La gestión de derechos de infraestructura en la nube (CIEM) es un componente fundamental de la seguridad en la nube. Nuestra guía profundiza en las complejidades de CIEM y explica su función en la gestión y el control del acceso de los usuarios a los recursos en la nube. Descubra las características clave de CIEM, sus ventajas a la hora de reducir el riesgo de violaciones de datos y accesos no autorizados, y cómo encaja en una estrategia holística de seguridad en la nube. Manténgase a la vanguardia y garantice la seguridad de su infraestructura en la nube con nuestros conocimientos expertos sobre CIEM.
Por qué es valioso el CIEM
Aproximadamente el 10 % de todas las violaciones de la ciberseguridad son ataques de ransomware centrados en la identidad en los que los actores maliciosos acceden a la red utilizando credenciales simples y válidas y luego amplían su acceso dentro de la red sin ser detectados.
En 2024, UnitedHealthcare sufrió una de las mayores violaciones de datos personales confidenciales de la historia, que posiblemente afectó a un tercio de todos los estadounidenses. En este ejemplo, los atacantes utilizaron credenciales comprometidas para acceder a escritorios remotos, acceder a gran cantidad de archivos normalmente cifrados y, a continuación, desplegar software de ransomware dentro de la red.
CIEM ofrece seguridad contra este tipo de ataques mediante la gestión de identidades, controles de acceso, supervisión continua y análisis avanzados para aplicar los principios de seguridad de red de confianza cero desde un recurso centralizado.
Cómo funciona CIEM
La gestión de permisos y la aplicación de derechos en una amplia cartera de entornos en la nube puede ser enormemente compleja. Las herramientas CIEM consolidan la gestión de los privilegios de los usuarios y supervisan las infracciones mediante las siguientes funciones básicas.
Detección y autenticación de usuarios
El primer paso para gestionar los privilegios de los usuarios es identificarlos con precisión. Las soluciones CIEM proporcionan información sobre todos los usuarios de las múltiples redes en la nube de una organización, ya sean internos, externos, humanos, no humanos o aplicaciones.
Las soluciones CIEM también requieren que todos los usuarios se autentiquen y, si no lo hacen, los eliminarán de los entornos en la nube. Existen varias formas comunes de autenticar a un usuario, como la simple verificación del nombre de usuario y la contraseña o la más compleja autenticación multifactorial (MFA).
Gobernanza y gestión de derechos
Una vez que se autentica al usuario, las soluciones CIEM utilizan análisis avanzados para realizar un seguimiento de los permisos y derechos de los usuarios, identificando los riesgos potenciales y recopilando información para informar la política de seguridad. El aprendizaje automático se puede utilizar para auditar los derechos de los usuarios con el fin de determinar si están sin usar, se utilizan en exceso o se utilizan correctamente, y compararlos con la estructura de gobernanza de seguridad y los controles de acceso predefinidos.
Por ejemplo, una empresa multinacional puede tener ciertas restricciones que impiden el acceso a determinados recursos a los usuarios de países específicos o con un determinado puesto de trabajo. Una solución CIEM puede evaluar los derechos de los usuarios en múltiples entornos de nube y proporcionar visibilidad de los derechos, informando a la organización de sus usuarios para que los gestionen de acuerdo con su estructura de gobernanza.
Aplicar un modelo de acceso con privilegios mínimos
Una característica común de las soluciones CIEM es la capacidad de crear y aplicar políticas dentro de su infraestructura y recursos en la nube, a menudo en consonancia con el modelo de seguridad Principio del privilegio mínimo (PoLP). La aplicación de la seguridad y el modelo PoLP buscan limitar o restringir completamente los permisos de los usuarios a los recursos en función de sus políticas de acceso. Desde el punto de vista funcional, esto reduce el riesgo de ataque de una empresa al minimizar los permisos excesivos.
En el ejemplo de una empresa multinacional con restricciones basadas en el país o el puesto, una herramienta CIEM puede aplicar políticas de seguridad como el acceso de solo lectura a determinados recursos para ciertos usuarios, al tiempo que mantiene el acceso de escritura para otros usuarios. Por ejemplo, es probable que un especialista en atención al cliente no deba tener acceso a la infraestructura de implementación de software. Se puede utilizar una herramienta CIEM para identificar estas inconsistencias en los permisos y aplicar limitaciones. Esto resulta especialmente ventajoso para mantener el cumplimiento normativo.
