Control de seguridad: acceso con privilegios
Acceso con privilegios cubre controles que protegen el acceso con privilegios a su inquilino a los recursos. Incluye una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e involuntarios.
PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Principio de seguridad: asegúrese de identificar todas las cuentas de alto impacto empresarial. Limite el número de cuentas administrativas o con privilegios elevados en el plano de control, el plano de administración y el plano de datos/cargas de trabajo de la nube.
Guía de Azure: debe proteger todos los roles con acceso administrativo directo o indirecto a los recursos hospedados en Azure.
Azure Active Directory (Azure AD) es un servicio de administración de identidades y acceso predeterminado de Azure. Los roles integrados más críticos de Azure AD son Administrador global y Administrador de roles con privilegios, ya que los usuarios asignados a estos dos roles pueden delegar roles de administrador. Con estos privilegios, los usuarios pueden leer y modificar todos los recursos de su entorno de Azure de forma directa o indirecta:
- Administrador global/Administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que usan identidades de Azure AD.
- Administrador de roles con privilegios: los usuarios con este rol pueden administrar asignaciones de roles en Azure AD, y dentro de Azure AD Privileged Identity Management (PIM). Además, este rol permite administrar todos los aspectos de PIM y de las unidades administrativas.
Fuera de Azure AD, Azure tiene roles integrados que pueden ser críticos para el acceso con privilegios en el nivel de recurso.
- Propietario: Concede acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC.
- Colaborador: concede acceso completo para administrar todos los recursos, pero no le permite asignar roles en RBAC de Azure, administrar asignaciones en Azure Blueprints ni compartir galerías de imágenes.
- Administrador de acceso de usuario: permite administrar el acceso de los usuarios a los recursos de Azure.
Nota: Si usa roles personalizados a nivel de Azure AD o a nivel de los recursos con determinados permisos con privilegios asignados, es posible que tenga otros roles críticos que deban administrarse.
Además, los usuarios con los tres roles siguientes en el portal de Azure Enterprise Agreement (EA) también deben restringirse, ya que se pueden usar para administrar directamente o indirectamente las suscripciones de Azure.
- Propietario de la cuenta: los usuarios con este rol pueden administrar suscripciones, incluida la creación y eliminación de suscripciones.
- Administrador de empresa: los usuarios asignados con este rol pueden administrar usuarios del portal (EA).
- Administrador del departamento: los usuarios asignados con este rol pueden cambiar los propietarios de la cuenta dentro del departamento.
Por último, asegúrese de restringir también las cuentas con privilegios en otros sistemas de administración, identidad y seguridad que tengan acceso administrativo a los recursos críticos para la empresa, como los controladores de Dominio de Active Directory (DCs), las herramientas de seguridad y las herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden convertirlos inmediatamente en un arma para poner en peligro los recursos críticos para la empresa.
Implementación de Azure y contexto adicional:
- Permisos de rol administrativo en Azure AD
- Uso de alertas de seguridad de Azure Privileged Identity Management
- Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD
Guía de AWS: debe proteger todos los roles con acceso administrativo directo o indirecto a los recursos hospedados de AWS.
Los usuarios administrativos o con privilegios deben estar protegidos incluyen:
- Usuario raíz: el usuario raíz es las cuentas con privilegios de mayor nivel en su cuenta de AWS. Las cuentas raíz deben estar muy restringidas y solo se deben usar en situaciones de emergencia. Consulte controles de acceso de emergencia en PA-5 (Configurar el acceso de emergencia).
- Identidades de IAM (usuarios, grupos, roles) con la directiva de permisos con privilegios: las identidades de IAM asignadas con una directiva de permisos como AdministratorAccess pueden tener acceso total a los servicios y recursos de AWS.
Si usa Azure Active Directory (Azure AD) como proveedor de identidades para AWS, consulte la guía de Azure para administrar los roles con privilegios en Azure AD.
Asegúrese de restringir también las cuentas con privilegios en otros sistemas de administración, identidad y seguridad que tengan acceso administrativo a los recursos críticos para la empresa, como AWS Cognito, herramientas de seguridad y herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden convertirlos inmediatamente en un arma para poner en peligro los recursos críticos para la empresa.
Implementación de AWS y contexto adicional:
Guía de GCP: debe proteger todos los roles con acceso administrativo directo o indirecto a los recursos hospedados de GCP.
