¿Qué es la identidad de la máquina y la gestión de identidad de la máquina?
¿Qué es una identidad de máquina?
Las identidades de máquina son “usuarios” de red basados en software que son un subconjunto de una categoría más amplia de “identidades” que incluye humanos, incluidos tanto sus empleados como sus clientes.
Ejemplos de identidades de máquinas incluyen interfaces de programación de aplicaciones (API) y automatización robótica de procesos (RPA o “bots”). Realizan trabajos en segundo plano, como conectar servicios en todo el ecosistema de la nube o gestionar tareas administrativas repetitivas.
Estos "usuarios" basados en silicio interactúan con información sensible de la empresa y de identificación personal (PII) al igual que lo hacen los usuarios humanos típicos. Las organizaciones que apuestan por estrategias basadas en la nube o solo en la nube necesitan una integración importante, o un punto de convergencia, entre los sistemas Identity Governance & Administration (IGA) y Privileged Access Management (PAM), y las identidades de las máquinas.
Las organizaciones dependen de estas identidades de máquinas para transmitir y recopilar datos. Para proteger estos datos, la mayoría de las organizaciones comienzan implementando herramientas de seguridad comunes, como puertas de enlace, cifrado o soluciones de administración de claves. Sin embargo, estas herramientas son una parte importante de una estrategia de defensa en profundidad. Gestionar la seguridad de las identidades de las máquinas significa tratarlas como cualquier otra identidad, garantizando que tengan el acceso correcto a los recursos adecuados en el momento adecuado.
Tipos de identidades de máquinas
Las identidades de las máquinas se pueden dividir en dos categorías: cargas de trabajo y dispositivos. Las cargas de trabajo incluyen contenedores, máquinas virtuales, aplicaciones, servicios, RPA (bots) y scripts, mientras que los dispositivos incluyen dispositivos móviles, de escritorio y de IoT.
Cargas de trabajo
Las cargas de trabajo representan un área amplia y diversa y, en comparación con los dispositivos, la definición de cargas de trabajo está incompleta. Gartner señala que los clientes suelen solicitar una solución única para gestionar las cargas de trabajo, pero aún se están formando las mejores prácticas para gestionarlas. Continúan diciendo que "la industria necesita consolidación y trabajo adicional en lo que respecta a definiciones, estándares de denominación y herramientas multiplataforma, por lo que las organizaciones suelen adoptar la mejor estrategia de su clase". Y aunque “… existen esfuerzos para sincronizar identidades, gobernar múltiples administradores de secretos que cumplen con políticas y PKI e identidades utilizadas en entornos de múltiples nubes. Sin embargo, no existe una única herramienta para todos los casos de uso, sin tener en cuenta lo que dicen los proveedores”.
Gartner desarrolló esta figura para describir las herramientas del tejido de identidad de las organizaciones que gestionan cargas de trabajo que van desde la funcionalidad integrada en las plataformas de proveedores de IaaS hasta módulos de seguridad de hardware y software de terceros.
Echemos un vistazo a dos de las cargas de trabajo más comunes que las organizaciones deben trabajar para proteger:
RPA (o “bots”) son procesos robóticos controlados por código que actúan como un usuario humano al completar actividades repetitivas. Son fáciles de usar, a menudo con una implementación de código bajo o sin código. Los bots pueden gestionar eficazmente tareas repetibles de gran volumen, como consultas, cálculos y mantenimiento de registros/transacciones. Algunas RPA inician sesión en aplicaciones e ingresan datos automáticamente, lo que mejora la eficiencia de los empleados al reducir la cantidad de tareas repetitivas que necesitan para realizar su trabajo.
Interfaces de programación de aplicaciones (API) servir como un punto de interacción e integración para aplicaciones, a menudo brindando acceso a la nube pública y aplicaciones de software como servicio. La mayoría de las veces, las empresas que buscan actualizar una aplicación heredada utilizan API para crear versiones modernizadas de su tecnología. La mayoría de las aplicaciones modernas aprovechan una pila de API pública o privada para simplificar el acceso y las integraciones a los datos empresariales.
Dispositivos
Los dispositivos son computadoras físicas, incluidos teléfonos móviles, computadoras de escritorio y dispositivos de Internet de las cosas (IoT) y tecnología operativa (OT). A diferencia de las cargas de trabajo, existen herramientas maduras para administrar múltiples tipos de dispositivos y sus credenciales. Los dispositivos móviles y las computadoras de escritorio generalmente se administran mediante herramientas de administración unificada de terminales (UEM), mientras que la diversidad de dispositivos de IoT ha resultado en una falta de mejores prácticas y una necesidad de innovación en las soluciones que intentan protegerlos.
