Zpedia 

/ ¿Qué es la gestión de derechos de infraestructura en la nube (CIEM)?

¿Qué es la gestión de derechos de infraestructura en la nube (CIEM)?

La gestión de derechos de infraestructura en la nube (CIEM) es un tipo de solución automatizada de seguridad en la nube que mitiga el riesgo de filtraciones de datos en entornos de nube pública. Las soluciones CIEM evitan los derechos excesivos mediante la supervisión continua de los permisos y la actividad de las entidades humanas y no humanas para garantizar que operan dentro de los controles de acceso adecuados. Una solución CIEM eficaz proporciona informes completos para ayudar a optimizar la gestión del acceso, fortalecer la postura de seguridad en la nube y minimizar las interrupciones de DevOps.

¿Por qué son necesarias las soluciones CIEM?

Las organizaciones modernas continúan migrando cada vez una parte mayor de sus operaciones centrales a la nube, ampliando procesos y cargas de trabajo asociadas, aplicaciones y datos a través de plataformas de proveedores de servicios en la nube como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP). Algunos entornos de nube múltiple pueden incluir todos estos y más.

El ecosistema en la nube de una sola organización puede otorgar millones de permisos individuales a personas, sistemas y servicios en la nube, como cuentas no federadas, permisos predeterminados y mal configurados, e incluso permisos no utilizados. Si no se controlan, estos exponen enormemente su superficie de ataque, facilitando a los atacantes la infiltración de implementaciones en la nube. Según las previsiones de Gartner, en 2023, el 75 % de los fallos de seguridad en la nube se derivarán de una gestión inadecuada de la identidad, el acceso y los privilegios.

Las soluciones de seguridad heredadas más utilizadas, como la gestión de accesos privilegiados (PAM), no abordan plenamente los problemas modernos de asignación de derechos: o bien no pueden seguir el ritmo de la naturaleza efímera y flexible de la nube, o bien se centran en la configuración de la nube sin ofrecer visibilidad de los derechos de la empresa. La CIEM aborda estos problemas dando una profunda visibilidad de los derechos en la nube junto con una corrección automatizada para ayudar a su organización a mantener el acceso con menos privilegios.

Componentes de CIEM

Hay varias soluciones CIEM en el mercado y entre todas ellas no hay dos que sean iguales en cuanto a las partes y las funciones que comparten. Sin embargo, todas comparten algunos componentes a nivel básico, como:

  • Gobernanza de la identidad: reglas que determinan qué entidades humanas y no humanas están sujetas a qué políticas
  • Políticas de seguridad: reglas que determinan quién, qué, cuándo, dónde y por qué se accede a la nube y a la carga de trabajo
  • Gestión centralizada: un panel que permite a su equipo administrar todo su ecosistema de nubes múltiples desde un solo lugar

El papel de la CIEM en la seguridad en la nube moderna

Para una gestión moderna típica, gestionar el riesgo de acceso a la nube es más que simplemente saber quién tiene acceso a qué. De hecho, en muchos casos, no hay ningún "quién" que gestionar en absoluto. Más de la mitad de los derechos actuales en la nube se conceden a aplicaciones, máquinas y cuentas de servicio. Los dispositivos OT (por ejemplo, robots y servidores de fábrica) y IoT (lectores de tarjetas, rastreadores de envíos, impresoras, etc.) se conectan a aplicaciones y bases de datos que también se interconectan e intercambian información constantemente.

Es necesario delinear los derechos con gran precisión para evitar el intercambio inapropiado de datos. Sin embargo, con miles de usuarios y servicios potenciales, decenas de miles de recursos y decenas de millones de derechos individuales qué administrar, un equipo humano simplemente no puede actuar con la suficiente rapidez o precisión para mantenerse al día a medida que cambian los requisitos. En los entornos actuales, solo la CIEM y el poder de la automatización pueden hacerlo.