El rol integrado más crítico en Google Cloud es el superadministrador. El superadministrador puede realizar todas las tareas de la consola de Administración y tiene permisos administrativos irrevocables. Se recomienda usar la cuenta de superadministrador para la administración diaria.
Los roles básicos son roles heredados muy permisivos y se recomienda que los roles básicos no se usen en entornos de producción, ya que concede acceso amplio a todos los recursos de Google Cloud. Los roles básicos incluyen los roles Visor, Editor y Propietario. En su lugar, se recomienda usar roles predefinidos o personalizados. Los roles predefinidos con privilegios importantes incluyen:
- Administrador de la organización: los usuarios con este rol pueden administrar directivas de IAM y ver directivas de organización para organizaciones, carpetas y proyectos.
- Administrador de directivas de la organización: los usuarios con este rol pueden definir las restricciones que una organización quiere colocar en la configuración de los recursos en la nube estableciendo directivas de organización.
- Administrador de roles de organización: los usuarios con este rol pueden administrar todos los roles personalizados de la organización y los proyectos debajo de él.
- Administración de seguridad: los usuarios con este rol pueden obtener y establecer cualquier directiva de IAM.
- Denegar Administración: los usuarios con este rol tienen permisos para leer y modificar las directivas de denegación de IAM.
Además, algunos roles predefinidos contienen permisos de IAM con privilegios en el nivel de organización, carpeta y proyecto. Estos permisos de IAM incluyen:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
Además, implemente la separación de tareas mediante la asignación de roles a cuentas para distintos proyectos o mediante el aprovechamiento de la autorización binaria con Google Kubernetes Engine.
Por último, asegúrese de restringir también las cuentas con privilegios en otros sistemas de administración, identidad y seguridad que tengan acceso administrativo a los recursos críticos para la empresa, como DNS en la nube, herramientas de seguridad y herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden convertirlos inmediatamente en un arma para poner en peligro los recursos críticos para la empresa.
Implementación de GCP y contexto adicional:
- Procedimientos recomendados de la cuenta de superadministrador
- Referencia de roles básicos y predefinidos de IAM
- Separación de tareas y roles de administración de identidades y acceso
Partes interesadas de la seguridad del cliente (más información):
- Administración de identidades y claves
- Arquitectura de seguridad
- Administración del cumplimiento de la seguridad
- Operaciones de seguridad
PA-2: Evitar el acceso permanente en cuentas de usuario y permisos
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
N/D | AC-2 | N/D |
Principio de seguridad: en lugar de crear privilegios permanentes, use el mecanismo Just-In-Time (JIT) para asignar acceso con privilegios a los distintos niveles de recursos.
Guía de Azure: habilite el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure y Azure AD mediante Azure AD Privileged Identity Management (PIM). JIT es un modelo en el que los usuarios reciben permisos temporales para realizar tareas con privilegios, lo que impide que usuarios malintencionados o sin autorización obtengan acceso después de que el permiso haya expirado. El acceso se concede solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en la organización de Azure AD.
Restrinja el tráfico entrante a los puertos de administración de máquinas virtuales (VM) confidenciales con la característica de acceso Just-In-Time (JIT) a VM de Microsoft Defender for Cloud. Esto garantiza que solo se conceda acceso con privilegios a la máquina virtual cuando los usuarios lo necesiten.
Implementación de Azure y contexto adicional:
- Implementación de acceso Just-In-Time de Azure PIM
- Descripción del acceso a la máquina virtual Just-in-Time (JIT)
Guía de AWS: Use AWS Security Token Service (AWS STS) para crear credenciales de seguridad temporales para acceder a los recursos a través de la API de AWS. Las credenciales de seguridad temporales funcionan casi de forma idéntica a las credenciales de clave de acceso a largo plazo que los usuarios de IAM pueden usar, con las siguientes diferencias:
- Las credenciales de seguridad temporales tienen una vida a corto plazo, de minutos a horas.
- Las credenciales de seguridad temporales no se almacenan con el usuario, sino que se generan dinámicamente y se proporcionan al usuario cuando se solicita.
