Recursos > Glosario de términos de seguridad > ¿Qué es el acceso con privilegios mínimos?

¿Qué es el acceso con privilegios mínimos?

Defina el acceso con privilegios mínimos

El acceso con privilegios mínimos es una estrategia de ciberseguridad en la que los usuarios finales solo reciben el nivel mínimo de acceso necesario para realizar tareas específicas de su trabajo. Es un elemento crucial de la seguridad de la información que ayuda a las organizaciones a proteger sus datos confidenciales restringiendo el movimiento lateral y el acceso no autorizado a las aplicaciones o recursos de la empresa.

A medida que más volúmenes de datos se trasladan hacia y a través de la nube, y los ciberataques se vuelven más frecuentes y sofisticados, las organizaciones buscan formas de proteger sus crecientes superficies de ataque. Aquí es donde entra en juego el acceso con menos privilegios (también llamado principio de menor privilegio [POLP] o principio de mínimo privilegio) como uno de los elementos fundamentales de un enfoque de confianza cero.

El acceso con menos privilegios comprende tres áreas a tener en cuenta: autenticación de la identidad del usuario, postura de seguridad del dispositivo y segmentación de usuario a aplicación. En breve las explicaremos con más detalle.

 

El acceso con privilegios mínimos y la confianza cero

Antes de continuar, veamos cómo se relacionan estos dos términos entre sí. El "acceso con privilegios mínimos" puede sonar muy parecido a "confianza cero" y, de hecho, están estrechamente relacionados, pero son conceptos básicamente diferentes.

Puede pensar en el acceso con menos privilegios como una tarjeta de acceso que da a cada uno de sus empleados y que está codificada de forma exclusiva para su función laboral. Esto le permite adaptar los controles de acceso para que la mayoría de los usuarios puedan acceder a áreas comunes como Microsoft 365, pero solo algunos puedan acceder a material más confidencial, como información financiera, datos de recursos humanos, etc., con lo que se reduce el riesgo de que un exceso de permisos provoque una violación de datos.

La confianza cero lleva esto un paso más allá, ya que no concede confianza simplemente porque un empleado tenga una tarjeta de acceso única. Antes de conceder acceso, una política de confianza cero establece la identidad del usuario y el contexto completo para la solicitud de conexión, como el dispositivo del usuario, su ubicación, la aplicación en cuestión y su contenido. De esta manera, para seguir con la metáfora, otro usuario no puede simplemente coger una tarjeta de acceso, asumir sus derechos de acceso y comenzar a entrar en lugares que no le corresponden.

¿Cómo funciona el acceso con privilegios mínimos moderno?

Least Privilege Access

Hoy en día, el acceso con privilegios mínimos y la confianza cero son esencialmente inseparables, con un enfoque moderno que incorpora la autenticación de la identidad del usuario, la postura de seguridad del dispositivo y la segmentación de usuario a aplicación en sus controles. Analicemos estos tres elementos fundamentales.
 

  • Autenticación de la identidad del usuario

Así es como determina si sus usuarios son quienes afirman ser. Los proveedores y servicios de gestión de identidad y acceso (IAM), como por ejemplo, Okta, Azure Active Directory o Ping Identity, crean, mantienen y administran la información de identidad mientras ofrecen diversos servicios de aprovisionamiento y autenticación.

  • Postura de seguridad de los dispositivos

Un usuario bienintencionado con privilegios elevados puede ser víctima del malware. Junto con la evaluación continua de la postura de seguridad de los puntos finales (proporcionada por empresas como CrowdStrike, VMware Carbon Black, SentinelOne, etc.), las políticas modernas de privilegios mínimos pueden modificar los permisos de un usuario en función del estado actual de su dispositivo.

  • Segmentación de usuario a aplicación

La forma tradicional de limitar la exposición de la red y el movimiento lateral es la segmentación de la red, que utiliza cortafuegos dentro de la red empresarial para restringir los segmentos a cuentas privilegiadas. Aunque es clave limitar el movimiento lateral interno, este enfoque es complicado y no proporciona el control granular que las organizaciones modernas necesitan.

