¿Qué es la gestión de derechos de infraestructura en la nube (CIEM)?

Definición de Cloud Infrastructure Entitlement Management (administración de derechos de infraestructura en la nube, CIEM)

Cloud infrastructure entitlement management (CIEM) es una categoría de soluciones automatizadas de seguridad en la nube que mitigan el riesgo de filtración de datos en entornos de nube pública. Las soluciones CIEM evitan los derechos excesivos mediante la supervisión continua de los permisos y la actividad de las entidades humanas y no humanas para garantizar que operan dentro de los controles de acceso adecuados.

Una solución CIEM eficaz ofrece informes completos y automatizados que permiten a una organización optimizar la gestión del acceso, fortalecer la postura general de seguridad en la nube y minimizar la interrupción de DevOps.

 

Componentes de CIEM

Hay varias soluciones CIEM en el mercado y entre todas ellas no hay dos que sean iguales en cuanto a las partes y las funciones que comparten. Sin embargo, todas comparten algunos componentes a nivel básico, como:

  • Gobierno de la identidad: reglas que determinan qué entidades humanas y no humanas están sujetas a qué políticas
  • Políticas de seguridad: reglas que determinan quién, qué, cuándo, dónde y el por qué del acceso a la nube y a la carga de trabajo
  • Gestión centralizada: un panel que permite a su equipo administrar todo su ecosistema de nubes múltiples desde un solo lugar

 

¿Por qué son necesarias las Soluciones CIEM?

Las organizaciones modernas continúan migrando cada vez una parte mayor de sus operaciones centrales a la nube, ampliando procesos y cargas de trabajo asociadas, aplicaciones y datos a través de plataformas de proveedores de servicios en la nube como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP). Algunos entornos de nube múltiple pueden incluir todos estos y más.

El ecosistema en la nube de una sola organización puede otorgar millones de permisos individuales a personas, sistemas y servicios en la nube, incluidas cuentas no federadas, permisos predeterminados y mal configurados, e incluso permisos no utilizados. Si no se controlan, estos exponen enormemente su superficie de ataque, facilitando a los atacantes la infiltración de implementaciones en la nube. Según las proyecciones de Gartner, para 2023, el 75 % de los fallos de seguridad en la nube se derivarán de una gestión inadecuada de la identidad, el acceso y los privilegios.

Las soluciones de seguridad heredadas más utilizadas, como la gestión de accesos privilegiados (PAM), no abordan plenamente los problemas modernos de asignación de derechos: o bien no pueden seguir el ritmo de la naturaleza efímera y flexible de la nube, o bien se centran en la configuración de la nube sin ofrecer visibilidad de los derechos de la empresa. La CIEM aborda estos problemas dando una profunda visibilidad de los derechos en la nube junto con una corrección automatizada para ayudar a su organización a mantener el acceso con menos privilegios.

 

El papel de la CIEM en la seguridad en la nube moderna

Para una gestión moderna típica, administrar el riesgo de acceso a la nube es más que simplemente saber quién tiene acceso a qué. De hecho, en muchos casos, no hay ningún "quién" que gestionar en absoluto. Más de la mitad de los derechos actuales en la nube se conceden a aplicaciones, máquinas y cuentas de servicio. Los OT (por ejemplo, servidores y robots de fábrica) y dispositivos IoT (por ejemplo, lectores de tarjetas, rastreadores de envío, impresoras) se conectan a aplicaciones y bases de datos que también interconectan e intercambian información constantemente.

Es necesario delinear los derechos con gran precisión para evitar el intercambio inapropiado de datos. Sin embargo, con miles de usuarios y servicios potenciales, decenas de miles de recursos y decenas de millones de derechos individuales qué administrar, un equipo humano simplemente no puede actuar con la suficiente rapidez o precisión para mantenerse al día a medida que cambian los requisitos. En los entornos actuales, solo la CIEM y el poder de la automatización pueden hacerlo.