Implementación de AWS y contexto adicional:
Guía de GCP: use el acceso condicional de IAM para crear acceso temporal a los recursos mediante enlaces de roles condicionales en las directivas permitidas, que se conceden a los usuarios de Cloud Identity. Configure los atributos de fecha y hora para aplicar controles basados en tiempo para acceder a un recurso determinado. El acceso temporal puede tener una vida a corto plazo, de minutos a horas, o puede concederse en función de días o horas de la semana.
Implementación de GCP y contexto adicional:
- Información general sobre las condiciones de IAM
- Configuración del acceso temporal
- Introducción a Access Context Manager
Partes interesadas de la seguridad del cliente (más información):
- Administración de identidades y claves
- Arquitectura de seguridad
- Administración del cumplimiento de la seguridad
- Operaciones de seguridad
PA-3: Administración del ciclo de vida de identidades y derechos
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Principio de seguridad: use un proceso automatizado o un control técnico para administrar la identidad y el ciclo de vida de acceso, incluida la solicitud, la revisión, la aprobación, el aprovisionamiento y el desaprovisionamiento.
Guía de Azure: use las características de administración de derechos de Azure AD para automatizar los flujos de trabajo de solicitud de acceso (para grupos de recursos de Azure). Esto permite que los flujos de trabajo de los grupos de recursos de Azure administren las asignaciones de acceso, las revisiones, la expiración y la aprobación de dos fases o más.
Use La administración de permisos para detectar, ajustar automáticamente el tamaño adecuado y supervisar continuamente los permisos no utilizado y excesivos asignados a las identidades de usuario y carga de trabajo en infraestructuras de varias nubes.
Implementación de Azure y contexto adicional:
- ¿Qué son las revisiones de acceso de Azure AD?
- ¿Qué es la administración de derechos de Azure AD?
- Información general sobre la administración de permisos
Guía de AWS: use AWS Access Advisor para extraer los registros de acceso de las cuentas de usuario y los derechos de los recursos. Cree un flujo de trabajo manual o automatizado para integrarse con AWS IAM para administrar las asignaciones de acceso, las revisiones y las eliminaciones.
Nota: Hay soluciones de terceros disponibles en AWS Marketplace para administrar el ciclo de vida de las identidades y los derechos.
Implementación de AWS y contexto adicional:
Guía de GCP: use los registros de auditoría en la nube de Google para extraer la actividad de administrador y los registros de auditoría de acceso a datos para las cuentas de usuario y los derechos de los recursos. Cree un flujo de trabajo manual o automatizado para integrarse con GCP IAM para administrar asignaciones de acceso, revisiones y eliminaciones.
Use Google Cloud Identity Premium para proporcionar servicios principales de administración de identidades y dispositivos. Estos servicios incluyen características como el aprovisionamiento automatizado de usuarios, la lista blanca de aplicaciones y la administración automatizada de dispositivos móviles.
Nota: Hay soluciones de terceros disponibles en Google Cloud Marketplace para administrar el ciclo de vida de las identidades y los derechos.
Implementación de GCP y contexto adicional:
- Asesor de acceso de IAM
- Acceso a Cloud Identity y Atlassian: administración del ciclo de vida de los usuarios en toda la organización
- Concesión y revocación del acceso a la API
- Revocar el acceso a un proyecto de Google Cloud
Partes interesadas de la seguridad del cliente (más información):
- Administración de identidades y claves
- Seguridad de las aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
PA-4: Revisión y conciliación de manera periódica del acceso de los usuarios
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Principio de seguridad: realice una revisión periódica de los derechos de la cuenta con privilegios. Asegúrese de que el acceso concedido a las cuentas es válido para la administración del plano de control, el plano de administración y las cargas de trabajo.
Guía de Azure: revise todas las cuentas con privilegios y los derechos de acceso en Azure, incluidos los inquilinos de Azure, los servicios de Azure, los procesos de VM/IaaS, CI/CD y las herramientas de administración y seguridad empresariales.
Use las revisiones de acceso de Azure AD para revisar los roles de Azure AD, los roles de acceso a recursos de Azure, las pertenencias a grupos y el acceso a las aplicaciones empresariales. Los informes de Azure AD también pueden proporcionar registros para ayudar a detectar cuentas obsoletas o cuentas que no se han usado durante cierto tiempo.
Además, se puede configurar Azure AD Privileged Identity Management para enviar alertas cuando se cree un número excesivo de cuentas de administrador para un rol en particular, y para identificar las cuentas de administrador que hayan quedado obsoletas o que no estén configuradas correctamente.