La segmentación de usuario a aplicación es posible con un servicio de acceso a la red de confianza cero (ZTNA), que permite la segmentación granular a través de políticas empresariales gestionadas por TI, no de una pila de cortafuegos. ZTNA conecta a los usuarios verificados directamente con las aplicaciones que están autorizados a utilizar sin conectarlos nunca a su red, lo que hace imposible el movimiento lateral. Este acceso se hace extensivo tanto a los usuarios remotos como a los locales, independientemente de su ubicación, con controles de seguridad idénticos.

 

Least Privilege Access Diagram

3 beneficios del acceso con privilegios mínimos

 

La convergencia de los tres elementos básicos con un servicio eficaz de ZTNA constituye la base de una postura de seguridad sólida y resistente para su organización, en la que:

  1. Las cuentas de usuario siempre se autentican antes de concederse el acceso
  2. Los dispositivos se supervisan y los niveles de acceso de los usuarios se adaptan en función de la postura de seguridad
  3. La segmentación de aplicaciones minimiza el movimiento lateral, lo que elimina la necesidad de ajustes complejos del cortafuegos

 

Algunas consideraciones sobre los privilegios de los administradores

Por supuesto, para las cuentas de administrador hay que tener en cuenta algunas consideraciones adicionales. Los superusuarios llevan una inmensa carga de confianza y, por naturaleza, no pueden trabajar con un acceso limitado. La solución tradicional en este caso es la gestión de accesos privilegiados (PAM), que gestiona los derechos, las cuentas y los sistemas operativos a nivel del centro de datos. Sin embargo, el cambio a la nube está haciendo que PAM sea menos eficaz.

Hoy en día, el aumento de DevOps significa que en su nube puede haber miles de cambios de permisos en un día. La gestión de derechos de infraestructura en la nube (CIEM) está triunfando ahí donde PAM ha empezado a fracasar, ya que una CIEM eficaz puede gestionar e inventariar los derechos de la nube, realizar auditorías de privilegios, detectar y remediar la acumulación de privilegios, conferir derechos de administración a los servicios y realizar otras funciones a una escala y un nivel de complejidad que PAM no puede alcanzar.

La CIEM es una consideración importante para los entornos de nube de hoy en día cuando se planifica o se perfecciona el enfoque de acceso con privilegios mínimos.

Cómo implementar el acceso con privilegios mínimos en su organización

Lograr un acceso moderno con privilegios mínimos con confianza cero es más fácil de lo que parece, con solo tres pasos básicos:

  1. Adopte un servicio de proveedor de identidad (IdP). Con la popularidad que tienen hoy en día los servicios de inicio de sesión único, muchas organizaciones ya utilizan un IdP.

  2. Añada un servicio de postura del dispositivo. La combinación de la supervisión del estado de los dispositivos con una política de dispositivos flexible reduce el riesgo que los puntos finales comprometidos suponen para sus sistemas y datos críticos.

  3. Habilite un servicio ZTNA. Esto le permite eliminar tanto el acceso lateral como los cortafuegos internos con una tecnología. Algunos servicios ZTNA se pueden implementar completamente en solo unas horas.

 

Cómo ayuda Zscaler con el acceso con privilegios mínimos

Los cortafuegos tradicionales, las VPN y las aplicaciones privadas suponen una superficie de ataque enorme. Los hackers y otros ciberdelincuentes pueden ver y explotar los recursos vulnerables expuestos al exterior, y las soluciones de seguridad de red obsoletas, como las VPN, sitúan a los usuarios en la red, dando a los atacantes un fácil acceso a los datos confidenciales. Además, no pueden escalar ni ofrecer una experiencia de usuario rápida y fluida, ya que requieren retorno, introducen costes y complejidad añadidos y son demasiado lentos para dar servicio a los trabajadores distribuidos de hoy en día.

Como la plataforma ZTNA más implementada del mundo, Zscaler Private Access™ aplica los principios de privilegios mínimos para dar a los usuarios una conectividad segura y directa a las aplicaciones privadas, al tiempo que elimina el acceso no autorizado y el movimiento lateral. Se puede implementar en cuestión de horas para reemplazar las VPN heredadas y las herramientas de acceso remoto por una plataforma de confianza cero global nativa de la nube. Zscaler Private Access es ZTNA, evolucionado.

Visite nuestra página de Zscaler Private Access para obtener más información.