Este documento presenta los desafíos de seguridad para cuentas privilegiadas en ambientes de nube y recomienda seis casos de uso para protegerlas. Explica cómo la nube crea nuevos vectores de ataque al permitir cuentas no administradas y credenciales compartidas. Recomienda asegurar consolas de administración, infraestructura, llaves API, herramientas DevOps, flujos de código y cuentas SaaS mediante el aislamiento de sesiones, monitoreo y almacenamiento seguro de credenciales.
2. AGENDA
CyberArk - Perfil1.
Morfología de ataques Cibernéticos
• Cadena de ataque
2.
Asegurando Credenciales de Aplicaciones y Consolas en Nube
• Desafíos
• Vectores de Ataque común en PaaS/IaaS
• 6 Casos de Uso Recomendados para Proteger ambientes Nube
3.
Preguntas4.
Presentador
Enzo Paolo Gaggero
Senior Security Consultant
CyberArk
3. 3
#1 en Seguridad
de cuentas
privilegiadas
Asegurando
privilegios en mas del
50% del Fortune 100
Mas de 4500 clientes
19 Años en el desarrollo de la solución líder en gestión,
auditoria y monitoreo de credenciales
• Primera Bóveda, Primera en grabación, Primera en Análisis
• Mas de 400 Ingenieros y muchas patentes
4. 4The Forrester Wave: Privileged Identity Management, Q3 2016
FORRESTER ESTIMA QUE EL
80% DE LOS ATAQUES
AVANZADOS INVOLUCRAN
CUENTAS PRIVILEGIADAS
6. CYBERARK ROMPE LA CADENA DE ATAQUE
Acceso existente
Compromiso externo
On-Premises
Hybrid
Cloud
• Malware - Hackers
• Personal interno
• Proveedores externos
• Outsourcing
7. LOS ENTORNOS DE NUBE CREAN DESAFÍOS ÚNICOS
Las cuentas privilegiadas se encuentran en la coyuntura crítica en on-premises y la nube
• Las cuentas de la consola de administración controlan miles de máquinas.
• El control y la responsabilidad están restringidos porque la actividad está oculta a la vista tradicional.
La nube flexible y dinámica lleva a cuentas de alto volumen y no administradas
• Las máquinas nuevas se aprovisionan con un solo click ... creando nuevas cuentas de administrador que no
son administradas
• APIs y Scripts crean y eliminan máquinas que no requieren interacción del usuario
Cuentas privilegiadas no administradas en la nube pueden
generar interrupciones en el negocio y robo de información
8. 8IDC, “Worldwide Semiannual Public Cloud Services Spending Guide,” July 2017
IDC: EL SOFTWARE COMO
SERVICIO (SAAS) DOMINARÁ Y
CONSUMIRÁ CASI EL 60% DEL
GASTO EN LA NUBE PARA 2021.
9. 9
CONTROLES INTEGRALES SOBRE LA ACTIVIDAD PRIVILEGIADA
Asegure, rote y controle el
acceso a contraseñas
privilegiadas y claves SSH
Protección y
Rotación de Passwords
Evite el acceso directo a
los sistemas críticos y
aplique los mínimos
privilegios
Aislando y
Controlando
Sesiones
Implementar un monitoreo
continuo en todas las
cuentas con privilegios
Monitoreo
en tiempo real
10. POLÍTICAS DE SEGURIDAD DE PRIVILEGIOS EN TODA LA EMPRESA
CyberArk: Políticas de Seguridad Consistentes para todos los Ambientes
Como una mejor práctica, los CISOs
y los Líderes de TI desean aplicar
sistemáticamente las políticas de
seguridad de privilegios en su
infraestructura y entornos de
aplicaciones en evolución.
15%
29% 32%
12%
6% 4% 2%
0%
10%
20%
30%
40%
One Two 3 to 5 6 to 10 11 to 15 16 or
more
Don't
know
Porcentaje de empresas encuestadas
N = 498; base: Organizaciones utilizando o planeando usar Nubes públicas
Fuente: Gartner (Mayo 2016)
La Transformación
Digital está Acelerando
la Adopción de
Servicios en la Nube
Ambientes Híbridos Prevalecen
11. IAAS - SEGURIDAD EN LA NUBE ES UNA RESPONSABILIDAD COMPARTIDA
Responsables de la Seguridad:
• Seguridad De la Nube – AWS, Azure, etc.
• Seguridad En la Nube – Tú / La Empresa
Datos de privados/clients/Etc
Aplicaciones Identidades
Access
Mgmt.
