LIBRO BLANCO

Mejores prcticas para la

gestin de identidad privilegiada
en empresas modernas

WWW.CENTRIFY.COM

Mejores prcticas para la gestin de identidad privilegiada en empresas modernas

ndice
Introduccin 4
Tendencias 5
Filtracin de datos

Big Data

La empresa hbrida moderna

Mejores prcticas

Consolidacin de identidades

Gestin de sesiones privilegiadas (PSM)

Gestin de privilegios para superusuarios (SUPM)

10

Gestin de contraseas de cuentas compartidas (SAPM) 12

Integracin de la solucin

14

Conclusin 15

La informacin de este documento, incluidas las URL y otras referencias de sitios web en Internet, queda sujeta a cambios sin
previo aviso. A menos que se indique lo contrario, las compaas, las organizaciones, los productos, los nombres de dominio,
las direcciones de correo electrnico, los logotipos, las personas, los lugares y los eventos de ejemplo aqu descritos son ficticios
yno se pretende hacer ni debe inferirse asociacin alguna con ninguna compaa, organizacin, producto, nombre de dominio,
direccin de correo electrnico, logotipo, persona, lugar ni evento real. Es responsabilidad del usuario cumplir con todas las
leyes de derechos de autor pertinentes. Sin limitar los derechos de autor, ninguna parte de este documento puede reproducirse,
almacenarse ni incluirse en un sistema de recuperacin, ni transmitirse de ninguna manera o por ningn medio (electrnico,
mecnico, fotocopia, grabacin u otro) con ningn propsito, sin el expreso consentimiento por escrito de CentrifyCorporation.
Centrify puede contar con patentes, aplicaciones de patentes, marcas comerciales, derechos de autor u otros derechos de
propiedad intelectual que abarquen el asunto principal de este documento. Excepto que se explicite expresamente en un acuerdo
de licencia por escrito de Centrify, la informacin incluida en este documento no le otorga licencia alguna de estas patentes,
marcas comerciales, derechos de autor ni otra propiedad intelectual.
2015 Centrify Corporation. Todos los derechos reservados.
Centrify, DirectControl y DirectAudit son marcas comerciales registradas, y Centrify Suite, DirectAuthorize, DirectSecure,
DirectManage y Privilege Service son marcas comerciales de Centrify Corporation en los Estados Unidos u otros pases. Microsoft,
Active Directory, Windows, Windows NT y Windows Server son marcas comerciales registradas o marcas comerciales de
MicrosoftCorporation en los Estados Unidos u otros pases.
Los nombres de compaas y productos reales aqu mencionados pueden ser marcas comerciales de sus respectivos dueos.

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

LIBRO BLANCO

Resumen
La filtracin de datos sigue siendo un problema prioritario para las organizaciones grandes y
pequeas. Existen dos dinmicas clave que dificultan an ms ese tema: la nube y la creciente
sofisticacin de los atacantes.
En este documento, analizamos la empresa moderna: una organizacin hbrida con una
infraestructura que se extiende por centros de datos en las instalaciones y est alojada en
la nube, y una donde las funciones de TI estn divididas entre administradores internos y
tercerizados. Estudiamos estas tendencias y otras vinculadas que impactan la seguridad de los
datos y, especficamente, las mejores prcticas sobre cmo gestionar y regir el acceso de los
usuarios privilegiados para mitigar esos riesgos.

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

Mejores prcticas para la gestin de identidad privilegiada en empresas modernas

Introduccin
Estamos sumamente agradecidos de contar con una solucin de PIM que otorga a los
departamentos de TI, Riegos y Cumplimiento normativo la proteccin contra filtracin
dedatosyla posibilidad de realizar auditoras que requieren, adems de la facilidad
deusoqueacorporativadecrecimiento comercial continuo en la nube.
Esa posibilidad de que al fin puedo dormir profundamente por las noches es el sueo de todo
gerente de alto nivel perteneciente a los departamentos de TI, Riegos y Cumplimiento normativo.
Sin embargo, la triste realidad es que las soluciones actuales de gestin de identidad
privilegiada (PIM) siguen siendo increblemente miopes en cuanto a la evolucin del negocio y,
especialmente, TI. Su enfoque hacia la seguridad de TI sigue orbitando exclusivamente el centro
de datos tradicional: un conjunto de servidores que almacenan gran cantidad de informacin
confidencial de la organizacin y dispositivos de red que mantienen la infraestructura disponible,
todogestionado en las instalaciones por parte del departamento interno de TI. Cuando necesitan
una solucin para implementaciones de nube y casos de uso hbridos, su enfoque habitual
consiste en adaptar tecnologa antigua en las instalaciones aplicndole simplemente el mismo
cdigo a un dispositivo virtual y alojndolo en una infraestructura como servicio (IaaS) de nube.
Siguen utilizando diseos que pertenecen a la generacin previa de TI e ignoran por completo las
miles de cargas de trabajo que migran a la nube a un ritmo cada vez mayor y un nuevo conjunto
de dinmicas operativas y comerciales que entran en escena como consecuencia.
En la economa actual, es imposible encontrar una organizacin de TI SIN presencia en la nube,
SIN datos confidenciales que residan all y SIN cuentas privilegiadas compartidas entre sus
administradores. Es una tarea completamente intil. La empresa moderna es hbrida, y las
empresas hbridas necesitan soluciones modernas que las protejan de la creciente sofisticacin
de los ciberdelincuentes que saben cmo sacarles provecho.
La nube lleg para quedarse: el jurado ya pronunci su veredicto. Se necesita un nuevo
abordaje a la PIM, uno adaptado a la empresa moderna. As como la nube fue vitoreada por su
elasticidad (su capacidad de adaptarse a las necesidades cambiantes del negocio), la PIM tambin
debe adaptarse a los desafos que implica la hibridacin de la infraestructura de TI, equipos
administrativos compuestos por usuarios internos y externos, y requisitos de acceso local
yremoto a recursos en las instalaciones y alojados en la nube.
Este documento describe las mejores prcticas de PIM que tienen en cuenta esta nueva dinmica
para la empresa moderna.

