Identidades: El tejido conectivo para la seguridad en la nube

Casi todo lo que existe en la nube está a un privilegio excesivo o un error de configuración de sufrir una exposición. La postura adecuada en la nube y una correcta gestión de derechos pueden ayudar a mitigar los riesgos y eliminar las combinaciones tóxicas.

Cuando implementamos y configuramos una solución de seguridad en la nube, podemos abrumarnos fácilmente con el mero volumen de "cosas" que se deben monitorear. Estas cosas abarcan las aplicaciones web que se ejecutan en la infraestructura de Kubernetes, incluyendo IaaS y recursos de contenedores, las identidades, tanto humanas como vinculadas a máquinas, y más. Los equipos de seguridad en la nube deben gestionar la identidad del servicio de cada recurso y también escanearlas en busca de vulnerabilidades y errores de configuración. Como hay tanto para monitorear, las organizaciones suelen buscar herramientas y soluciones puntuales para combatir estos vectores de amenaza. Muchas terminan con una sopa variada de acrónimos de seguridad en sus entornos y, como resultado, una pila de costos enormes en un intento de configurar e implementar todos estos productos diferentes. 

A menudo, cada herramienta genera su propia plétora de hallazgos de seguridad y trabaja desde diferentes métricas de criticidad. Por eso, incluso teniendo herramientas técnicamente avanzadas, los equipos de seguridad sufren en el intento de hacer hojas de cálculo que reconcilien y prioricen todos los hallazgos. 

La importancia de proteger las identidades en la nube 

Para implementar una estrategia de seguridad más eficaz, debe comenzar por identificar qué intentan lograr los agentes maliciosos cuando se filtran en la infraestructura en la nube. Recientemente, ha quedado claro que casi todas las filtraciones en la nube aprovechan derechos e identidades con errores de configuración. Según el análisis de la Identity Defined Security Alliance (IDSA) "Tendencias 2022 en la protección de identidades digitales", el 84 % de las empresas sufrió una filtración vinculada con identidades en los 12 meses que abarca el estudio. ¿Por qué?Esto no solo se debe a que las identidades se vinculan estrechamente con todo lo que ejecutamos y creamos en la nube, sino a son un problema increíblemente complejo de resolver. Hay muchísimas variables en juego cuando intentamos comprender realmente los riesgos asociados con la gestión de identidades.

Independientemente de si tiene una instancia pública de Amazon EC2 con vulnerabilidades explotables conocidas o una infraestructura con errores de configuración con servicios manuales o mediante código, cuando se explotan las exposiciones en la nube, los atacantes apuntan de inmediato a las identidades. Ponen a prueba los derechos para moverse lateralmente o escalar privilegios en un intento de acceder a datos confidenciales y otros recursos. La identidad es el perímetro en la nube y, dado su vasto impacto, la seguridad de los derechos y las identidades debería ser la base de un programa integral de seguridad en la nube. 

Comprender las identidades humanas vs. las de servicio

Cuando se protegen identidades, es importante comprender la diferencia entre las identidades humanas y las de servicio, así como también los diferentes abordajes para protegerlas con el fin de alcanzar el principio de privilegios mínimos. Las identidades de servicio están destinadas a prestar servicio a las cargas de trabajo y operar de manera predecible y consistente. Para comprender qué permisos son eficaces es importante evaluar cuáles de ellos están asignados y cuáles se usan realmente. Dado que las identidades de servicio están programadas para un fin específico y los requisitos rara vez cambian, es posible ajustar sus permisos a un mínimo en función de la actividad; este es el principio de privilegios mínimos. 

En contraste, las identidades humanas están destinadas a las personas reales. Esto las vuelve impredecibles y se torna difícil ajustar los permisos adecuadamente a los recursos y las acciones específicos, en particular cuando surgen tareas ad-hoc. Para ejecutar a partir de Zero Trust, es clave implementar un programa de acceso integrado justo a tiempo (just-in-time, JIT). Ninguna organización puede eliminar por completo todo el acceso a la nube de los usuarios humanos. No es realista. Esta es una manera de reducir masivamente los riesgos asociados con las identidades humanas: Ofrezca a los equipos de DevOps la capacidad de solicitar, programáticamente, acceso a corto plazo a la nube para tareas puntuales en los entornos críticos, y asegúrese de que este flujo de trabajo con acceso a corto plazo se integre en herramientas de comunicación existentes como Slack, Microsoft Teams y más. 

