Cómo proteger y gestionar el acceso a la infraestructura de la nube

El acceso a la infraestructura ha cambiado a medida que los perímetros de TI pasaron de ser locales a virtuales y, ahora, en gran medida, a la nube. En medio de estos cambios y la mayor complejidad ambiental, un desafío común con el que luchan las empresas es cómo garantizar la seguridad para los ingenieros de DevOps y CloudOps sin interrumpir sus flujos de trabajo ni afectar la productividad.

Dentro de este blog abordaremos el ¿qué es el acceso a la infraestructura de la nube?, así mismo analizaremos quién, qué y cómo accede a la infraestructura.

¿Qué es el acceso a la infraestructura de la nube?

Pero ¿a qué nos referimos cuando hablamos de “acceso a la infraestructura de la nube”?

Cuando hablamos sobre la “infraestructura” puede evocar imágenes de un centro de datos de piso elevado, altas torres de servidores, kilómetros de cable y muchas luces parpadeantes. Si bien esta es una descripción precisa de la infraestructura, en el mundo actual los sistemas físicos y el acceso a ellos están abstraídos por el software. La infraestructura puede significar servidores locales, servidores en la nube, contenedores o una base de datos que acaba de crearse mediante infraestructura como código.

Así como la palabra infraestructura puede evocar varias imágenes aburridas, también lo pueden hacer las palabras “acceso a la nube”. Muchas organizaciones todavía viven en este viejo mundo de acceso, uno que improvisa soluciones VPN (a menudo muchas VPN), una infinidad de herramientas y, cuando están disponibles, una colección difícil de manejar de registros de auditoría y fuentes de auditoría.

¿Quién necesita la gestión del acceso a la infraestructura?

Las soluciones de gestión de acceso privilegiado (PAM) se han centrado tradicionalmente en los administradores de TI y el acceso de proveedores cuando se trata de proteger el acceso a los sistemas y proteger contra el exceso de privilegios. Antes de continuar, es importante enfatizar que estos usuarios y sus necesidades son tan importantes como siempre. En gran medida, estos usuarios han dejado las VPN para la conectividad y la expansión descontrolada de credenciales que alguna vez prevaleció.

Los desarrolladores y usuarios de operaciones en la nube están trabajando en algunas de las tecnologías más avanzadas disponibles, pero aún dependen de métodos de conectividad heredados, como las VPN. Con demasiada frecuencia, estos trabajadores aprovechan la TI en la sombra porque, para bien o para mal, cuando los desarrolladores intentan cumplir con los plazos de entrega, la velocidad puede superar a la seguridad.

Estos usuarios, que día tras día marchan al ritmo de lo ágil, están atrapados en un mundo poco ágil mientras se esfuerzan por lograr sprints y habilitar un panorama moderno de computación en la nube. El mundo moderno de los desarrolladores y los ingenieros de operaciones en la nube necesitan una solución dinámica y bajo demanda, que proporcione seguridad y no a costa de la productividad.

DevOps y otros usuarios están desdibujando las líneas y ampliando el perímetro de la tecnología de la información tradicional, pero a menudo quedan fuera de los canales normales de aprovisionamiento, des aprovisionamiento y ajuste de privilegios.

¿Para qué se utiliza el acceso a la infraestructura en la nube?

Los desarrolladores y los usuarios de operaciones en la nube tienen necesidades diferentes. Además de los sistemas locales, los desarrolladores y los ingenieros de operaciones en la nube trabajan cada vez más en plataformas en la nube, como AWS, Azure y GCP. Estos usuarios aprovechan tecnologías como terraform, Kubernetes, PuTTY y TOAD (solo por nombrar algunas) para realizar sus funciones laborales.

Estos usuarios necesitan “suficiente PAM” o PAM lite. En este caso, “ligero” no significa menos funciones o simplificación de forma negativa. Significa diseñado específicamente y fácil de usar.

¿Cuáles son los beneficios del acceso a la infraestructura en la nube?

Como ya vimos anteriormente, los desarrolladores y los ingenieron de operaciones en la nube todavía utilizan opciones de conectividad heredadas, como VPN, cuando se conectan a la infraestructura. Estas metodologías no han seguido el ritmo de las necesidades de flujo de trabajo de los usuarios ni de los requisitos de seguridad de las organizaciones. Estas tecnologías heredadas también pueden ser un gran obstáculo para aquellas organizaciones que intentan adoptar la confianza cero.

Un desafío común es que un usuario debe iniciar múltiples clientes VPN, todos los cuales otorgan un amplio acceso a la red (en contra de los principios de privilegio mínimo y confianza cero), incluso cuando solo se necesita un único dispositivo (o un pequeño subconjunto de dispositivos).

Además, las VPN tradicionales y otras herramientas de acceso heredadas carecen de un registro de auditoría centralizado y de una forma de agregar o eliminar fácilmente el acceso de los usuarios.

Si deseas obtener más información sobre las capacidades de acceso a la infraestructura en la nube, no dudes en contactarnos para obtener la información necesaria o incluso una demostración.

Fuente: BeyondTrust