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

LIBRO BLANCO

Tendencias
A nivel macro, las tendencias no se han modificado realmente en los ltimos aos, pero s se
han acelerado. Nube (*aaS), mvil, Big Data, BYOD: todos estn creciendo en cuanto a adopcin
e inversin. Segn el grupo de analistas Gartner, incluso la tecnologa relativamente ms nueva,
BigData, se encuentra en el proverbial pico de expectativas sobredimensionadas.
El negocio comercial es un imperativo principal. Sigue impulsando cambios enormes y esenciales
en la tecnologa, el comportamiento de compra y la entrega/el consumo de servicios comerciales.
Los proveedores de servicios de aplicaciones, infraestructura y soporte, y servicios de procesos
comerciales estn reinventndose para satisfacer esas necesidades y garantizar su propio
crecimiento sostenible y rentable.
Desde la perspectiva de la seguridad en general, y de la gestin de identidad privilegiada (PIM)
en especial, la filtracin de datos sigue siendo una cuestin prioritaria. Es una problemtica
que sigue con una tendencia en alza y aduendose de los titulares en las noticias, adems
de ser una de las principales causas del insomnio que sufren los ejecutivos del ms alto nivel.
A continuacin encontrar algunas de las mayores tendencias que afectan los negocios de
nuestros clientes y las razones de su importancia desde el punto de vista de la PIM.

Filtracin de datos
La PIM es considerablemente ms importante en este mundo nuevo e hbrido de recursos y
gestin distribuidos. Histricamente, no existen muchas compaas que hayan visto la PIM
como un problema que debe resolverse. El razonamiento ha sido siempre y cuando tenga un
repositorio para mis contraseas de raz y administrador, adems de mis contraseas de cuentas
de servicios, estar bien. Pero si quita la bandita, encontrar problemas bsicos de seguridad,
tal como lo demuestran los ataques de violaciones que aprovechan y encuentran cuentas
privilegiadas que puedan explotar, que exigen una solucin moderna y holstica, en lugar de un
enfoque aplicable a todos los casos.
El ciberdelito ahora es una actividad delictiva sumamente organizada y profesional; en algunos
casos, incluso est patrocinado por los gobiernos. El gobierno de los EE.UU. reconoci su
importancia y categoriz el ciberespacio como el quinto terreno de conflicto, detrs de los
terrenos tradicionales: tierra, mar, aire y espacio.

Figura 1: Gastos de TI de Gartner:

Latercerizacin de TI se encuentra en alza,
yasegurar y auditar el acceso a nuestras
cuentasms privilegiadas es una prioridad.

Tabla 1: Gastos de TI por segmento, a nivel mundial, 2012-2018 (en millones de dlares estadounidenses)
TCAC (%)

Tercerizacin de TI

10633

12094

13838

15914

18275

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

20985

24119

14,8

WWW.CENTRIFY.COM

Mejores prcticas para la gestin de identidad privilegiada en empresas modernas

Hasta cierto punto, las organizaciones hbridas modernas estn sirviendo de manera no
intencional a los intereses de los ciberdelincuentes. Al extender la infraestructura en las
instalaciones y la nube, y al tercerizar la gestin y las operaciones a agentes externos, exponen
una mayor superficie de ataque y aumentan los riesgos. Verizon, en su Informe anual de
investigaciones sobre la filtracin de datos, advierte que existe un mayor impacto comercial
causado por la filtracin de datos que involucra a contratistas externos que aquella que involucra
a empleados de la compaa.
Las identidades privilegiadas son claramente el objetivo principal de los ciberdelincuentes
profesionales. Cuando uno pone en peligro cuentas de administrador y raz en un servidor clave,
tiene en sus manos las llaves del reino. Se puede explotar fcilmente todo lo que haya en ese
servidor, y se puede utilizar el servidor como base desde donde lanzar una campaa ms amplia
para piratear identidades privilegiadas en toda la red.

Big Data
Las organizaciones estn trasladando en forma agresiva sus experimentos de laboratorio de
BigData al rea de produccin. Qu implica eso en cuanto a riesgos vinculados con la identidad
para la organizacin?
El nivel de escalamiento de computacin necesario para una implementacin empresarial de
Big Data puede rebasar todos los lmites. Un simple clster de laboratorio con 4 o 5 nodos
puede transformarse con facilidad en docenas de clsteres con cientos, incluso miles, de nodos
necesarios para una produccin completa.
Desde la perspectiva de la seguridad, las distribuciones de Hadoop de MapR, Cloudera,
HortonWorks y otros tienen por defecto la ausencia de seguridad para la identidad y la
autenticacin. Habilitar el modo seguro de Hadoop implica configurar una infraestructura de
Kerberos para autenticar las distintas cuentas/usuarios comerciales y de servicios en el sistema.
Esta no es una tarea menor, y es por eso que la mayora de las organizaciones optan por
posponerla hasta que el laboratorio haya comprobado el concepto. Lgicamente, esto genera
una implementacin apresurada para una puesta en marcha rpida en produccin, que puede
tener como resultado un nuevo riesgo significativo para la seguridad del negocio.
El tiempo y esfuerzo necesarios para habilitar un Hadoop seguro es considerable. Dada la
complejidad de establecer un dominio de Kerberos, un centro de distribucin de claves (KDC),
unalmacn de identidades, la gestin de archivos de tablas de claves, etc., la fase de produccin
no es el momento de resolver todo esto.
Para mayor complejidad, los entornos de Hadoop tienen por naturaleza un modelo de seguridad
y confianza ligeramente distinto a las infraestructuras de servidor ms tradicionales. Los trabajos
analticos se extienden en mltiples nodos para su ejecucin. Otros nodos son responsables
de mapear y reducir funciones, coordinar y rastrear. Todos se comunican entre s y deben
realizar sus tareas combinadas en nombre del usuario que enva el trabajo. Dado el potencial de
informacin confidencial, es imperativo que se implementen controles de acceso con base en la
funcin apropiados para la gestin, el acceso de analistas y las auditoras.
En cualquier implementacin de Big Data, existen desafos importantes a superar en cuanto a
seguridad, riesgo y cumplimiento normativo, especialmente con relacin a la identidad. Si saca
todo esto de su centro de datos en las instalaciones y lo coloca en la nube, fuera del alcance de
sus soluciones tradicionales de PIM e IAM, los riesgos se volvern muy serios.