Implementación de Azure y contexto adicional:
- Creación de una revisión de acceso de los roles de recursos de Azure en Privileged Identity Management (PIM)
- Procedimiento para usar las revisiones de acceso e identidades de Azure AD
Guía de AWS: revise todas las cuentas con privilegios y los derechos de acceso en AWS, incluidas las cuentas de AWS, los servicios, los procesos de VM/IaaS, CI/CD y las herramientas de administración y seguridad empresariales.
Use el Asesor de acceso de IAM, el Analizador de acceso y los informes de credenciales para revisar los roles de acceso a recursos, las pertenencias a grupos y el acceso a las aplicaciones empresariales. Los informes del Analizador de acceso y credenciales de IAM también pueden proporcionar registros para ayudar a detectar cuentas obsoletas o cuentas que no se han usado durante cierto tiempo.
Si usa Azure Active Directory (Azure AD) como proveedor de identidades para AWS, use la revisión de acceso de Azure AD para revisar periódicamente las cuentas con privilegios y los derechos de acceso.
Implementación de AWS y contexto adicional:
Guía de GCP: revise todas las cuentas con privilegios y los derechos de acceso en Google Cloud, incluidas las cuentas de Identidad en la nube, los servicios, los procesos de CI/CD, vm/IaaS, y las herramientas de administración y seguridad empresariales.
Use registros de auditoría en la nube y analizador de directivas para revisar los roles de acceso a recursos y las pertenencias a grupos. Cree consultas de análisis en el Analizador de directivas para saber qué entidades de seguridad pueden acceder a recursos específicos.
Si usa Azure Active Directory (Azure AD) como proveedor de identidades para Google Cloud, use la revisión de acceso de Azure AD para revisar periódicamente las cuentas con privilegios y los derechos de acceso.
Además, se puede configurar Azure AD Privileged Identity Management para enviar alertas cuando se cree un número excesivo de cuentas de administrador para un rol en particular, y para identificar las cuentas de administrador que hayan quedado obsoletas o que no estén configuradas correctamente.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
- Administración de identidades y claves
- Seguridad de las aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
PA-5: Configuración del acceso de emergencia
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
N/D | AC-2 | N/D |
Principio de seguridad: configure el acceso de emergencia para asegurarse de que no está bloqueado accidentalmente fuera de la infraestructura crítica en la nube (como su sistema de administración de identidades y acceso) en una emergencia.
Las cuentas de acceso de emergencia se deben usar muy rara vez y pueden ser muy perjudiciales para la organización si están en peligro, pero su disponibilidad para la organización también es fundamental para los pocos escenarios en los que se requieren.
Guía de Azure: para evitar que se bloquee accidentalmente fuera de la organización de Azure AD, configure una cuenta de acceso de emergencia (por ejemplo, una cuenta con rol de administrador global) para el acceso cuando no se puedan usar cuentas administrativas normales. Las cuentas de acceso de emergencia tienen normalmente privilegios elevados y no se asignan a usuarios específicos. Las cuentas de acceso de emergencia se limitan a situaciones "excepcionales" o de emergencia en las que no se pueden usar las cuentas administrativas normales.
Debe asegurarse de que las credenciales (como contraseña, certificado o tarjeta inteligente) de las cuentas de acceso de emergencia estén protegidas y solo las conozcan aquellas personas que estén autorizadas a usarlas solo en caso de emergencia. También puede usar controles adicionales, tales controles duales (por ejemplo, dividir la credencial en dos partes y darle a personas independientes) para mejorar la seguridad de este proceso. También debe supervisar los registros de inicio de sesión y auditoría para asegurarse de que las cuentas de acceso de emergencia solo se usan cuando se autorizan.
Implementación de Azure y contexto adicional:
Guía de AWS: las cuentas de AWS "raíz" no deben usarse para tareas administrativas normales. Dado que la cuenta "raíz" tiene privilegios elevados, no debe asignarse a individuos específicos. El uso debe limitarse solo a escenarios de emergencia o "emergencia" cuando no se pueden usar cuentas administrativas normales. Para las tareas administrativas diarias, se deben usar cuentas de usuario con privilegios independientes y asignar los permisos adecuados a través de roles de IAM.