Desafíos de la gestión de identidades de máquinas
Un riesgo al tratar con la gestión de identidades de máquinas es el desafío de monitorear continuamente cómo las identidades de las máquinas acceden a los datos. Si bien todos están de acuerdo en el valor de las RPA para aumentar la eficiencia operativa, las organizaciones deben encontrar una manera de limitar el acceso que los bots tienen a sus entornos . AWS Lambda y Azure Functions ofrecen ejemplos de este desafío. Estas tecnologías sin servidor incorporan seguridad a las funciones y ofrecen diversas capacidades de monitoreo y alerta. Estos protegen cómo las funciones acceden a la información. Sin embargo, estas capacidades no brindan visibilidad de los usuarios que administran y modifican estas funciones.
Otro desafío en la gestión de identidades de máquinas es gestionar el riesgo de acceso a API. Las puertas de enlace generalmente regulan el acceso a las API, actuando como un punto de entrada. Muchas veces, los clientes ya han integrado la supervisión de su API con soluciones de autenticación multifactor (MFA), inicio de sesión único (SSO) e identidad como servicio (IDaaS). La mayoría de los clientes incluso tienen una Lista de control de acceso (ACL) o conjuntos de reglas basadas en roles para controlar la autorización. Estos controles facilitan la autenticación y, a menudo, la autorización. Sin embargo, no amplían la gobernanza sobre quién controla las API. Las organizaciones, con razón, se preocupan por quién controla y codifica estas identidades de máquinas. Algunas de las preguntas que surgen incluyen:
- ¿Quién o qué puede acceder y utilizar las identidades de mi máquina?
- ¿Cómo puedo monitorear y controlar el acceso solicitado, otorgado o actualizado?
- ¿Quién tiene la capacidad de modificar/actualizar/eliminar identidades de máquinas?
- ¿Quién es el propietario o “administrador” de la identidad de la máquina?
- ¿Cómo transfiero la propiedad de la identidad de la máquina?
- ¿Qué acceso privilegiado están invocando las identidades de mi máquina (claves y credenciales)?
- ¿Cómo puedo revisar y mantener toda la documentación necesaria (incluida la implementación de controles de compensación y controles de mitigación) para cumplir con los mandatos de los estándares regulatorios y de la industria?
Estas claves para la encuesta de identidad de la máquina profundiza más en estos desafíos, especialmente en torno a las claves API y la solidez de las claves obligatorias y el hecho de que muy pocas organizaciones reconocen estos riesgos.
Para abordar las preguntas anteriores y proteger las identidades de las máquinas, las organizaciones deben crear un "enfoque centrado en la identidad", estableciendo y haciendo cumplir procesos de gestión del ciclo de vida sobre las identidades de sus máquinas. Este enfoque debería ser similar a la forma en que gobiernan a los usuarios humanos y al mismo tiempo tener en cuenta las diferencias entre los dos.
Seguridad de la identidad de las máquinas: cómo proteger las identidades de las máquinas
Administrar el ciclo de vida de la identidad de la máquina
En primer lugar, en la seguridad de la identidad de la máquina, debe asignar un identificador único a cada identidad de la máquina para poder proporcionar acceso y aplicar políticas como parte de su proceso de gestión del ciclo de vida. Gobernar la identidad y poder rastrearla se convierte en un paso crítico para proteger sus datos.
Definir el acceso a la identidad de la máquina
Las identidades de las máquinas se comportan fundamentalmente como usuarios privilegiados. El tipo de tareas que realizan puede parecer mundano, pero su acceso privilegiado representa una amenaza a la seguridad o la privacidad de su empresa. Las organizaciones deben elevar el privilegio justo a tiempo y desactivar el privilegio cuando la identidad de la máquina no esté activa. Necesitan revisar qué acceso tienen estas identidades y a qué recursos acceden para asegurarse de que tengan el mínimo privilegio necesario. Necesitan visibilidad sobre si el acceso se revoca o se modifica para garantizar el cumplimiento de las políticas internas.
Propietario asociado o responsable con identidad de la máquina
Asociar una parte responsable o una propiedad ayuda a proteger los datos de la organización. Las identidades de las máquinas, una vez establecidas, a menudo permanecen en su lugar más tiempo que las de los empleados. Las organizaciones deben alinear a los usuarios con identidades de máquinas individuales o familias/grupos de identidades de máquinas, de modo que tengan un usuario humano vinculado a las actividades. Necesitan crear políticas de sucesión en caso de que el responsable abandone la empresa o pase a otro rol. La parte responsable satisface las necesidades de certificación, mientras que la gestión de sucesión garantiza que siempre haya alguien capaz de desempeñar esa función.