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

LIBRO BLANCO

La empresa hbrida moderna

Los usuarios ya no se encuentran
exclusivamente dentro del firewall, y
tampoco su infraestructura.

Las organizaciones estn migrando las aplicaciones existentes, quitndolas de los equipos
anticuados y de bajo rendimiento en las instalaciones para colocarlas en nuevos equipos en
Amazon, CenturyLink/Savvis, Azure y otros proveedores de infraestructura como servicio(IaaS).
La migracin de aplicaciones no es una cuestin tan sencilla como llevar software de un
servidor a otro. Existen muchos temas a evaluar, incluidos la seguridad y el acceso privilegiado.
Los problemas lucen parecidos a los que hay en las instalaciones, salvo que, en general, no se
puede usar la tecnologa de PIM en las instalaciones para la nube. Necesita una solucin de PIM
que tambin sea hbrida; una solucin diseada para que las implementaciones de TI hbridas
sean seguras.
Los administradores de TI privilegiados necesitan acceso a la interfaz de usuario (UI) de gestin
de servicios en la nube (por ejemplo, la consola de AWS) tanto para acceder a su infraestructura
y sus servidores como para gestionarlos. Sin embargo, esto no se trata nicamente de los
administradores. Los servidores estn para respaldar las aplicaciones... cmo aseguramos
el acceso a las aplicaciones? Quiere contar con inicio de sesin basado en SAML desde su
IDP corporativa? Quiere usar los grupos de Active Directory para controlar la funcin y los
permisos que recibe el administrador una vez que inicia sesin en AWS?
Tambin existe una lnea entre la seguridad del sistema operativo (SO) y la seguridad de
las aplicaciones que las organizaciones deben evaluar. Debido a que cada vez son ms los
datos confidenciales que se almacenan en las aplicaciones de software como servicio (SaaS)
y las organizaciones que crean cuentas con inicio de sesin compartido en la empresa para
Facebook y Twitter, por ejemplo, se debe considerar a cada usuario como privilegiado;
essimplemente una cuestin de ttulo.
TI debe garantizar que los usuarios privilegiados y comunes tengan acceso a la infraestructura,
los servidos y las aplicaciones, y que ambos tengan acceso seguro desde cualquier ubicacin y
con cualquier dispositivo.

Mejores prcticas
Para lograr comprender la gran cantidad de piezas mviles que implica una implementacin
integral de PIM, resulta til hacer una divisin en subgrupos funcionales. En este documento,
ladivisin ser:
Consolidacin de identidades: gestin de identidades, funciones, privilegios en recursos
heterogneos.
Gestin de sesiones privilegiadas: el servicio que gestiona las sesiones privilegiadas y la
videograbadora que las controla.
Gestin de privilegios para superusuarios: las herramientas de elevacin de privilegios
que posibilitan que los usuarios autorizados realicen tareas administrativas granulares.
Gestin de contraseas de cuentas compartidas: para escenarios heredados y de
emergencias tipo rompa el vidrio donde no puede elevar privilegios y debe permitir el
inicio de sesin directo como raz (por ejemplo).
Acceso remoto seguro sin VPN: acceso remoto desde la nube a los recursos en las
instalaciones y la IaaS en la nube, sin una red privada virtual (VPN).

Consolidacin de identidades
Haga que los usuarios inicien sesin
como ellos mismos.

Los usuarios son el corazn tanto de los desafos como de la solucin; ms especficamente, la
gestin de identidades de los usuarios y sus funciones y permisos asociados. El objetivo es claro:
unificar la identidad en todas las plataformas comerciales (Windows, UNIX, Linux y Mac) a fin
de reducir la complejidad general y los silos.

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

Mejores prcticas para la gestin de identidad privilegiada en empresas modernas

Este aspecto de la PIM suele pasarse por alto con frecuencia. Al igual que una de las capacidades
inaugurales en el macrocosmos PIM, ahora se considera lo mnimo que puede pretenderse de
cualquier solucin de PIM viable. No es que se lo ignore per se; simplemente no se lo aprovecha
para maximizar el valor comercial y, con frecuencia, no recibe la atencin que merece.
Por definicin, el enlace de Active Directory permite que una solucin de PIM acte como
puente de un entorno que no sea Windows a Active Directory. Por qu? Para aprovechar al
mximo los muchos beneficios que ofrece Active Directory en cuanto a la gestin de identidades,
laautenticacin con base en Kerberos y la gestin real de privilegios basada en funciones que se
extiende a todas sus plataformas. A un nivel bsico, eso significa consolidar sus identidades en
UNIX, Linux, Mac y Windows en Active Directory, para evitar el enorme esfuerzo administrativo,
adems de los riesgos de seguridad, de gestionar los silos de identidad (por ejemplo, /etc/
passwd) en cada terminal. Ms importante an resulta lograr que los usuarios inicien sesin
como ellos mismos (es decir, con su ID de Active Directory) y no con una cuenta compartida,
lo que garantiza mayor responsabilidad de todos sus sistemas de auditora y registro de SO
yaplicaciones.
La eleccin de Active Directory como repositorio central es adecuado para la mayora de
las empresas que ya cuentan con una gran inversin humana y de capital en la tecnologa.
Impide poner en pie un silo paralelo de identidades (por ejemplo, Oracle OID), con los desafos
inherentes de sincronizarlas junto con sus contraseas en el nuevo silo, instalar agentes en los
controladores del dominio, modificar el esquema y, con frecuencia, modificar el comportamiento
de los usuarios obligndolos a restablecer las contraseas en una herramienta nueva, en lugar
de usar la pantalla de inicio de sesin de sus computadoras porttiles.
Mejor prctica: Consolide las identidades de UNIX, Linux y Mac en un solo ID en
ActiveDirectory para la gestin centralizada de identidades, funciones y privilegios,
adems de la autenticacin basada en Kerberos.