OS Red Firewall
Cifrado del lado del
cliente
Protección de Red
Cifrado del
lado del
servidor
Cómputo Almacenamiento Red
Infraestructura Global / Regiones / Infraestructura Física
Seguridad
en la nube
Seguridad
de la nube
Source: AWS, CyberArk
Consola
pública de
administración
La Seguridad
es una
responsabilidad
compartida
12. ¿CUÁL ES EL MODELO DE ATAQUE A LOS PROCESOS EN LA NUBE?
• Ejemplos de vulnerabilidades potenciales y modelo de amenazas que se deben considerar
API KEYS ROBADAS DE
REPOSITORIOS PÚBLICOS
LIBERACION DE
APLICACIONES
INSEGURAS CI / CD PIPELINE
ATACANTES OBTIENEN ACCESO
A NUEVAS INSTANCIAS
COMPUTE | STORAGE | NETWORK
CUSTOMER DATA
APLICACIONES Y DATOS DE CLIENTES
COMPROMETIDOS
ENTERPRISE
USERS | ROLES | KEYS | SECRETS
CSP
ABUSO DE CREDENCIALES
COMPROMETIDAS DE CONSOLAS DE
ADMINISTRACIÓN CLOUD
14. LOS RIESGOS SON REALES…
QUE PASO?
AWS
Access Key
RESUTADO?
¡Solo se necesita una credencial privilegiada para hackear un centro de datos!
15. Desafíos al proteger credenciales
Otorgar acceso a datos corporativos.
Usadas por HR, fuera de TI.
Compartidas y sin cambios.
Implicaciones
Proliferación de credenciales, amplia superficie
de ataque.
Accesos no detectados a datos por largos
periodos de tiempo.
Difícil de auditar accesos legítimos.
Administradores SaaS
Usuarios finales:
Employees, Contactors,
Partners, Former Employees!
SALES OPS HR MARKETING OPS EXECUTIVE
ADMIN
ADMIN CONSOLES
SAAS - ASEGURANDO CREDENCIALES DE APLICACIONES
16. IAAS / PAAS
Gartner “Market Guide for Privileged Access Management” by Felix Gaehtgens, Amnol Singh, Dale Gardner, Agosto 22, 2017
Fallas en la Administración de Privilegios
18. CASOS DE USO PARA PROTEGER AMBIENTES DE NUBE
Casos de uso crítico a considerar
Políticas corporativas de seguridad
1. Proteger Consolas de administración
2. Proteger la infraestructura de la nube de su organización
3. Proteger llaves de acceso y APIs
4. Asegurar Consolas de administración DevOps y Herramientas
5. Proteger flujos de código en ambientes DevOps
6. Proteger cuentas de administración para aplicaciones SaaS
19. 1- PROTEGER LA CONSOLA/PORTAL DE ADMINISTRACIÓN DE LA NUBE
• Pasos básicos para proteger las “llaves al reino en la nube”
• Operaciones y configuración
• Seguridad / Autenticación
• Facturación
Buenas Practicas:
1. Tratar todas las cuentas de administración de consolas
Cloud como cuentas privilegiadas.
2. Asegurar Cuentas root con acceso MFA.
20. 2. PROTEGER LA INFRAESTRUCTURA DE LA NUBE DE SU ORGANIZAC.
Beneficio
Cómputo bajo
demanda
Problema
Credenciales no
aseguradas
Solución
Utiliza REST APIs para
automatizar
Herramientas de
automatización crean
nuevos servidores y
recursos dinámicamente
Se crean nuevas
credenciales, pero no se
aseguran
Automatizar el resguardo de
credenciales cuando nuevos recursos
son creados
Credential
Provider
New Virtual Servers
with Secured Credentials
Use REST API to Secure
and Access Credentials
Secure Digital
Vault
Spin Up A New
Virtual Server
PROVISIONING
TOOLS
21. 3. ASEGURAR LLAVES DE ACCESO DE API
Las llaves de acceso de
API se utilizan ampliamente
para operaciones de
automatización y operación
en entorno de la nube.
Ejemplos: detener o iniciar un
servidor, aprovisionar un contenedor o
incluso borrar una base de datos
Buenas Practicas:
1. Elimine todas las claves y secretos de API incrustados en scripts,
herramientas de automatización, etc.
2. Nunca proporcione a los usuarios humanos acceso directo a las llaves
de API.
3. Proteja todas las llaves API en una bóveda digital segura, permitiendo
solo Usuarios autorizados y aplicaciones para acceder a ellos y
auditarlos.
22. PROTECCIÓN DE CREDENC. Y SECRETOS PARA PROCESOS DE NUBE
• Elimina contraseñas y secretos del código en procesos de automatización.