 

Los desafíos de la gestión de derechos

Veamos rápidamente los desafíos específicos que puede abordar con CIEM. Una solución de CIEM eficaz abarca la configuración general de la gestión de identidades y accesos (IAM), así como la gestión de los accesos privilegiados, proporcionando una gobernanza automatizada para ayudarle a:

  • Superar los obstáculos para crear un DevOps rápido y ágil a fin de que los desarrolladores puedan seguir implementando el código de forma rápida y segura
  • Gestionar una supervisión y gobernanza complejas en entornos dinámicos multinube que pueden abarcar el mundo entero
  • Refrenar los permisos excesivos para evitar el mal uso o el abuso por parte de cuentas humanas y no humanas, incluidas las cuentas privilegiadas
  • Mantener la visibilidad y garantizar el cumplimiento de la normativa en múltiples infraestructuras en la nube con diferentes marcos de seguridad, requisitos de gobernanza, etc.

Ventajas de la CIEM

Una solución de CIEM eficaz le permite visualizar los derechos entre los usuarios de su organización, las identidades no humanas y los recursos en la nube; analizar el panorama de los derechos para exponer el riesgo; detectar amenazas y mantener un acceso con menos privilegios. Veamos ambos con un poco más de detalle.

 

Velocidad y agilidad para DevOps

Su equipo de DevOps gestiona la configuración del acceso a su infraestructura en la nube, pero son la innovación y la velocidad las que impulsan al equipo, no la seguridad. La concesión de permisos manual y granular necesaria para mantener el acceso con menos privilegios es demasiado engorrosa para DevOps, por lo que es habitual que este conceda permisos excesivos para acelerar una puesta en marcha o suministrar servicios de forma más eficiente.

Las herramientas CIEM corrigen automáticamente los permisos excesivos sin interrumpir las aplicaciones ni las operaciones de desarrollo, liberando a sus desarrolladores para que hagan lo que mejor saben hacer.

 

Visibilidad desde un único panel de control

La CIEM proporciona una visión general centralizada de los derechos a través de múltiples plataformas en la nube para que pueda controlar más fácilmente "quién ve qué" en la nube. Esta imagen de alto nivel de los derechos ayuda a su equipo a evaluar el riesgo y desarrollar estrategias de mitigación.

La CIEM también permite que su equipo de seguridad controle qué usuarios humanos y no humanos pueden acceder a qué recursos en múltiples nubes, servicios, usuarios y entidades, respaldados por informes completos y automatizados.

 

Una postura de seguridad global más sólida

Una solución CIEM bien diseñada reduce su superficie de ataque y minimiza el riesgo de su nube pública al permitirle:

  • Crear y mantener un inventario preciso de todos los derechos existentes
  • Identificar y solucionar automáticamente los derechos mal configurados, no utilizados, contrarios a las políticas o problemáticos de algún modo
  • Detectar transacciones anómalas en la nube que puedan constituir amenazas internas o externas, como actividades hostiles, errores humanos o desviaciones de sus políticas de seguridad
  • Encontrar los problemas de alta prioridad y presentar planes de corrección procesables para ayudarle a solucionarlos
  • Aplicar el principio de privilegios mínimos, un componente clave de la confianza cero
  • Implantar protecciones uniformes en múltiples entornos de nube, cada uno con su propia configuración de seguridad y terminología

CIEM frente a CSPM: ¿cuál es mejor para reducir el riesgo de la nube pública?

Lea el artículo del blog
CIEM frente a CSPM: ¿cuál es mejor para reducir el riesgo de la nube pública?

Las 5 ventajas principales de una plataforma de protección de aplicaciones nativa de la nube (CNAPP)

Lea el artículo del blog
CIEM frente a CSPM: ¿cuál es mejor para reducir el riesgo de la nube pública?

Derechos: el riesgo más ignorado en la nube pública

Lea el artículo del blog
Derechos: el riesgo más ignorado en la nube pública

CSPM frente a CIEM

Las configuraciones erróneas y los permisos excesivos son los problemas de nube pública más importantes a los que se enfrentan las organizaciones hoy en día.  Hay dos tipos diferentes de herramientas creadas para ayudarle a afrontar estos retos y reducir su riesgo al aprovechar la nube pública: administración de la postura de seguridad en la nube (CSPM) y CIEM.