Las filtraciones de datos consisten en la vulneracin de cuentas privilegiadas existentes y su uso

para recorrer la red de servidor en servidor en busca de informacin que puedan monetizar.
As que antes de realizar la consolidacin, y como preparativo para la gestin de privilegios para
superusuarios (ver a continuacin) alojada en el anfitrin, una buena prctica inicial consiste en
reducir al mnimo posible la cantidad de cuentas privilegiadas, lo que simplificar su gestin y
limitar la superficie de ataque.
Mejor prctica: Elimine o desactive tantas cuentas privilegiadas como sea posible para
reducir la superficie de ataque.

Los beneficios de Active Directory no tienen por qu detenerse ah. Busque soluciones que
permitan la gestin centralizada de computadoras, adems de usuarios. Al extender el modelo
de poltica de grupos de Active Directory, puede aprovechar su inversin en Active Directory y en
habilidades de gestin de Active Directory aplicando la poltica de grupos a UNIX, Linux y Mac.
Algunos ejemplos de ese tipo de polticas incluyen las reglas de firewall basadas en un anfitrin
(iptables), las polticas de acceso a la red (openSSH) o la gestin de certificados de computadoras
(emisin automtica/renovacin) para el uso de las aplicaciones que se ejecutan all.
Mejor prctica: Adems de gestionar identidades en Active Directory, busque una
solucin que admita mquinas y pueda extender la poltica de grupos a servidores que
no usen Windows.

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

LIBRO BLANCO

Y hay ms! Sacarle todava ms jugo al marco de gestin de objetos de Active Directory
puede permitirle reunir mquinas, usuarios y funciones de manera ms eficaz, posibilitndole
delegar, segregar tareas y brindar soporte temporario a mltiples perfiles de UNIX de usuario
en bsqueda de un perfil nico y racionalizado como mejor prctica. Esta capacidad de
zonificacin jerrquica puede incrementar enormemente la productividad y el cumplimiento
normativo (por ejemplo, limitando el acceso administrativo a un grupo de mquinas PCI).
Una solucin ideal de consolidacin de identidades permitir todo esto sin invadir
Active Directory; es decir, sin modificar el esquema y sin dependencia de software en los
controladores del dominio.
Mejor prctica: Busque avances que extiendan el modelo de Active Directory para ofrecer
mayor eficacia y seguridad, como las zonas jerrquicas, y que no requieran modificar el
esquema de Active Directory ni agentes en los controladores del dominio.
Una ltima cosa. Al explorar la consolidacin de identidades, vea si la solucin del proveedor
admite el inicio de sesin de aplicaciones, adems del inicio de sesin de usuarios, en
plataformas que no sean Windows. Por ejemplo, si su desarrollador de UNIX est creando una
aplicacin, un abordaje comn podra ser incorporar la autenticacin de usuarios y la lgica
de autorizacin directamente en el cdigo y mantener la informacin de identidad en un silo
separado (como Oracle OID). Tambin est el tema de modificar las contraseas y hacer una
sincronizacin entre ambos sistemas, colocando un agente en cada controlador del dominio para
sincronizar el restablecimiento de contraseas desde la estacin de trabajo de los usuarios.
En cambio, procure aprovechar la implementacin existente como almacenaje acreditado.
Unael servidor a Active Directory, y el cdigo podr solicitar que el SO autentique al usuario
y evitar la totalidad de la sobrecarga. Este modelo se puede extender a aplicaciones UNIX,
Linuxe incluso Mac a travs de PAM, LDAP, GSSAPI o SAML.
Mejor prctica: Ofrezca a los desarrolladores de aplicaciones un medio centralizado
(Active Directory) para externalizar la lgica de gestin de identidades, la autorizacin
yla autenticacin de usuarios.

Gestin de sesiones privilegiadas (PSM)

Confe, pero verifique.

La grabacin de sesiones es un elemento crtico de cualquier implementacin de PIM. Dadoel

poder de las cuentas privilegiadas y la sensibilidad de los sistemas, las aplicaciones y los datos
a las que pueden acceder, las tareas de auditar y monitorear sus actividades reviste una
importancia vital. La grabacin de sesiones implica la grabacin de las sesiones, pero, adems,
reproducirlas para realizar investigaciones sobre cumplimiento normativo y filtracin de datos.
Al igual que cualquier conjunto de controles de seguridad en un entorno complejo, siempre
est la pregunta de qu implementar primero. Naturalmente, sus circunstancias individuales
variarn, pero tenga en cuenta que algunas organizaciones implementaron primero la PSM
como tarea de inteligencia inicial en sus planes para proyectos de PIM. En comparacin con
otras capacidades de PIM, puede ser relativamente fcil de implementar y rpida de apreciar.
Por eso, mientras su implementacin central para la gestin de privilegios para superusuarios
(por ejemplo) est en curso y usted limpia y consolida las identidades de los usuarios, el hecho
de poner a grabar las sesiones en los servidores privilegiados puede otorgarle visibilidad
inmediata de lo que hacen los usuarios privilegiados dentro del entorno y, rpidamente,
brindar apoyo a las actividades de auditora y cumplimiento normativo.
Mejor prctica: Implementar la PSM primero puede ofrecer informacin valiosa.
Considere los beneficios potenciales para su organizacin si implementa primero la PSM
para lograr el xito rpido.