UserName = “app”
Password = “y7qeF$1”
Host = “10.10.3.56”
ConnectDatabase(Host, UserName, Password)
ANTES:
Secure
Storage
Password
Rotation
“app”
Username = GetUserName()
Password = GetPassword()
Host = GetHost()
ConnectDatabase(Host, Username, Password)
DESPUES:
Procesamiento
de órdenes
CRM
Script con APIs
Applicaciones
en la nube
Aplicaciones
Recursos de la
empresa
Aprobación
de créditos
Bases de datos
de clientes
Contraseñas y secretos en
código - Vulnerabilidad
Contraseñas y secretos
protegidos en el Vault
23. INSTALAR AUTOMÁTICAMENTE NUEVAS INSTANCIAS
Recuperar Clave de
administrador Azure
(AIM)
Aprovisionamiento automático de nuevas máquinas Windows y Linux con Cuentas
con privilegios en la Bóveda Digital a través de CyberArk API y CyberArk AIM
La misma API se puede implementar para eliminar automáticamente las
contraseñas desde la Bóveda cuando se elimina la instancia.
Provisioning
Script
Windows
Unix/Linux
INSTANCIAS EN NUBE
Vault
Almacenamiento
Seguro
Rotación de
Contraseñas y llaves
SSH
*****
Nueva instancia Aprovisionada
2
Windows
1
Get Password (AzureAdmin)
New-AzureRmVM ()
Get Password (AzureAdmin)
3
Aprovisionamiento
Cuenta privilegiada
(API)
New-AzureRmVM ()
Provision New Privileged Account ()
24. 4. ASEGURAR CONSOLAS DE ADMINISTRACIÓN DEVOPS Y OTROS
Buenas Practicas:
1. Acceso seguro a todas las cuentas de administrador
de herramientas y consolas
2. Aplicar políticas de seguridad consistentes, bajo una
política corporativa común
3. Continuamente realizar auditorias para aprender y
mejorar la seguridad de la organización.
25. 5. PROTEGER FLUJOS DE CÓDIGO EN AMBIENTES DEVOPS
Buenas Practicas:
1. Elimine todos los secretos, llaves y credenciales del código fuente,
configuración, etc., y centralizar el acceso en una bóveda digital segura.
2. Aplicar los principios de mínimo privilegio
3. Monitorear, controlar y rotar credenciales de acuerdo a políticas.
4. Soporta ambientes dinámicos, Asegurando credenciales
automáticamente cuando nuevas instancias son creadas.
5. Evite demoras y frustraciones al incluir seguridad en el Inicio del
proceso de desarrollo. Sea proactivo, no espere para actualizar la
seguridad ya que el nuevo código está programado para entrar en
producción.
6. Auditar todo para aprender y mejorar continuamente.
Asegurar solo las consolas de
DevOps no es suficiente para
proteger el flujo. La otra área crítica
que debe asegurarse es el código
que "fluye" a través de los procesos
de DevOps.
Los entornos empresariales en la
nube generalmente se basan en un
gran número de credenciales de
aplicaciones y claves de acceso
para ejecutar aplicaciones, scripts,
bases de datos, servidores, etc.
26. 6. PROTEGER CUENTAS DE ADMINISTRACIÓN PARA APLICACIONES SAAS
Buenas Practicas:
1. Trate las cuentas administrativas para aplicaciones
SaaS como Cuentas privilegiadas y aplique todos los
principios de cuentas privilegiadas para acceder a ellas.
2. Siempre que sea posible, aproveche los grupos de AD
para aprovisionamiento / desaprovisionamiento del
acceso a la consola SaaS, de tal forma que se elimine
automáticamente cuando los empleados dejan el
organización.
3. Aplicar aislamiento de sesión, monitoreo y grabación
para Aplicaciones empresariales sensibles como sistemas
de nómina, etc.
UNA VARIEDAD DE USUARIOS ACCEDE
A LAS CUENTAS DE ADMINISTRADOR
PARA LAS APLICACIONES DE SAAS
28. ACERCÁNDOSE A LA SEGURIDAD CON UNA COMPRENSIÓN MÁS
PROFUNDA DE LOS DESAFÍOS ÚNICOS DE LA NUBE
Claramente, moverse a la nube puede traer importantes beneficios comerciales, pero también expande la
superficie de ataque permitiendo desprotegidos privilegios, credenciales y secretos para convertirse en
vulnerabilidades de seguridad.
Los ambientes híbridos deben ser protegidos.
Las políticas de seguridad deben aplicarse de manera consistente.
CyberArk puede ayudar a las organizaciones en su viaje/movimiento a la nube de forma segura.
LAS ORGANIZACIONES QUIEREN POLÍTICAS DE SEGURIDAD CORPORATIVAS