Soluciones PAM para la gestíon de cuentas privilegiadas ?

Soluciones PAM para la gestíon de cuentas privilegiadas ?

La complejidad para la gestión de los recursos de TI ha ido aumentando paulatinamente a medida que se incorporan nuevos sistemas, servicios y plataformas. Con ello, también aumenta la cantidad de usuarios administradores que deben lidiar con los distintos componentes, sin mencionar que también en ocasiones de debe entregar accesos a proveedores o desarrolladores para acceder a una máquina de producción.

Antiguamente todo la gestión de infraestructura era controlada por el Administrador de Dominio, o Active Directory, a través de las cuentas privilegidas. Sin embargo, hoy en día los administradores deben gestionar otros recursos además de servidores como componentes de red, aplicaciones de bases de datos, paneles de administración Web, etc.

Cuando se trata de pocos equipos, no es problema. Pero cuando debes administrar 500 equipos entre 50 administradores, los riesgos de seguridad son altísimos, además de que se pierde visibilidad o registros de las acciones realizadas por cada individuo.

Soluciones PAM

Desde ya hace tiempo que las corporaciones más grandes están utilizando soluciones empresariales tales como CyberArk o BeyondTrust, sin embargo este tipo de plataformas son extremadamente complejas de implementar, ya que requieren de dispostivos físicos para operar, haciendo su uso limitado para grandes corporaciones como Bancos o similares. El cuadrante de Gartner:

Fuera del cuadrante de Garner, existe otro "mundo" de soluciones, tales como las plataformas Opensource Teleport y JumpServer, o bien las Saas de JumpCloud, ManageEngine y OneIdentity Cada una apunta a segmentos distintos de usuarios, por ejemplo:

  • Teleport está más enfocado en la gestión de Clusters de Kubernetes.
  • JumpCloud está más asociado a la administración de equpos de usuarios finales (desktops

Securden (solución)

Para la mayoría de los proyectos que hemos participado (principalmente de Gobierno), lo hemos hecho con la plataforma Securden, la cual provee de características como:

  • Simple de instalar. Fácil de administrar.
  • Se integra fácilmente con AD, LDAP y Radius.
  • Permite la integración con Yubikey y Duo Security, a través de las cuales se puede forzar la validación biométrica (huella digital).
  • Registro en video de las sesiones de usuarios (para auditoría).
  • Acceso a los servidores a través de Consola SSH Web, y RDP Web.
  • Políticas de notificaciones avanzadas (notificar cuando un usuario ejecuta alguna acción en la máquina XYZ).
  • Restricciones de comandos SSH (Usuario no puden ejecutar el comando `sudo rm`)
  • Compartir accesos a máquinas por X minutos
  • Etc.

Conclusión

Nuestro análisis arrojó que Securden es una excelente solución costo/beneficio. Es fácil de administrar y no requiere mucha experiencia.

Lo malo es que se debe instalar en una máquina de Windows Server, algo que hoy en día no es muy común, considerando que Linux y los contenedores son los líderes en materia de gestión de aplicaciones.