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

Mejores prcticas para la gestin de identidad privilegiada en empresas modernas

Las opciones de los proveedores suelen dividirse en dos campos: grabacin centralizada de
sesiones en una puerta de enlace o un proxy, y grabacin de sesiones en cada una de las
mquinas anfitrionas. Las mejores prcticas indican que la segunda opcin es la ms eficaz y
segura. Como analoga, si pone una cmara de seguridad nicamente en la puerta del frente y yo
entro por una ventana lateral, ingresar a su casa sin que usted lo sepa. Para el personal remoto
o tercerizado, la puerta del frente es la nica forma en que pueden entrar (de manera legtima).
Pero los atacantes maliciosos encontrarn el modo de eludir el monitor central. Por eso, la mejor
prctica consiste en colocar una videocmara en cada uno de los activos importantes.
Adems, aunque ambos mtodos sirven para capturar informacin sobre las sesiones, se
puede capturar informacin ms detallada y amplia en el anfitrin que en una puerta de enlace
(especialmente cuando se combina con un enfoque de menor privilegio hacia la gestin de
privilegios para superusuarios que conecta las actividades a un usuario real, en lugar de un ID
de usuario annimo o compartido). En el anfitrin, se pueden capturar fielmente los comandos
y las acciones que se llevaron a cabo de manera muy detallada. Eso permite una transcripcin
muy precisa de la sesin y produce metadatos precisos que le permiten buscar grabaciones e
identificar actividades con rapidez. En una puerta de enlace, no se cuenta con ese tipo de acceso,
lo que significa que, en general, no podr obtener los mismos metadatos enriquecidos como
agente de auditora basado en anfitrin.
Puede capturar el flujo de informacin visual correspondiente a una sesin de gestin en
el servidor o en la puerta de enlace. La resolucin de la videograbacin puede y debe ser
comparable en ambos casos: utilizan la misma tecnologa para capturar el video. Algunas
soluciones fotografan datos con una resolucin relativamente baja, lo que dificulta auditar la
actividad de las sesiones o, en el peor caso, impide detectar informacin importante en pantalla.
Las mejores soluciones capturan en video cada modificacin en pixeles, grabando con eficacia las
diferencias en cuadros con mayor precisin que las soluciones fotogrficas.
Mejor prctica: Use una solucin de PSM que est basada en la modificacin en pixeles
para lograr mxima cobertura, mxima resistencia y mejores detalles. Los PSR basados
en el anfitrin, si correspondieran, pueden brindarle ms informacin, mejor capacidad
de bsqueda e indexacin y un registro de auditora de actividades ms rico.

Gestin de privilegios para superusuarios (SUPM)

Asigne derechos donde se pueda,
comparta cuentas donde se deba.

SUPM es la prctica de restringir la cantidad de privilegios de una cuenta determinada a la menor

cantidad posible, generalmente en sistemas Unix, Linux y Windows. Tal como se mencion, los
atacantes apuntan puntualmente a cuentas con privilegios altos para poder aduearse de la
mquina y, a partir de ah, seguir extendindose para encontrar an ms cuentas con privilegios
altos en la red. Si las cuentas tienen pocos privilegios por defecto, los delincuentes no pueden
utilizarlas para atacar la infraestructura.
Los abordajes de quienes proporcionan seguridad tienden a dividirse en dos campos principales.
Un campo defiende mantener las cuentas privilegiadas in situ y simplemente rige el acceso a
sus contraseas. Eso reduce muy poco la superficie de ataque. Implementado en un proxy o
una puerta de enlace central, permite el inicio de sesin de un usuario en un servidor, pero no
controla las actividades privilegiadas individuales en l. Una vez que inicia sesin, cuenta con
todos los privilegios de la raz (por ejemplo). As, todas sus actividades en el servidor quedan
registradas annimamente, como raz. Incluso con shells privilegiados o marcacin en lista
blanca, solo protege el servidor si se accede a l a travs del proxy. Se puede decir que el mayor
desafo que enfrenta este abordaje es cuando el administrador encuentra un modo de eludir el
proxy y llegar al servidor en forma directa, invalidando cualquier proteccin que pueda ofrecer
de otra manera la solucin.
El otro campo defiende un abordaje de menor privilegio a nivel del anfitrin siempre que sea
posible, y un enfoque de gestin de contraseas en la puerta de enlace donde un abordaje
de menor privilegio sencillamente no sirve (en general, por razones tcnicas). Defiende que

10

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

LIBRO BLANCO

no se use un inicio de sesin directo usando cuentas con privilegios altos (eliminndolas o
desactivndolas, lo que reduce la superficie de amenaza). Inicia la sesin como usted mismo
con una cantidad baja de privilegios. Cuando deba realizar una tarea privilegiada (como detener
un daemon del servidor web), tendr que solicitar explcitamente privilegios adicionales. Si se
le conceden (por funcin), esa tarea se ejecutar como raz (por ejemplo), pero el registro de
auditora lo vincular con el ID de usuario real para verificar toda la responsabilidad. Lo que es
mejor, el malware no puede piratear la cuenta y usarla para desembarcar y conquistar otras
cuentas en la red. Eso es congruente con guas regulatorias como PCI y NIST SP 800-53, que
recomiendan el menor acceso al conjunto de servidores en funcin de la necesidad de saber y el
menor privilegio para regir lo que se puede hacer cuando uno est en la mquina.
Cualquier abordaje para gestionar contraseas, inicios de sesin en el servidor y grabaciones
centrales de sesiones en una puerta de enlace puede ser vulnerado esquivando la puerta del
frente que analizamos en Grabacin de sesiones anteriormente. Las soluciones basadas en el
anfitrin no padecen este punto de violacin potencial.
Mejor prctica: Minimice la cantidad de cuentas compartidas. Reduzca (o desactive) la
cantidad de cuentas privilegiadas. Use una SUPM basada en el anfitrin para iniciar una
sesin de menor privilegio con un ID nico y explicitar la elevacin de privilegios siempre
que sea posible, y use la SAPM para cuentas en las que no pueda utilizar SUPM.
Casi como consecuencia de esto, al implementar una verdadera SUPM se puede eliminar el
conocimiento o uso de las contraseas para cuentas privilegiadas, lo que otorga derechos
amplios de inicio y reduce gradualmente esos derechos con el paso del tiempo, a medida que
uno aprende derechos especficos necesarios para una funcin laboral concreta.
Mejor prctica: Utilice la SUPM para ajustar su modelo de permisos.

