requisitos mínimos necesarios para otorgar acceso a los activos y otros sistemas. Así, se minimizan los riesgos de amenazas internas y, al mismo tiempo, se educa a los usuarios, desarrolladores y otras partes interesadas sobre las mejores prácticas de seguridad para las credenciales de acceso.
Debido a la sensibilidad de estos componentes, es fundamental que el acceso a los mismos esté estrictamente controlado mediante procedimientos de identificación, autenticación y autorización, segregación de programas de utilidad del software de aplicación y registro del uso de estos programas, entre otros.
Para recibir de primera mano el próximo contenido de nuestra serie Zero Trust, ¡suscríbete a nuestra Newsletter completando los campos a continuación!