También debe asegurarse de que las credenciales (como la contraseña, los tokens de MFA y las claves de acceso) para las cuentas raíz se mantienen seguras y solo se conocen para las personas autorizadas para usarlas solo en caso de emergencia. MFA debe habilitarse para la cuenta raíz y también puede usar controles adicionales, como controles duales (por ejemplo, dividir la credencial en dos partes y darle a personas independientes) para mejorar la seguridad de este proceso.
También debe supervisar los registros de inicio de sesión y auditoría en CloudTrail o EventBridge para asegurarse de que las cuentas de acceso raíz solo se usan cuando están autorizadas.
Implementación de AWS y contexto adicional:
Guía de GCP: Las cuentas de superadministrador de Google Cloud Identity no deben usarse para tareas administrativas normales. Dado que la cuenta de superadministrador tiene privilegios elevados, no debe asignarse a individuos específicos. El uso debe limitarse solo a escenarios de emergencia o "emergencia" cuando no se pueden usar cuentas administrativas normales. Para las tareas administrativas diarias, se deben usar cuentas de usuario con privilegios independientes y asignar los permisos adecuados a través de roles de IAM.
También debe asegurarse de que las credenciales (como contraseña, tokens de MFA y claves de acceso) para las cuentas de superadministrador se mantienen seguras y solo se conocen para las personas que están autorizadas a usarlas solo en caso de emergencia. MFA debe habilitarse para la cuenta de superadministrador y también puede usar controles adicionales, como controles duales (por ejemplo, dividir la credencial en dos partes y darle a personas independientes) para mejorar la seguridad de este proceso.
También debe supervisar los registros de inicio de sesión y auditoría en Registros de auditoría en la nube, o consultar el Analizador de directivas, para asegurarse de que las cuentas de superadministrador solo se usan cuando están autorizadas.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
- Seguridad de las aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
- Security Operations (SecOps)
PA-6: Uso de estaciones de trabajo con privilegios de acceso
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
12.8, 13.5 | AC-2, SC-2, SC-7 | N/D |
Principio de seguridad: las estaciones de trabajo protegidas y aisladas son fundamentalmente importantes para la seguridad de roles confidenciales, como el administrador, el desarrollador y el operador de servicio crítico.
Guía de Azure: use Azure Active Directory, Microsoft Defender o Microsoft Intune para implementar estaciones de trabajo de acceso con privilegios (PAW) locales o en Azure para tareas con privilegios. Las estaciones de trabajo de acceso con privilegios se pueden administrar de manera centralizada para aplicar una configuración segura, incluida la autenticación sólida, líneas de base de software y hardware, y acceso lógico y de red restringido.
También puede usar Azure Bastion, que es un servicio PaaS totalmente administrado por la plataforma, que se puede aprovisionar dentro de la red virtual. Azure Bastion permite la conectividad RDP/SSH a las máquinas virtuales directamente desde el Azure Portal mediante un explorador web.
Implementación de Azure y contexto adicional:
- Descripción de las estaciones de trabajo con privilegios de acceso
- Implementación de estaciones de trabajo de acceso con privilegios
Guía de AWS: Use Session Manager en AWS Systems Manager para crear una ruta de acceso (una sesión de conexión) a la instancia ec2 o una sesión del explorador a los recursos de AWS para tareas con privilegios. El Administrador de sesiones permite la conectividad RDP, SSH y HTTPS a los hosts de destino a través del reenvío de puertos.
También puede optar por implementar estaciones de trabajo de acceso con privilegios (PAW) administradas centralmente a través de Azure Active Directory, Microsoft Defender o Microsoft Intune. La administración central debe aplicar la configuración segura, incluida la autenticación segura, las líneas de base de software y hardware, y el acceso lógico y de red restringido.
Implementación de AWS y contexto adicional:
Guía de GCP: use Identity-Aware Proxy (IAP) Desktop para crear una ruta de acceso (una sesión de conexión) a la instancia de proceso para tareas con privilegios. IAP Desktop permite la conectividad RDP y SSH a los hosts de destino a través del reenvío de puertos. Además, las instancias de proceso de Linux que están orientadas externamente se pueden conectar a través de ssh en el explorador a través de la consola de Google Cloud.
También puede optar por implementar estaciones de trabajo de acceso con privilegios (PAW) administradas centralmente mediante Google Workspace Endpoint Management o soluciones de Microsoft (Azure Active Directory, Microsoft Defender o Microsoft Intune). La administración central debe aplicar la configuración segura, incluida la autenticación segura, las líneas de base de software y hardware, y el acceso lógico y de red restringido.