Vamos a compararlos.

 

Las herramientas CS PM reducen las configuraciones erróneas

Tan solo los "tres grandes" proveedores de la nube (Azure, AWS y Google Cloud) ofrecen cientos de servicios distintos, cada uno con opciones de configuración que afectan a la seguridad y al riesgo. Incluso con una estrategia de nube múltiple modesta, puede terminar teniendo que supervisar miles de configuraciones de características. Las herramientas de CSPM gestionan los problemas de configuración errónea en estos populares servicios de nube pública ayudándole a:

  • Supervisar los problemas de configuración de la nube pública
  • Hacer un seguimiento de su inventario digital y calcular su postura de seguridad
  • Priorizar los problemas por perfil de riesgo y solucionarlos automáticamente
  • Aplicar las normas de protección de políticas para mantener la seguridad y el cumplimiento

 

Las herramientas de CIEM abordan permisos excesivos

Mientras que el CSPM se centra en las configuraciones erróneas, las herramientas CIEM abordan una brecha de seguridad diferente que prevalece en las implementaciones de la nube pública: el control inadecuado de las identidades y los privilegios. Con cientos de usuarios de la nube, tendrá decenas de miles de recursos y decenas de millones de derechos individuales que gestionar, demasiado para que un equipo lo haga manualmente. Las herramientas de CIEM le ayudan a:

  • Descubrir quién tiene acceso a qué en sus entornos en la nube
  • Comprender los permisos a través de las identidades humanas y no humanas
  • Construir e implantar un modelo de acceso simple y transparente con mínimos privilegios
  • Implementar una política de seguridad multinube para los derechos

 

¿Qué necesita: CSPM o CIEM?

Entonces, teniendo en cuenta lo que hacen las herramientas CSPM y CIEM para reducir el riesgo de la nube, ¿cuál de ellas necesita implementar en su entorno? La respuesta es ambas. Las configuraciones erróneas y los permisos excesivos son las principales fuentes de riesgo para la seguridad de las nubes públicas, y al combinar CSPM y CIEM, se puede minimizar la gran mayoría de los problemas de seguridad que afectan a las nubes públicas.

 

Cómo puede ayudar Zscaler

Las políticas de CIEM y CSPM están integradas de forma nativa en Posture Control de Zscaler, una plataforma integral de protección de aplicaciones nativas de la nube (CNAPP) que protege la infraestructura de la nube, los datos confidenciales y las implementaciones de aplicaciones nativas en sus entornos multinube.

Las potentes funciones de CIEM en Posture Control le permiten beneficiarse de:

Los análisis integrales de visibilidad de la postura de riesgo IAM
habilitados por IA y ML le ayudan a gestionar el enorme volumen de datos de derechos. Una vista basada en el riesgo de las identidades humanas y no humanas le permite identificar fácilmente permisos de alto riesgo excesivos e inspeccionar las configuraciones de identidad en la nube.

Priorización basada en el riesgo
La mayoría de las plataformas de seguridad generan demasiadas alertas para ser procesables. Posture Control prioriza los riesgos de seguridad de su organización en función de su perfil, lo que permite una reducción máxima de los riesgos con un esfuerzo mínimo.

Redimensionamiento de derechos
Posture Control utiliza el aprendizaje automático, el análisis de cohortes y mucho más para identificar los permisos ocultos, no utilizados y mal configurados, así como las rutas de acceso de riesgo para los recursos confidenciales exclusivos de cada plataforma en la nube, que usted puede eliminar para minimizar su superficie de ataque y lograr el acceso con menos privilegios. 

Secure DevOps
Una gestión eficaz de los derechos en sus procesos de DevOps elimina la necesidad de poner en riesgo la seguridad o la innovación. 

Configuración IAM consistente y conforme a la normativa
Al aplicar políticas coherentes y protecciones automatizadas en entornos multinube y garantizar el cumplimiento de IAM con CIS, RGPD, SOC2, NIST, PCI DSS, ISO, etc, usted obtiene un control potente y detallado sobre el acceso a sus activos valiosos.

 

Más información sobre el control de postura

Solicitar una demo