PDF de programación - Generar cumplimiento normativo en la gestión de usuarios privilegiados y el control de datos en el DataCenter

Generar
 cumplimiento
 norma/vo
 en
 la
 

ges/ón
 de
 usuarios
 privilegiados
 y
 el
 control
 

de
 datos
 en
 el
 DataCenter
 

Ernesto
 Pérez,
 CISSP,
 CISM,
 ITIL
 

¿Qué están haciendo los Usuarios privilegiados con la
infraestructura y la información de su organización?

2
 

¿Cómo aseguras lo que no puedes ver?

3
 

En
 un
 mundo
 sin
 fronteras,
 el
 perímetro
 se
 disuelve…
 

Populismo
 Tecnológico
 

Empleos
 temporales
 

 


 

 
Redes
 Sociales
 


 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 Cloud
 Compu;ng
 


 

 

4
 


 


 
 

¿Qué
 requerimientos
 existen
 cuando
 contrato
 

servicios
 administrados
 o
 en
 la
 Nube?
 

•  Transparencia
 en
 el
 
 

 
 
 
 servicio
 
•  Consumerización
 de
 la
 TI
 
 

 
 
 &
 Movilidad
 
 
•  Virtualización
 
 
•  Almacenamientos
 en
 la
 
 

 
 
 Nube
 de
 información
 
 

 
 
 sensiLva
 

5
 

La
 seguridad
 administrada
 es
 una
 responsabilidad
 en
 conjunto
 entre
 el
 
proveedor
 del
 servicio
 administrado
 y
 el
 consumidor
 de
 ese
 servicio
 

6
 

¿Dónde
 están
 mis
 datos?
 

7
 

Control
 de
 datos
 basado
 en
 una
 localidad
 ya
 

está
 “pasado
 de
 moda”
 

8
 

Los
 riesgos
 en
 ambientes
 virutales
 son
 mayores
 que
 en
 los
 

ambientes
 Usicos
 

Riesgos
 de
 
seguridad
 en
 

ambientes
 :sicos
 

Riesgos
 de
 seguridad
 en
 

ambientes
 virtuales
 

Comprometer
 al
 
 hypervisor
 a
 descargar
 una
 imagen
 e
 introducir
 una
 VM
 falsa
 es
 

equivalente
 a
 invadir
 un
 site
 y
 robarse
 un
 servirdor
 
 o
 introducir
 un
 servidor
 falso
 en
 

el
 Datacenter
 

9
 

¿Qué
 dicen
 los
 analistas
 respecto
 a
 la
 seguridad
 
 

de
 los
 ambientes
 virtuales?
 

“A
 compromise
 of
 the
 virtualizaLon
 plaXorm
 is
 a
 
worst-­‐case
 security
 scenario
 that
 places
 all
 the
 
VMs
 hosted
 on
 the
 virtualizaLon
 plaXorm
 at
 
risk.”
 
“Hypervisor
 security
 protecLon
 should
 be
 
treated
 as
 a
 defense-­‐in-­‐depth
 problem,
 using
 
mulLple
 strategies
 to
 ensure
 the
 overall
 
integrity
 of
 this
 criLcal
 layer.”
 

-­‐
 Gartner*
 

*
 Gartner,
 Inc.
 “Hype
 Cycle
 for
 VirtualizaLon,
 2012”,
 Phil
 Dawson,
 Nathan
 Hill,
 July
 24,
 2012
 

Hay
 3
 Lpos
 de
 amenazas
 internas
 y
 2
 principios
 

primarios
 a
 aplicar
 para
 miLgar
 riesgos
 

Usuarios
 
Maliciosos
 

Usuarios
 
seducidos
 

?
 

Usuarios
 

descuidados
 

11
 

Proveer
 

“Accountability

”
 

§  Detener
 
 a
 
usuarios
 
maliciosos
 

§  Trazar
 acciones
 a
 

nivel
 a
 nivel
 
individual
 

Implementar
 
Accesos
 bajo
 el
 
Mínimo
 de
 los
 

Privilegios
 

§ Limitar
 los
 daños
 
circunstanciales
 o
 
intencionales
 
§ “Stop
 Stupid!”
 

Administrando el privilegio

Estándares, normas y mejores prácticas

§  COBIT
§  ITIL
§  ISO 27002 “Code of practice for

information security
management“

§  Payment Card Industry (PCI

DSS)
§  SOX
§  Ley Federal de Protección de

Datos en Posesión de
Particulares (LFPDPD)





12
 

ISO 27002 Control de Accesos

11.2.2 Administración o Gestión de Privilegios

•  Control:
 La
 asignación
 de
 privilegios
 de
 uso
 debe
 ser
 restringido
 y
 controlado.
 
•  Guía
 de
 Implementación:
 

–  Los
 privilegios
 debe
 ser
 asignados
 a
 los
 usuarios
 bajo
 el
 concepto
 “need-­‐to-­‐use”
 
–  El
 proceso
 de
 autorización
 y
 registro
 de
 privilegios
 debe
 ser
 operado
 y
 mantenido
 en
 todo
 

momento
 

–  El
 desarrollo
 y
 uso
 de
 procesos
 y
 programas
 
 que
 impidan
 la
 necesidad
 de
 otorgar
 

privilegios
 a
 los
 usuarios
 debe
 ser
 promovido
 

–  Los
 privilegios
 deben
 ser
 asignados
 a
 un
 “userID”
 disLnto
 al
 usado
 para
 necesidades
 

normales
 de
 operación
 
 

13
 



Ley
 Federal
 de
 Protección
 de
 Datos
 Personales
 en
 
Posesión
 de
 los
 ParLculares
 esLpula:
 

Arfculo
 19
 –
 “Todo
 responsable
 que
 lleve
 a
 cabo
 tratamiento
 
de
 datos
 personales
 deberá
 establecer
 y
 mantener
 medidas
 de
 

seguridad
 administraLvas,
 técnicas
 y
 Usicas
 que
 permitan
 

proteger
 los
 datos
 personales
 contra
 daño,
 pérdida,
 alteración,
 

destrucción
 o
 el
 uso,
 acceso
 o
 tratamiento
 no
 autorizado”.
 