Los desafíos de la gestión de derechos

Veamos rápidamente los desafíos específicos que puede abordar con CIEM. Una solución de CIEM eficaz abarca la configuración general de la gestión de identidades y accesos (IAM), así como la gestión de los accesos privilegiados, proporcionando una gobernanza automatizada para ayudarle a:

  • Supere los obstáculos para lograr un DevOps rápido y ágil a fin de que los desarrolladores puedan seguir implementando código de forma rápida y segura
  • Gestione la supervisión y la gobernanza complejas en entornos multinube dinámicos que pueden abarcar todo el mundo
  • Controle los permisos excesivos para evitar el uso indebido o el abuso por parte de cuentas humanas y no humanas, incluidas las cuentas privilegiadas.
  • Mantenga la visibilidad y garantice el cumplimiento en múltiples infraestructuras de nube con diferentes marcos de seguridad, requisitos de gobernanza, etc.

Ventajas de la CIEM

Una solución de CIEM eficaz le permite visualizar los derechos entre los usuarios de su organización, las identidades no humanas y los recursos en la nube; analizar el panorama de los derechos para exponer el riesgo; detectar amenazas y mantener un acceso con menos privilegios. Veamos ambos con un poco más de detalle.

Velocidad y agilidad para DevOps

Su equipo de DevOps gestiona la configuración del acceso a su infraestructura en la nube, pero son la innovación y la velocidad las que impulsan al equipo, no la seguridad. La concesión de permisos manual y granular necesaria para mantener el acceso con menos privilegios es demasiado engorrosa para DevOps, por lo que es habitual que este conceda permisos excesivos para acelerar una puesta en marcha o suministrar servicios de forma más eficiente.

Las herramientas CIEM corrigen automáticamente los permisos excesivos sin interrumpir las aplicaciones ni las operaciones de desarrollo, liberando a sus desarrolladores para que hagan lo que mejor saben hacer.

Visibilidad desde un único panel de control

La CIEM proporciona una visión general centralizada de los derechos a través de múltiples plataformas en la nube para que pueda controlar más fácilmente "quién ve qué" en la nube. Esta imagen de alto nivel de los derechos ayuda a su equipo a evaluar el riesgo y desarrollar estrategias de mitigación.

La CIEM también permite que su equipo de seguridad controle qué usuarios humanos y no humanos pueden acceder a qué recursos en múltiples nubes, servicios, usuarios y entidades, respaldados por informes completos y automatizados.

Una postura de seguridad global más sólida

Una solución CIEM bien diseñada reduce su superficie de ataque y minimiza el riesgo de su nube pública al permitirle:

  • Crear y mantener un inventario preciso de todos los derechos existentes
  • Identificar y solucionar automáticamente los derechos mal configurados, no utilizados, contrarios a las políticas o problemáticos de algún modo
  • Detectar transacciones anómalas en la nube que puedan constituir amenazas internas o externas, como actividades hostiles, errores humanos o desviaciones de sus políticas de seguridad
  • Encontrar los problemas de alta prioridad y presentar planes de corrección procesables para ayudarle a solucionarlos
  • Aplicar el principio de privilegios mínimos, un componente clave de la confianza cero
  • Implantar protecciones uniformes en múltiples entornos de nube, cada uno con su propia configuración de seguridad y terminología

CSPM frente a CIEM

Las configuraciones erróneas y los permisos excesivos son los problemas de nube pública más importantes a los que se enfrentan las organizaciones hoy en día.  Hay dos tipos diferentes de herramientas creadas para ayudarle a afrontar estos retos y reducir su riesgo al aprovechar la nube pública: administración de la postura de seguridad en la nube (CSPM) y CIEM.

Vamos a compararlos.