En caso de una violación basada en la identidad, los modelos PoLP limitan drásticamente la capacidad de un atacante para acceder o cambiar recursos críticos. La herramienta CIEM restringe su acceso a solo un pequeño segmento de los recursos de red de la empresa, limitado a las credenciales que utiliza un solo usuario.credenciales que están utilizando.
Supervisión y respuesta continuas
Los derechos de acceso a la nube cambian constantemente dentro de una organización, ya que los usuarios pueden necesitar realmente un acceso adicional a los recursos o se modifica el acceso a una aplicación. Las soluciones CIEM utilizan técnicas de análisis avanzadas, como el aprendizaje automático, para establecer la actividad de derechos de acceso de referencia de una empresa a lo largo del tiempo, lo que se conoce comúnmente como análisis del comportamiento de usuarios y entidades (UEBA).
El UEBA se puede utilizar para la supervisión y detección en tiempo real de anomalías de comportamiento, amenazas potenciales e incidentes de seguridad. En la mayoría de las soluciones CIEM, se dispone de paneles de control UEBA centralizados para la supervisión constante y la notificación de amenazas, e incluso se proporcionan medidas de respuesta a las amenazas.
Por ejemplo, un sistema CIEM puede detectar que el especialista de soporte mencionado anteriormente está intentando acceder a un recurso al que nunca ha accedido antes, a una hora del día en la que no suele estar activo. La herramienta CIEM podría entonces restringir todo el acceso de ese usuario hasta que se pueda revisar más a fondo su comportamiento para determinar su validez o nivel de amenaza.
Guía de mercados de la CNAPP
Obtenga información clave sobre el estado del mercado de CNAPP en esta guía de mercado de Gartner para plataformas de protección de aplicaciones nativas de la nube.
Guía de lectura¿Cuál es la diferencia entre IAM y CIEM?
¿Cuál es la diferencia entre PAM y CIEM?
Gestión de accesos privilegiados (PAM) también es diferente de CIEM. PAM es la metodología para gestionar el acceso a cuentas administrativas, superusuarios y otras cuentas con privilegios elevados comúnmente asociadas con recursos de TI internos. La PAM es similar a las metodologías IAM en que es un concepto amplio que permite la gestión del acceso privilegiado en todos los sistemas e infraestructuras de TI, incluidos los entornos locales y en la nube, mientras que la CIEM se centra exclusivamente en la gestión de derechos dentro de la infraestructura en la nube.
Aunque PAM y CIEM abordan diferentes aspectos de la gestión de accesos, las organizaciones suelen implementar estas soluciones de forma complementaria, lo que permite la existencia de cuentas con privilegios elevados al tiempo que se garantiza un control exhaustivo sobre dichas cuentas. Las plataformas CIEM pueden utilizarse para habilitar metodologías PAM y ampliar el acceso con privilegios elevados a un entorno multinube, al tiempo que se mantiene la visibilidad centralizada, la supervisión continua de los derechos y la respuesta a las amenazas específicas de estas cuentas y muchas otras.
¿Cuál es la diferencia entre IGA y CIEM?
La gobernanza y administración de identidades (IGA) es un subconjunto específico de IAM que se centra en la gestión de identidades y el acceso a los recursos en toda una organización de TI. Esta estructura de gobernanza se aplica a la incorporación y salida de empleados, así como al acceso específico por funciones, lo que está conceptualmente relacionado con las metodologías CIEM.
Sin embargo, la IGA se aplica a todos los recursos de TI, mientras que las partes de gobernanza y acceso de la CIEM son específicas solo de la infraestructura en la nube. Por ejemplo, las prácticas de IGA pueden incluir una estructura de gobernanza para el acceso con tarjeta de identificación en las instalaciones para un empleado específico, mientras que la gobernanza y el acceso de CIEM solo se aplicarían a los recursos en la nube a los que tienen acceso. Por supuesto, las normas de seguridad que impulsan tanto la estrategia de IGA como la de CIEM dentro de la empresa utilizarían la misma estrategia, pero IGA es un marco más amplio y holístico de gobernanza de identidades.