Mejor prctica: Vincular esto con la consolidacin de identidades en Active Directory

brindar un mayor ahorro y le permitir gestionar en forma central las funciones y
los permisos de esos usuarios, y efectuar modificaciones globales de manera rpida y
congruente en Windows, Linux y UNIX.
Cualquiera sea su abordaje, cuando los usuarios necesiten acceso a cuentas privilegiadas y
sistemas crticos, busque una solucin que admita la capacidad de garantizar identidades
contextuales. Eso implica la autenticacin de mltiples factores (MFA) y el contexto de los
usuarios para evaluar los riesgos y ofrecer una garanta de identidades ms slida. Por ejemplo,
un telfono mvil puede informar la ubicacin por GPS, adems de generar una contrasea por
nica vez para mayor garanta. Tenga en cuenta que esto tambin puede ser sumamente eficaz
para contrarrestar ataques de tipo pass the hash, que se usan para poner en peligro servidores
sin necesidad de usar la fuerza bruta para tratar de adivinar las contraseas.
Mejor prctica: Busque soluciones que admitan la autenticacin acumulativa usando
un segundo factor para autenticar a los usuarios privilegiados. Para obtener mayor
seguridad de identidad, busque una solucin que tambin tenga en cuenta el contexto.
Todo lo mencionado anteriormente es muy relevante para los recursos que se encuentran
dentro de su firewall. Pero, como sabemos, la empresa hbrida moderna cuenta con servidores
externos. Un mtodo consiste en poner en pie un dominio de Active Directory en su entorno
de nube y unirlo a sus servidores que no usan Windows mediante la solucin de SUPM.
Luego, puede gestionar todos los usuarios hbridos desde el mismo almacn acreditado de
identidades. Los principales proveedores de IaaS, como Amazon Web Services y Microsoft,
tienen guas documentadas sobre cmo implementar Active Directory all y confiar en el
ActiveDirectory interno.

11

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

Mejores prcticas para la gestin de identidad privilegiada en empresas modernas

De manera similar, puede implementar una nube privada virtual en un proveedor de servicios
gestionados (MSP) o con un proveedor de alojamiento de IaaS, como Azure o AWS. Conectadaa
su centro de datos con una VPN dedicada y de alta velocidad, una nube privada acta como
extensin de su centro de datos existente y aprovecha el Active Directory existente, lo que
lo convierte en un lugar estupendo para implementar una solucin basada en SUPM en
losservidores.
Mejor prctica: Use una solucin de consolidacin de identidades/SUPM en la nube
para unir los servidores que no usen Windows a un dominio de Active Directory local y
gestionar las identidades. Use la SUPM en servidores dentro de una nube privada virtual
que est conectada a su Active Directory en las instalaciones.

Gestin de contraseas de cuentas compartidas (SAPM)

Desde una perspectiva de seguridad, habilitar y facilitar cuentas privilegiadas compartidas es
la forma ms simple de abrir la puerta a los riesgos, que es precisamente lo opuesto a lo que
deseamos. Lo ideal, entonces, sera eliminar todas esas cuentas y desbaratar el mecanismo que
utilizan los atacantes. Sin embargo, existen situaciones en las que uno tiene que iniciar sesin
con ese tipo de cuentas. En esos casos, como defensores de la seguridad y combatientes de los
riesgos, debemos limitar las situaciones lo ms posible.
Cules son esas situaciones? Son ocasiones en las que no se puede eliminar o desactivar una
cuenta privilegiada, como las cuentas de administradores locales, de raz, de administradores,
cuentas administrativas de aplicaciones heredadas o cuentas de dispositivos en red. Tambin
existe la clsica situacin de rompa el vidrio en caso de emergencia en la cual, por ejemplo, la
red est fuera de servicio y una mquina Linux crtica se colg y solo se puede acceder a ella a
travs de un inicio de sesin de raz y en modo de usuario nico.
Mejor prctica: La mitigacin de filtraciones de datos es ms eficaz cuando se reduce la
superficie de ataque, disminuyendo la cantidad de cuentas privilegiadas lo ms cerca
posible a cero y utilizando nicamente SAPM como en los escenarios de inicio de sesin
de raz de tipo rompa en vidrio en caso de emergencia y para iniciar sesin en los
dispositivos de la red y las aplicaciones heredadas que solo admiten el inicio de sesin de
cuentas compartidas.
Sin embargo, las soluciones de SAPM modernas deben entregarse como aplicaciones de SaaS y
extenderse ms all de la gestin bsica de contraseas para admitir infraestructuras hbridas
y modernas en la nube y casos de uso que las SAPM tradicionales en las instalaciones no
admiten. Esos casos de uso incluyen acceso remoto en cualquier momento, desde cualquier
lugar, a los recursos en las instalaciones y basados en la nube, acceso seguro a los recursos sin
VPN (ver a continuacin), inicio de sesin de contratistas y departamentos de TI tercerizados,
ysoporte para proveedores de identidad (IDP) mltiples. En la situacin de emergencia
rompael vidrio explicada anteriormente, es imposible acceder a la solucin de SAPM heredada
en las instalaciones si la red est fuera de servicio. Una SAPM en la nube es resistente a las
interrupciones de servicio de su red y accesible a cualquier usuario vlido, en cualquier momento
y desde cualquier dispositivo.
Dicho eso, tenga cuidado con las soluciones que afirmen funcionar en la nube. Algunas de
las denominadas soluciones de SaaS para PIM no estn realmente preparadas para la nube;
son lisa y llanamente cdigos heredados que se colocan en una mquina virtual y a las que
Mejor prctica: Una solucin de SAPM basada en SaaS diseada especficamente para la
nube es la mejor prctica para admitir infraestructuras de empresas hbridas modernas
y escenarios de caso de uso remoto. Esa solucin debe estar disponible para cada uno de
los usuarios vlidos, desde cualquier lugar, en cualquier momento y mediante cualquier
dispositivo para fortalecer la seguridad y ofrecer la mxima eficacia de TI.
12