Los programas de seguridad que no se tienen en cuenta para esas diferencias pueden causar fricciones entre los equipos de DevOps y TI. Cumplir con la promesa de DevSecOps significa garantizar que la seguridad esté integrada en los flujos de trabajo de manera escalable. Aquí es donde las herramientas integradas de Gestión de derechos de infraestructura en la nube (CIEM) y la Plataforma de protección de aplicaciones nativas en la nube (CNAPP) pueden ponerse en juego. La integración de estas herramientas le puede dar control y visibilidad hacia la infraestructura en la nube, Kubernetes, contenedores, Infrastructure as Code (IaC), identidades, cargas de trabajo y más.

Vea las siguientes soluciones de seguridad de CNAPP y CIEM: 

• Visualización e información sobre derechos: como dice el viejo refrán de seguridad, no podemos proteger lo que no podemos ver. Contar con una visibilidad precisa multinube hacia los recursos, permisos y su actividad es un punto de inicio fundamental. 
• Evaluación de riesgo continua: debe monitorear continuamente el entorno en la nube para detectar y evaluar los factores de riesgo, tales como la exposición de la red, los errores de configuración, los permisos riesgosos, los secretos expuestos y las amenazas relacionadas con identidades, incluyendo el acceso anómalo a datos.
• Aplicación del principio de privilegios mínimos: las herramientas integradas deben poder automatizar las restricciones de los permisos mediante políticas de privilegios mínimos.
• Corrección optimizada: si sabe dónde están los riesgos, debería ser fácil corregirlos en la herramienta con la posibilidad de automatizar si tiene sentido para su estrategia de seguridad. 
• Control de acceso centrado en el desarrollador: evite la frustración relativa a la seguridad de sus equipos de DevOps al proporcionarles herramientas que les permitan integrar la seguridad en sus flujos de trabajo. 

Combatir la fatiga de alertas usando el contexto

Mientras que muchos equipos de seguridad dedican tiempo a ajustar controles y políticas a fin de combatir la sobrecarga de alertas, lo mejor es integrar herramientas de seguridad, como la CNAPP y CIEM, en una sola plataforma que brinda un contexto detallado a lo largo de la superficie de ataque. Si cuenta con herramientas de seguridad integradas, podrá estandarizar el significado real de un estado "critical" (crítico) y comprenderá mejor las rutas de ataque que aprovechan los atacantes para dañar su entorno en la nube. Además, es más fácil realizar actualizaciones cuando se detectan nuevas amenazas y días cero. 

Por ejemplo, puede que tenga 100 cargas de trabajo públicamente accesibles que se ejecutan en un entorno en la nube, pero solo diez de ellas tienen vulnerabilidades critical (críticas) y solo cinco de ellas tienen vulnerabilidades critical (críticas) y privilegios high (altos). Este contexto informa a los equipos de seguridad dónde deberían esforzarse en función de lo que es más potencialmente explotable. Los equipos de seguridad terminan con demasiada frecuencia intentando abordar 100 cargas de trabajo públicas a la vez porque las soluciones puntuales carecen de la integración y del contexto enfocado en las identidades que se necesitan para abordar las amenazas con eficacia 

Las capacidades integradas para comprender el riesgo y la exposición son importantes. Y tienen sentido no solo desde el punto de vista de la infraestructura o la visibilidad, sino como un modo de ver todo junto y ajustar dinámicamente la puntuación del riesgo con base en lo que realmente ocurre en su entorno. 

Para obtener más información sobre cómo proteger las identidades en la nube, vea el seminario web a pedido "Gestión de la postura de seguridad y los derechos en la nube".