Supervise continuamente los nuevos riesgos
De la misma manera, las organizaciones desarrollan inteligencia en torno a los usuarios humanos y necesitan monitorear nuevos riesgos provenientes de las identidades de las máquinas. Las regulaciones y estándares de seguridad y privacidad cambian y evolucionan constantemente. Un hilo común entre estos mandatos de cumplimiento es la necesidad de monitorear continuamente nuevos riesgos. La velocidad y el volumen de la nube significan que pueden surgir rápidamente nuevos riesgos. Si bien todavía necesitamos realizar revisiones periódicas del acceso, también sabemos que el cumplimiento puntual ya no equivale a seguridad. Los datos de pares y de uso pueden ayudar a descubrir nuevas amenazas al alertarlo sobre valores atípicos. Por ejemplo, supongamos que establece una regla según la cual sus API realizan llamadas a la aplicación cada quince minutos. Adoptar un enfoque "centrado en la identidad" requiere crear solicitudes de elevación de cuenta con plazos determinados que se aprueban automáticamente cada vez que la API realiza la llamada. Si de repente recibe una notificación de la API solicitando acceso cada diez minutos, la solicitud es un valor atípico que indica un nuevo riesgo potencial. Las organizaciones necesitan una forma de participar en un monitoreo de control continuo para protegerse de violaciones de cumplimiento.
Identificar identidades de máquinas "deshonestas"
Si bien se aplica tanto a las API como a las RPA, la identificación de máquinas no autorizadas es más fácil de entender cuando se piensa en los bots. Muchas veces, los usuarios de DevOps reutilizan código de una RPA a otra. Sin embargo, si el nuevo bot interactúa con un tipo de datos más confidencial, como PII, entonces el código antiguo puede dejarlo expuesto a riesgos. Al adoptar un enfoque "centrado en la identidad", puede monitorear con qué información interactúan las identidades de las máquinas para poder controlar mejor si necesitan ese acceso o si necesitan el acceso en la forma aprovisionada.
Desactivar o desactivar la identidad de la máquina
Si detecta un nuevo riesgo, como un robot malicioso, especialmente uno que no cuenta con la administración adecuada, deben existir controles para desactivarlo o desactivarlo mediante el uso de una solución IGA de próxima generación.
Cómo gestiona Saviynt la identidad de las máquinas
La solución de Saviynt asegura las identidades de las máquinas a través de nuestra plataforma IGA basada en la nube.
Altamente escalable, diseñado en la nube
La plataforma nativa en la nube de Saviynt utiliza arquitectónicamente tecnologías de Big Data como ElasticSearch y Hadoop. Hemos diseñado nuestra plataforma IGA para proporcionar enormes cantidades de escala para satisfacer la demanda del número de objetos. Las organizaciones necesitan una solución en la nube que les permita gestionar las identidades de sus máquinas de forma eficiente.
Modelo de datos elástico y extensible
Diseñamos nuestra plataforma como un modelo de datos elástico y extensible porque nos dimos cuenta de que muchas identidades de máquina eran simplistas mientras que otras eran más complejas. Queríamos ofrecer a nuestros clientes algo que no requiriera personalización a nivel de código para que pudieran crear definiciones de nuevos objetos. Combinada con nuestra escalabilidad, la plataforma de Saviynt proporciona a las organizaciones la solución a sus problemas de riesgo de identidad de máquina.
Análisis enriquecido, información de pares y uso
Los análisis de Saviynt permiten realizar un seguimiento de los controles y los riesgos. Con el análisis entre pares, podemos comparar si una identidad de máquina, como un bot o una API, se parece a las demás identidades de máquina de esa misma categoría. Si nuestros análisis detectan un valor atípico, alertan al administrador de TI del acceso de riesgo para que pueda revisar el acceso y ampliar la gobernanza.
Controles extensibles de procesos y flujos de trabajo
Creamos un marco de controles universales que viene con 200 políticas listas para usar para ayudar a cumplir con los mandatos de cumplimiento, incluida la segregación de funciones. El marco de controles universales se alinea con los principales estándares de cumplimiento normativo, como PCI DSS e HIPAA. Los clientes aprovechan estos controles para crear políticas de acceso y ampliar la gobernanza sobre las identidades de sus máquinas.
Capacidades completas de gestión del ciclo de vida
Nuestra plataforma agiliza el proceso de incorporación y ofrece la capacidad de administrar el acceso a la identidad de la máquina utilizando nuestros derechos específicos. Nuestra plataforma también permite a las organizaciones crear una elevación de privilegios temporal o basada en el tiempo para limitar el alcance y el tiempo de acceso a la identidad de la máquina.
Acceso a revisión y certificaciones
Al igual que con todos los demás tipos de identidad, los clientes deben revisar periódicamente su inventario en busca de accesos anómalos, como por ejemplo si se han ejecutado las RPA. En algunos casos, es posible que una RPA no se haya ejecutado, o que una API no haya realizado una llamada en bastante tiempo. Si la identidad de la máquina ya no es necesaria, es posible que tenga que determinar si debe seguir existiendo en su entorno de TI. Con la plataforma de Saviynt, obtendrá visibilidad de estas identidades de máquina y podrá revisar si deben desactivarse temporalmente, deshabilitarse o incluso eliminarse del inventario. El futuro de las TI ya no es un "paisaje", sino un "paisaje de nubes" que seguirá impulsando la necesidad de un mejor gobierno de identidades y accesos sobre las identidades de máquinas.
Recursos