 

 


 

 

14
 

¿Porqué
 las
 idenLdades
 son
 clave?
 

Es
 el
 “pegamento
 de
 seguridad”
 para
 la
 Nube!
 

15
 

sistemas
 
Sin
 

Accountability
 

Riesgo
 

Las
 idenLdades
 privilegiadas
 poseen
 una
 amenaza
 

significaLva
 y
 parLcular
 para
 la
 seguridad
 de
 los
 datos
 y
 los
 

Acceso
 
irrestricto
 

§  Acceso
 irrestricto
 
a
 cuentas
 “root”
 
o
 
“Administrator”
 
 
§  Sin
 segregación
 

de
 funciones
 

16
 

§  Uso
 de
 cuentas
 

compraLdas
 

§  Pobre
 integridad
 
de
 las
 bitácoras
 

La
 Virtualización
 amplifica
 el
 reto!
 

La
 Administración
 de
 idenLdades
 privilegiadas
 ayuda
 a
 atender
 5
 retos
 primarios
 

MiLgar
 
amenazas
 
internas
 

Migrar
 a
 la
 
Nube
 de
 

manera
 segura
 

Privileged
 
ID
 Mgmt.
 

Cumplimiento
 
regulatorio
 

Detener
 
ataques
 
dirigidos
 

Asegurar
 ambientes
 Virtuales
 

17
 

Los
 administradores
 individuales
 pueden
 acceder
 a
 cuentas
 comparLdas
 por
 

medio
 de
 “password
 checkouts”
 o
 mediante
 logins
 automáLcos
 

Administración
 de
 cuentas
 privilegiadas
 
Iden/dad
 
 
privilegiada
 
 
compar/da
 

Administradores
 
 

individuales
 

Password
 
Check-­‐In
 


 
&
 

Check-­‐Out
 

Manual
 

Logins
 

Ges/ón
 vía
 
una
 bóveda
 
de
 passwords
 

Secure
 

Passwords
 

Logins
 Automá/cos
 

18
 

Mul/ples
 /pos
 de
 
 

disposi/vos
 

Windows/
 
UNIX/Linux
 

Disposi/vos
 
 

de
 red
 

Virtual
 
Servers
 

Aplica/vos
 

Bases
 de
 
 

datos
 

Individuos
 accesando
 una
 cuenta
 comparLda
 no
 Lenen
 que
 tener
 los
 

mismos
 privilegios-­‐
 
 asignenlos
 de
 manera
 parLcular
 a
 las
 

Fuera
 de
 la
 
organización
 

Socios,
 
 
Aliados
 o
 
Clientes
 

Dentro
 de
 la
 
organización
 

Password
 
Admin
 

Auditor
 

Systems
 
Admin
 

19
 

especificaciones
 de
 sus
 puestos!!
 

Iden/dad
 privilegiada
 compar/da
 

(sa,
 root,
 administrator...)
 

Acceso
 del
 Mínimo
 del
 Privilegio
 

(con
 controles
 granulares!)
 

Recursos
 

AplicaLvos
 

Archivos
 

Datos
 

Asegurar
 ambientes
 virtuales
 requiere
 de
 un
 aseguramiento
 
naLvo
 pero
 tambien
 de
 protecciones
 adicionales
 dinámicas
 

Automa/zación
 de
 

controles
 de
 seguridad
 

para
 contextos
 de
 
ambientes
 virtuales
 

Acceso
 del
 Mínimo
 

del
 Privilegio
 

Administración
 de
 

cuentas
 
 

compar/das
 

Reporteo
 de
 

ac/vidad
 de
 los
 

usuarios
 

Hardening
 de
 la
 
infraestructura
 

20
 

Cuando
 hay
 una
 “mulLtud”
 detras
 de
 una
 idenLdad
 

privilegiada,
 ¿cómo
 disLnguir
 de
 quien
 hizo
 que?
 

Reporteo
 de
 la
 ac/vidad
 del
 usuaurio
 

Las
 bitácoras
 deben
 
capturar
 todas
 las
 

que
 la
 solicito!
 

acciones
 basadas
 en
 la
 

iden/dad
 original
 e
 
individual
 del
 usuario
 

Cuenta
 compar/da
 

21
 

Una completa solución de administración de usuarios

privilegiados, control de accesos y protección de

información

Monitoreo,
 
trazabilidad
 
 y
 
reporteo
 de
 
ac/vidad
 
privilegiada
 

Auten/cación
 
de
 
 acceso
 
privilegiado
 

Admin
 de
 
cuentas
 con
 
password
 
compar/do
 

Solución
 de
 
Admin
 de
 
Usuarios
 

Privilegiados
 

Admin
 de
 
usuarios
 
privilegiados
 
en
 
ambientes
 
virtuales
 

Admin
 de
 
passwords
 de
 
aplica/vos
 

Controles
 
de
 acceso
 
granulares
 

22
 

Security
 Management
 
Control
 idenLty
 |
 access
 |
 informaLon
 

Gracias
 

 

Ernesto
 Pérez,
 CISSP,
 CISM
 
Sr
 SoluLon
 Strategist
 
[email protected]
 
Ca
 Technologies