Conclusión | Seguridad en la nube mediante CIEM
Las soluciones de gestión de derechos de infraestructura en la nube proporcionan un marco para gestionar y supervisar el comportamiento de las identidades y los permisos de los usuarios en entornos complejos en la nube. A diferencia de los marcos de seguridad tradicionales, como IAM, PAM e IGA, las soluciones CIEM abordan específicamente los retos únicos de los entornos en la nube, proporcionando herramientas para supervisar, controlar, optimizar y gestionar los derechos a través de las redes en la nube de una organización.Las soluciones CIEM garantizan que las organizaciones dispongan de un control y una supervisión seguros del acceso mediante funciones como la detección de accesos, la autenticación y la gobernanza de usuarios, el análisis del comportamiento de usuarios y entidades (UEBA), la aplicación del acceso con privilegios mínimos y la supervisión centralizada. Esta capacidad es fundamental para cumplir con la normativa y contrarrestar los ciberataques, especialmente en los casos en que las credenciales comprometidas pueden conceder acceso no autorizado a recursos sensibles.
"Preguntas frecuentes sobre el CIEM
CIEM son las siglas de Cloud Infrastructure Entitlement Management (gestión de derechos de infraestructura en la nube). Se trata de una categoría especializada de soluciones de seguridad en la nube que gestiona identidades y derechos de acceso en entornos de nube. CIEM ayuda a las organizaciones a controlar quién puede acceder a qué en su infraestructura en la nube.
Se centra en la gestión de los derechos de acceso en configuraciones de nube múltiple e híbrida, y mantiene la visibilidad y el control.
CIEM es una solución de seguridad que gestiona los permisos y derechos en entornos de nube, garantizando que solo los usuarios y aplicaciones autorizados puedan acceder a los recursos. Proporciona visibilidad sobre quién tiene acceso a qué en configuraciones de una sola nube y de múltiples nubes.
CIEM le ayuda a implementar el principio del privilegio mínimo identificando los permisos excesivos y ajustando automáticamente los derechos de acceso.
CIEM aborda la enorme escala de permisos en la nube: una sola organización puede tener millones de permisos individuales en su entorno de nube. Sin una gestión adecuada, estos crean una enorme superficie de ataque que los atacantes pueden explotar.
Creemos que más del 90 % de las identidades privilegiadas utilizan menos del 5 % de los permisos que se les han concedido, lo que crea lo que se denomina la "brecha de permisos en la nube". CIEM ayuda a cerrar esta brecha y evita las infracciones causadas por permisos excesivos en la nube.
IAM se centra en la gestión de identidades en toda su suite tecnológica, mientras que CIEM se dirige específicamente a los proveedores de computación en la nube y sus requisitos únicos. El IAM tradicional se diseñó para entornos locales estáticos, pero la infraestructura en la nube es dinámica y efímera.
CIEM proporciona la visibilidad y el control granulares necesarios para entornos en la nube que cambian rápidamente, con funciones especializadas para gestionar derechos entre nubes y detectar comportamientos anómalos en contextos específicos de la nube.
CIEM detecta cuentas con permisos excesivos, identidades inactivas con privilegios permanentes y "superidentidades" con acceso ilimitado a los recursos de la nube. Identifica riesgos de acceso entre cuentas, cuentas huérfanas de antiguos empleados e identidades de máquinas que realizan actividades inusuales.
CIEM también detecta configuraciones incorrectas, vulnerabilidades de credenciales, como credenciales estáticas que no se han rotado, y comportamientos anómalos que podrían indicar que un atacante se está moviendo lateralmente a través de sus sistemas.
Comience por identificar todos los accesos de terceros y clasificar sus permisos actuales en todos los servicios en la nube. Supervise la integración de forma continua durante la implementación para garantizar la cobertura total de los derechos en la nube. Céntrese primero en la visibilidad: necesita conocer en profundidad quién tiene acceso a qué antes de poder realizar cambios.
Configure flujos de trabajo automatizados para la corrección y las alertas, y establezca políticas que minimicen los permisos de larga duración en favor del acceso justo a tiempo.
Debe considerar el CIEM cuando su organización depende en gran medida de los servicios en la nube u opera en entornos multinube. Es especialmente importante si está experimentando una rápida migración a la nube y necesita un mejor control sobre los derechos de acceso a la nube.
Las organizaciones de sectores altamente regulados, como las finanzas, la sanidad y la administración pública, suelen necesitar CIEM para cumplir los requisitos de conformidad. Si tiene dificultades para realizar un seguimiento de los permisos entre diferentes proveedores de nube o se enfrenta a una proliferación de permisos, CIEM puede ayudarle.
