Generar
cumplimiento
norma/vo
en
la
ges/ón
de
usuarios
privilegiados
y
el
control
de
datos
en
el
DataCenter
Ernesto
Pérez,
CISSP,
CISM,
ITIL
¿Qué están haciendo los Usuarios privilegiados con la
infraestructura y la información de su organización?
2
¿Cómo aseguras lo que no puedes ver?
3
En
un
mundo
sin
fronteras,
el
perímetro
se
disuelve…
Populismo
Tecnológico
Empleos
temporales
Redes
Sociales
Cloud
Compu;ng
4
¿Qué
requerimientos
existen
cuando
contrato
servicios
administrados
o
en
la
Nube?
• Transparencia
en
el
servicio
• Consumerización
de
la
TI
&
Movilidad
• Virtualización
• Almacenamientos
en
la
Nube
de
información
sensiLva
5
La
seguridad
administrada
es
una
responsabilidad
en
conjunto
entre
el
proveedor
del
servicio
administrado
y
el
consumidor
de
ese
servicio
6
¿Dónde
están
mis
datos?
7
Control
de
datos
basado
en
una
localidad
ya
está
“pasado
de
moda”
8
Los
riesgos
en
ambientes
virutales
son
mayores
que
en
los
ambientes
Usicos
Riesgos
de
seguridad
en
ambientes
:sicos
Riesgos
de
seguridad
en
ambientes
virtuales
Comprometer
al
hypervisor
a
descargar
una
imagen
e
introducir
una
VM
falsa
es
equivalente
a
invadir
un
site
y
robarse
un
servirdor
o
introducir
un
servidor
falso
en
el
Datacenter
9
¿Qué
dicen
los
analistas
respecto
a
la
seguridad
de
los
ambientes
virtuales?
“A
compromise
of
the
virtualizaLon
plaXorm
is
a
worst-‐case
security
scenario
that
places
all
the
VMs
hosted
on
the
virtualizaLon
plaXorm
at
risk.”
“Hypervisor
security
protecLon
should
be
treated
as
a
defense-‐in-‐depth
problem,
using
mulLple
strategies
to
ensure
the
overall
integrity
of
this
criLcal
layer.”
-‐
Gartner*
*
Gartner,
Inc.
“Hype
Cycle
for
VirtualizaLon,
2012”,
Phil
Dawson,
Nathan
Hill,
July
24,
2012
Hay
3
Lpos
de
amenazas
internas
y
2
principios
primarios
a
aplicar
para
miLgar
riesgos
Usuarios
Maliciosos
Usuarios
seducidos
?
Usuarios
descuidados
11
Proveer
“Accountability
”
§ Detener
a
usuarios
maliciosos
§ Trazar
acciones
a
nivel
a
nivel
individual
Implementar
Accesos
bajo
el
Mínimo
de
los
Privilegios
§ Limitar
los
daños
circunstanciales
o
intencionales
§ “Stop
Stupid!”
Administrando el privilegio
Estándares, normas y mejores prácticas
§ COBIT
§ ITIL
§ ISO 27002 “Code of practice for
information security
management“
§ Payment Card Industry (PCI
DSS)
§ SOX
§ Ley Federal de Protección de
Datos en Posesión de
Particulares (LFPDPD)
12
ISO 27002 Control de Accesos
11.2.2 Administración o Gestión de Privilegios
• Control:
La
asignación
de
privilegios
de
uso
debe
ser
restringido
y
controlado.
• Guía
de
Implementación:
– Los
privilegios
debe
ser
asignados
a
los
usuarios
bajo
el
concepto
“need-‐to-‐use”
– El
proceso
de
autorización
y
registro
de
privilegios
debe
ser
operado
y
mantenido
en
todo
momento
– El
desarrollo
y
uso
de
procesos
y
programas
que
impidan
la
necesidad
de
otorgar
privilegios
a
los
usuarios
debe
ser
promovido
– Los
privilegios
deben
ser
asignados
a
un
“userID”
disLnto
al
usado
para
necesidades
normales
de
operación
13
Ley
Federal
de
Protección
de
Datos
Personales
en
Posesión
de
los
ParLculares
esLpula:
Arfculo
19
–
“Todo
responsable
que
lleve
a
cabo
tratamiento
de
datos
personales
deberá
establecer
y
mantener
medidas
de
seguridad
administraLvas,
técnicas
y
Usicas
que
permitan
proteger
los
datos
personales
contra
daño,
pérdida,
alteración,
destrucción
o
el
uso,
acceso
o
tratamiento
no
autorizado”.