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

LIBRO BLANCO

puede accederse a travs de un navegador. Con frecuencia el proveedor usa el servicio de un

tercero para alojar su solucin y luego la ofrece por suscripcin diciendo que est en la nube.
Estafachada de nube no solo es engaosa, sino que le costar ms caro sin la eficacia y la
economa de escala inherentes al modelo SaaS.
En el caso de las organizaciones que usan Active Directory, mezclar las identidades de los
empleados con las identidades externas no es una buena prctica. De hecho, esas organizaciones
no deberan tener que gestionar ninguna identidad externa. La solucin de SAPM que elija
debe admitir IDP mltiples para ajustarse a eso. En el caso de los usuarios internos, eso puede
significar el uso de Active Directory exclusivamente. Sin embargo, una aplicacin de fusin,
adquisicin o a medida puede exigir que se autentique a algunos usuarios en un almacn
de usuarios adicional y separado, y posiblemente no sea viable para posibilitar relaciones de
Mejor prctica: Asegrese de que su solucin de SAPM admita mltiples IDP, como LDAP
y Active Directory en las instalaciones, un directorio SAPM en la nube y socios federados
va SAML.
confianza entre ellos. En el caso de los usuarios externos, si usted es el IDP, la mejor prctica
consiste en almacenar esas identidades en un directorio de SAPM en la nube. Si su socio admite
la federacin de identidades, eso puede liberarlo de la sobrecarga de la gestin de identidades
(yadmitir el inicio de sesin nico como subproducto).
Una solucin de SAPM basada en SaaS calza como anillo al dedo cuando se brinda soporte a un
departamento de TI remoto: algo que se est volviendo muy comn en el caso de los recursos de
TI que viajan, trabajan desde su casa o son tercerizados a organizaciones externas. Por supuesto,
el acceso remoto presenta el desafo de que ese acceso sea seguro. Tradicionalmente, eso se
logr mediante una VPN. Implementar el servidor de VPN y los clientes de VPN en las mquinas
de los usuarios, gestionarlas, ajustar las reglas del firewall y abrir puertos es una tarea costosa,
pone en riesgo la red y afecta el comportamiento de los usuarios finales.
Mejor prctica: Asegrese de que su solucin de SAPM no exponga toda la red solicitando
una VPN para el acceso remoto a los recursos, sino que implemente un mecanismo
seguro sin VPN que ubique al usuario directamente en el servidor objetivo.
Una buena prctica alternativa consiste en establecer una conexin segura sin VPN al terminal.
De esa manera, el usuario y la sesin se conectan directamente al terminal, sin exponer toda la
red al usuario.
Mejor prctica: Asegrese de que el acceso remoto y seguro sin VPN de la SAPM pueda
extenderse a los usuarios privilegiados y no privilegiados.
Tenga en consideracin que, con esta habilidad, puede extender este servicio a todos los
usuarios, privilegiados o no. SAPM gestionar las contraseas para el acceso a cuentas
privilegiadas compartidas, al mismo tiempo que ofrecer a los usuarios sin privilegios un inicio
de sesin interactivo, con la comodidad de un servicio de SaaS mediante un mecanismo de
acceso sin VPN sumamente seguro.
Al tercerizar las funciones de TI a contratistas externos, necesitamos tener mucho cuidado
en cmo permitir su acceso a nuestros recursos crticos. Por regla general, NUNCA hay que
permitirles iniciar sesin de raz en los servidores. Sin embargo, tal vez esto no sea posible en el
caso de enrutadores, concentradores y conmutadores.
En el caso de los servidores, especialmente, permtales solo iniciar sesin va SAPM con un ID
de usuario nico y con el menor privilegio. Luego, en el servidor objetivo, podrn solicitar la
elevacin de privilegios para una tarea administrativa especfica a travs de los controles de
SUPM basados en el anfitrin. Las auditoras y grabaciones de sesiones basadas en el anfitrin
vincularn cada actividad al usuario real para realizar auditoras sobre seguridad.

13

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

Mejores prcticas para la gestin de identidad privilegiada en empresas modernas

Muchas organizaciones desactivan el inicio de sesin SSH remoto con la cuenta de raz. Asque
busque una solucin de SAPM que lo admita y que permita configurar una cuenta proxy
alternativa para iniciar sesin con el menor privilegio y despus elevar los privilegios en
elservidor.
Mejor prctica: En el caso de la TI tercerizada, habilite el inicio de sesin menos
privilegiado a los servidores va SAPM y luego use SUPM para elevar los privilegios segn
las funciones, grabar la sesin en el servidor y aprovechar la autenticacin de mltiples
factores para ofrecer seguridad de identidades.

