El acceso con privilegios mínimos es crucial para un estrategia de seguridad de confianza cero, que establece que los usuarios, la aplicación y el dispositivo sólo deben tener el acceso y los permisos que necesitan para realizar su trabajo. Dado que la mayoría de las filtraciones de datos ponen en peligro el acceso con privilegios de alguna manera, la implementación del acceso con privilegios mínimos limita el riesgo de que una organización sufra filtraciones de datos y otros incidentes de seguridad.
La aplicación de los privilegios mínimos requiere la capacidad de restringir el acceso a los recursos corporativos en función de la función de un usuario, dispositivo o aplicación dentro de una organización. Los componentes clave de una estrategia de gestión de acceso con mínimos privilegios incluyen la autenticación de identidades, la segmentación y el seguimiento de la postura de seguridad del dispositivo.
#1. Autenticación de identidad
Limitar el acceso de los usuarios a lo que necesitan para su trabajo requiere saber quién es el usuario y cuál es su rol dentro de la organización. El primer paso para implementar el privilegio mínimo es autenticar firmemente a un usuario. A partir de ahí, las solicitudes de acceso de un usuario a los recursos corporativos se pueden aprobar o denegar en función de los controles de acceso basados en roles.
#2. Segmentación
Los controles de acceso solo son útiles si se aplican, lo que significa que las solicitudes pasan a través de un sistema de gestión de acceso. Aunque los permisos pueden gestionarse mediante los sistemas de permisos integrados en los dispositivos, este enfoque es complejo de gestionar y no es escalable. Una opción más escalable es segmentar la red y limitar el acceso a través de los límites de los segmentos. Del mismo modo, las redes privadas virtuales (VPN) amplían el acceso al segmento rojo a los trabajadores remotos.
Sin embargo, para implantar el acceso de mínimo privilegio en línea con los principios de confianza cero, una organización necesita la capacidad de crear límites de aplicación contra cada aplicación individual, base de datos, etc. Acceso de red Zero Trust (ZTNA) ofrece la posibilidad de hacerlo a escala sin necesidad de administrar sistemas de permisos independientes e integrados ni de permitir un amplio acceso a segmentos enteros de la red mediante una serie de cortafuegos de última generación (NGFW) y VPN.
#3. Postura del dispositivo
El acceso con privilegios mínimos no debe limitarse a las cuentas de usuario. Restringir el acceso de los dispositivos a los recursos corporativos puede ayudar a limitar los impactos de los dispositivos infectados.
Antes de permitir que los dispositivos se conecten a la red corporativa, deben ser inspeccionados para garantizar que cumplen las políticas de seguridad corporativas y que están limpios de infecciones. Esta inspección debe realizarse continuamente para evaluar el nivel de riesgo que presenta el dispositivo. El nivel de acceso permitido al usuario y al dispositivo puede entonces basarse en la postura de seguridad actual del dispositivo.
La implementación de privilegios mínimos puede tener beneficios significativos para una organización, entre los que se incluyen:
Se puede implementar y aplicar una política de administración de acceso con privilegios mínimos a través de estos pasos:
Las organizaciones pueden implementar el acceso con privilegios mínimos de varias maneras. Sin embargo, con el crecimiento de la computación en nube y el trabajo a distancia, las soluciones diseñadas para gestionar el acceso principalmente en la red on-prem son cada vez más ineficaces.
Secure Access Service Edge (SASE) proporciona la capacidad de implantar y aplicar políticas de seguridad de mínimos privilegios coherentes en todos los activos de una organización, tanto en sus instalaciones como en la nube. Las soluciones SASE incorporan la funcionalidad ZTNA, lo que garantiza que se apliquen políticas de seguridad con privilegios mínimos para todo el tráfico que fluye a través de la WAN corporativa. Además, las capacidades integradas de inspección de tráfico permiten a SASE detectar y bloquear el tráfico malicioso.
Harmony SASE de Check Point Permite a una organización IImplementación de acceso remoto Zero Trust a escala. Para obtener más información sobre cómo implementar privilegios mínimos en su organización, regístrese para obtener un Demostración gratuita.