14
¿Porqué
las
idenLdades
son
clave?
Es
el
“pegamento
de
seguridad”
para
la
Nube!
15
sistemas
Sin
Accountability
Riesgo
Las
idenLdades
privilegiadas
poseen
una
amenaza
significaLva
y
parLcular
para
la
seguridad
de
los
datos
y
los
Acceso
irrestricto
§ Acceso
irrestricto
a
cuentas
“root”
o
“Administrator”
§ Sin
segregación
de
funciones
16
§ Uso
de
cuentas
compraLdas
§ Pobre
integridad
de
las
bitácoras
La
Virtualización
amplifica
el
reto!
La
Administración
de
idenLdades
privilegiadas
ayuda
a
atender
5
retos
primarios
MiLgar
amenazas
internas
Migrar
a
la
Nube
de
manera
segura
Privileged
ID
Mgmt.
Cumplimiento
regulatorio
Detener
ataques
dirigidos
Asegurar
ambientes
Virtuales
17
Los
administradores
individuales
pueden
acceder
a
cuentas
comparLdas
por
medio
de
“password
checkouts”
o
mediante
logins
automáLcos
Administración
de
cuentas
privilegiadas
Iden/dad
privilegiada
compar/da
Administradores
individuales
Password
Check-‐In
&
Check-‐Out
Manual
Logins
Ges/ón
vía
una
bóveda
de
passwords
Secure
Passwords
Logins
Automá/cos
18
Mul/ples
/pos
de
disposi/vos
Windows/
UNIX/Linux
Disposi/vos
de
red
Virtual
Servers
Aplica/vos
Bases
de
datos
Individuos
accesando
una
cuenta
comparLda
no
Lenen
que
tener
los
mismos
privilegios-‐
asignenlos
de
manera
parLcular
a
las
Fuera
de
la
organización
Socios,
Aliados
o
Clientes
Dentro
de
la
organización
Password
Admin
Auditor
Systems
Admin
19
especificaciones
de
sus
puestos!!
Iden/dad
privilegiada
compar/da
(sa,
root,
administrator...)
Acceso
del
Mínimo
del
Privilegio
(con
controles
granulares!)
Recursos
AplicaLvos
Archivos
Datos
Asegurar
ambientes
virtuales
requiere
de
un
aseguramiento
naLvo
pero
tambien
de
protecciones
adicionales
dinámicas
Automa/zación
de
controles
de
seguridad
para
contextos
de
ambientes
virtuales
Acceso
del
Mínimo
del
Privilegio
Administración
de
cuentas
compar/das
Reporteo
de
ac/vidad
de
los
usuarios
Hardening
de
la
infraestructura
20
Cuando
hay
una
“mulLtud”
detras
de
una
idenLdad
privilegiada,
¿cómo
disLnguir
de
quien
hizo
que?
Reporteo
de
la
ac/vidad
del
usuaurio
Las
bitácoras
deben
capturar
todas
las
que
la
solicito!
acciones
basadas
en
la
iden/dad
original
e
individual
del
usuario
Cuenta
compar/da
21
Una completa solución de administración de usuarios
privilegiados, control de accesos y protección de
información
Monitoreo,
trazabilidad
y
reporteo
de
ac/vidad
privilegiada
Auten/cación
de
acceso
privilegiado
Admin
de
cuentas
con
password
compar/do
Solución
de
Admin
de
Usuarios
Privilegiados
Admin
de
usuarios
privilegiados
en
ambientes
virtuales
Admin
de
passwords
de
aplica/vos
Controles
de
acceso
granulares
22
Security
Management
Control
idenLty
|
access
|
informaLon
Gracias
Ernesto
Pérez,
CISSP,
CISM
Sr
SoluLon
Strategist
[email protected]
Ca
Technologies
Comentarios de: Generar cumplimiento normativo en la gestión de usuarios privilegiados y el control de datos en el DataCenter (0)
No hay comentarios