Integracin de la solucin
En la actualidad, con un entorno hbrido, es todava ms importante contar con una solucin
totalmente integrada que abarque todos los aspectos de la PIM descritos anteriormente.
Esascapacidades se estratificarn en la totalidad de su infraestructura de TI extendida y, como
tal, tendrn que combinarse e integrarse sin problemas, presentar interfaces consistentes a los
operadores y administradores, y cumplir en forma consistente la promesa de seguridad, eficacia
de TI y cumplimiento normativo sustentable. En vistas de que la mayora de los proveedores de
PIM se asocian para completar sus carteras, se debe prestar mucha atencin a este tema.
Algunos beneficios clave que se desprenden de contar con una fuente nica son los siguientes:
Problemas mnimos en cuanto a compatibilidad: Los proveedores disean sus soluciones
de PIM para que funcionen en conjunto, idealmente desde una plataforma congruente
de identidad que sirva como puente entre el centro de datos y la nube. Los beneficios
incluyen una menor cantidad de problemas de integracin, ms caractersticas entre varias
aplicaciones y un ciclo ms veloz de actualizacin de caractersticas.
Caractersticas nuevas, antes: Usted ya cuenta con la infraestructura para implementar con
rapidez productos y caractersticas nuevos de ese proveedor. En el caso de las aplicaciones
de SaaS, eso puede realizarse de 4 a 6 semanas.
Rpida obtencin: Encontrar un proveedor en el cual confe facilita la adopcin de
productos nuevos desarrollados por este. Incluso si licencian/fabrican tecnologa de terceros
para completar sus carteras, eso no le garantiza el mismo nivel de calidad.
Menor tiempo para la materializacin: El software de un mismo proveedor ofrece
coherencia en cuanto a experiencia con la UI, la integracin del producto, el enfoque de
diseo, la interaccin con el proveedor, la capacitacin del personal y las licencias.
Responsabilidad del proveedor: El viejo dicho un nico culpable es sumamente
importante. Un proveedor, un nmero de telfono, una factura, un socio confiable.
El proveedor de PIM nunca ser tan competente con tecnologa de terceros como los
desarrolladores originales. Existir una fuerte dependencia en materia de actualizaciones,
integraciones, soporte y mantenimiento.
Busque soluciones de un mismo proveedor, desarrolladas de manera orgnica. Deben estar
diseadas a partir de la misma plataforma de identidad basada en la nube, una que centralice
las capacidades comunes y que las ponga a disposicin de forma consistente para las soluciones
que se crean a partir de ellas. En caso de que comience con una y luego adopte capacidades
adicionales con el paso del tiempo, debe lograr que todas encajen como si fueran piezas de
un solo rompecabezas, sin incurrir en modificaciones considerables para las operaciones,
elcomportamiento de los usuarios o las cuestiones de mantenimiento/soporte.
Mejor prctica: Obtenga sus soluciones de PIM de un mismo proveedor, uno que las haya
desarrollado de manera orgnica, en lugar de usar un mosaico de productos de terceros
y caseros para completar sus carteras. Haga una evaluacin para garantizar integracin
firme, consistencia y compatibilidad con entornos en las instalaciones/la nube.

14

2015 CENTRIFY CORPORATION. TODOS LOS DERECHOS RESERVADOS.

WWW.CENTRIFY.COM

LIBRO BLANCO

Conclusin
Los lmites organizativos estn siendo perforados. La infraestructura y las aplicaciones estn
equilibrndose en las IaaS en la nube y en las instalaciones. Los nuevos modelos operativos se
estn expandiendo para involucrar servicios tercerizados y de TI interna. La empresa moderna
es un hbrido y permanecer as durante el futuro inmediato.
Combatir las filtraciones de datos asegurando el acceso a sus datos y recursos confidenciales
exige un abordaje igual de moderno para regir el uso de identidades privilegiadas y monitorear
ese uso. Las soluciones tradicionales que simplemente gestionan contraseas y estn ubicadas
en las instalaciones son insuficientes. Responder a los clientes colocando una herramienta en
las instalaciones heredada dentro de una mquina virtual en la nube no cumple con todos esos
requisitos de la empresa moderna y lo expone a riesgos innecesarios.
Las mejores prcticas, una combinacin cohesiva de arquitecturas basadas en el anfitrin
ybasadas en la puerta de enlace, y tecnologas nuevas e innovadoras basadas en la nube son
requisitos fundamentales que posibilitan que TI y el negocio alcancen el xito en un mundo
hbrido en las instalaciones/en la nube, donde la superficie de ataque es ms grande que
nunca. Son los requisitos fundamentales de una solucin de PIM para la empresa moderna.

Centrify ofrece gestin unificada y segura de identidades para usuarios finalesy

S A N T A C L A R A , C A L I F OR N I A

privilegiados en entornos de centros de datos, de nube y mviles. Gracias a su software

EMEA

de gestin de identidad unificada y sus soluciones de Identidad como servicio (IDaaS)

en la nube, Centrify le permite sacar el mayor provecho a la infraestructura de identidad
existente en la organizacin para habilitar elinicio de sesin nico, la autenticacin de
mltiples factores, lagestin de identidad privilegiada, la gestin de contraseas de

ASIA PACFICO

+61 1300 795 789

BRASIL

+55 11-3958 4876

L A T I N OA MR I C A

cuentas compartidas, lasauditoras para garantizar el cumplimiento normativo y la

C OR R EO EL EC T R N I C O

gestin de dispositivos mviles.

WEB

WHP001583ES-05182015

2015 C E NT R I F Y C O R PO R A T I O N . T O D O S L O S D ERECH O S RES ERVA DOS .

+1 (669) 444-5200
+44 (0) 1344 317950

+1 305 900 5354

sales@centrify.com
www.centrify.com
WWW.C EN T RIFY.C OM

+ 1 (669) 444- 5200