Las herramientas CSPM reducen las configuraciones incorrectas

Tan solo los "tres grandes" proveedores de la nube (Azure, AWS y Google Cloud) ofrecen cientos de servicios distintos, cada uno con opciones de configuración que afectan a la seguridad y al riesgo. Incluso con una estrategia de nube múltiple modesta, puede terminar teniendo que supervisar miles de configuraciones de características. Las herramientas de CSPM gestionan los problemas de configuración errónea en estos populares servicios de nube pública ayudándole a:

  • Supervisar los problemas de configuración de la nube pública
  • Hacer un seguimiento de su inventario digital y calcular su postura de seguridad
  • Priorizar los problemas por perfil de riesgo y solucionarlos automáticamente
  • Aplicar las normas de protección de políticas para mantener la seguridad y el cumplimiento

Las herramientas CIEM solucionan los problemas de permisos excesivos

Mientras que el CSPM se centra en las configuraciones erróneas, las herramientas CIEM abordan una brecha de seguridad diferente que prevalece en las implementaciones de la nube pública: el control inadecuado de las identidades y los privilegios. Con cientos de usuarios de la nube, tendrá decenas de miles de recursos y decenas de millones de derechos individuales que gestionar, demasiado para que un equipo lo haga manualmente. Las herramientas de CIEM le ayudan a:

  • Descubrir quién tiene acceso a qué en sus entornos en la nube
  • Comprender los permisos a través de las identidades humanas y no humanas
  • Construya y aplique un modelo de acceso con privilegios mínimos, simple y transparente
  • Implementar una política de seguridad multinube para los derechos

¿Qué necesita: CSPM o CIEM?

Entonces, teniendo en cuenta lo que hacen las herramientas CSPM y CIEM para reducir el riesgo de la nube, ¿cuál de ellas necesita implementar en su entorno? La respuesta es ambas. Las configuraciones erróneas y los permisos excesivos son las principales fuentes de riesgo para la seguridad de las nubes públicas, y al combinar CSPM y CIEM, se puede minimizar la gran mayoría de los problemas de seguridad que afectan a las nubes públicas.

Cómo puede ayudar Zscaler

Las políticas de CIEM y CSPM están integradas de forma nativa en Posture Control de Zscaler, una plataforma integral de protección de aplicaciones nativas de la nube (CNAPP) que protege la infraestructura de la nube, los datos confidenciales y las implementaciones de aplicaciones nativas en sus entornos multinube.

Las potentes funciones de CIEM en Posture Control le permiten beneficiarse de:

Visibilidad completa de la postura de riesgo de IAM

Los análisis impulsados por IA y ML le ayudan a gestionar el gran volumen de datos en lo referente a los derechos. Una vista basada en el riesgo de las identidades humanas y no humanas le permite identificar fácilmente permisos de alto riesgo excesivos e inspeccionar las configuraciones de identidad en la nube.

Priorización basada en el riesgo

La mayoría de las plataformas de seguridad generan tantas alertas que no es posible procesarlas todas. Posture Control prioriza los riesgos de seguridad de su organización en función de su perfil, lo que permite una reducción máxima de los riesgos con un esfuerzo mínimo.

Reestructuración de derechos

Posture Control utiliza el aprendizaje automático, el análisis de cohortes y mucho más para identificar los permisos ocultos, no utilizados y mal configurados, así como las rutas de acceso de riesgo a los recursos confidenciales exclusivos de cada plataforma en la nube, que puede eliminar para minimizar su superficie de ataque y lograr el acceso con menos privilegios.

Protección de DevOps

La gestión eficaz de derechos en sus procesos DevOps elimina la necesidad de comprometer la seguridad o la innovación.

Configuración de IAM consistente y compatible

Al aplicar políticas coherentes y barreras de protección automatizadas en entornos multinube, y garantizar el cumplimiento de IAM con CIS, RGPD, SOC2, NIST, PCI DSS, ISO, etc., se logra un control potente y granular sobre el acceso a sus valiosos activos.

Zscaler Posture Control es una solución 100 % sin agentes creada para identificar y corregir riesgos ocultos a lo largo del ciclo de vida de la nube.

Recursos sugeridos

CIEM frente a CSPM: ¿cuál es mejor para reducir el riesgo de la nube pública?
Lea el artículo del blog
Las 5 ventajas principales de una plataforma de protección de aplicaciones nativa de la nube (CNAPP)
Lea el artículo del blog
Derechos: el riesgo más ignorado en la nube pública
Lea el artículo del blog