También puede crear hosts bastión para proteger el acceso a entornos de confianza con parámetros definidos.
Implementación de GCP y contexto adicional:
- Conexión segura a instancias de máquina virtual
- Conexión a máquinas virtuales Linux mediante Identity-Aware Proxy
- Conexión a máquinas virtuales mediante un host bastión
Partes interesadas de la seguridad del cliente (más información):
- Seguridad de las aplicaciones y DevSecOps
- Security Operations (SecOps)
- Administración de identidades y claves
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Principio de seguridad: siga el principio de administración just-enough (privilegios mínimos) para administrar los permisos en el nivel específico. Use características, como el control de acceso basado en roles (RBAC), para administrar el acceso a los recursos a través de asignaciones de roles.
Guía de Azure: use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los recursos de Azure mediante asignaciones de roles. Mediante RBAC, puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas, como la CLI de Azure, Azure PowerShell y Azure Portal.
Los privilegios que se asignen a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Los privilegios limitados complementarán el enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM), y esos privilegios deben revisarse periódicamente. Si es necesario, también puede usar PIM para definir una asignación con límite de tiempo, que es una condición en una asignación de roles en la que un usuario solo puede activar el rol dentro de las fechas de inicio y finalización especificadas.
Nota: Use los roles integrados de Azure para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.
Implementación de Azure y contexto adicional:
- ¿Qué es el control de acceso basado en rol de Azure (RBAC)?
- Configuración de RBAC en Azure
- Procedimiento para usar las revisiones de acceso e identidades de Azure AD
- Azure AD Privileged Identity Management: Asignación con límite de tiempo
Guía de AWS: Use la directiva de AWS para administrar el acceso a los recursos de AWS. Hay seis tipos de directivas: directivas basadas en identidades, directivas basadas en recursos, límites de permisos, directiva de control de servicios (SCP) de AWS Organizations, Access Control lista y directivas de sesión. Puede usar directivas administradas de AWS para casos comunes de uso de permisos. Sin embargo, debe tener en cuenta que las directivas administradas pueden tener permisos excesivos que no se deben asignar a los usuarios.
También puede usar AWS ABAC (control de acceso basado en atributos) para asignar permisos basados en atributos (etiquetas) asociados a recursos de IAM, incluidas las entidades de IAM (usuarios o roles) y los recursos de AWS.
Implementación de AWS y contexto adicional:
Guía de GCP: use la directiva de IAM de Google Cloud para administrar el acceso a los recursos de GCP a través de asignaciones de roles. Puede usar los roles predefinidos de Google Cloud para casos de uso de permisos comunes. Sin embargo, debe tener en cuenta que los roles predefinidos pueden tener permisos excesivos que no se deben asignar a los usuarios.
Además, use la inteligencia de directivas con el recomendador de IAM para identificar y quitar permisos excesivos de las cuentas.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
- Seguridad de las aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
- Administración de la posición
- Administración de identidades y claves
PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
---|---|---|
6.1, 6.2 | AC-4, AC-2, AC-3 | N/A |
Principio de seguridad: establezca un proceso de aprobación y una ruta de acceso para solicitar y aprobar solicitudes de soporte técnico del proveedor y acceso temporal a los datos a través de un canal seguro.
Guía de Azure: en escenarios de soporte técnico en los que Microsoft necesita acceder a los datos, use caja de seguridad del cliente para revisar y aprobar o rechazar cada solicitud de acceso a datos realizada por Microsoft.
Implementación de Azure y contexto adicional:
Guía de AWS: en escenarios de soporte técnico en los que los equipos de soporte técnico de AWS necesitan acceder a sus datos, cree una cuenta en el portal de soporte técnico de AWS para solicitar soporte técnico. Revise las opciones disponibles, como proporcionar acceso a datos de solo lectura, o la opción de uso compartido de pantalla para que aws admita el acceso a los datos.
Implementación de AWS y contexto adicional:
Guía de GCP: en escenarios de soporte técnico en los que la atención al cliente de Google Cloud necesita acceder a los datos, use la aprobación de acceso para revisar y aprobar o rechazar cada solicitud de acceso a los datos realizadas por cloud Customer Care.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):