El primer paso para gestionar de forma segura la identidad en la nube pasa por proteger las identidades con privilegios más elevados. En este sentido, las soluciones de Seguridad de las Identidades de CyberArk permiten aplicar las mejores prácticas de seguridad de AWS para respaldar la gestión segura de identidades en la nube.
1. Para usuarios root recomendamos tomar medidas de seguridad adicionales. Las credenciales para el usuario root de su cuenta de AWS otorgan acceso completo a todos sus recursos para todos los servicios de AWS. Y como no se pueden reducir los permisos asociados con el usuario root de su cuenta de AWS, es importante protegerlo.
2. Para el resto de usuarios aconsejamos crear una identidad individual y otorgar a cada usuario un conjunto único de credenciales de seguridad. También es posible proporcionar diferentes permisos a cada usuario, y si es necesario, cambiar o revocar esos permisos.
3. Use grupos de usuarios para asignar permisos de identidad. En vez de definir permisos para usuarios individuales es más conveniente crear grupos de usuarios relacionados con las funciones a desarrollar. Después, definir los permisos relevantes para cada grupo y asignar usuarios individuales a esos grupos.
El primer paso para gestionar de forma segura la identidad en la nube pasa por proteger las identidades con privilegios más elevados
4. Otorgar privilegio mínimo. Al crear políticas de acceso e identidad, aconsejamos otorgar el mínimo privilegio o conceder sólo los permisos necesarios para realizar una tarea. Además de determinar lo que los usuarios (y roles) deben hacer y diseñar políticas concretas para realizar sólo esas tareas.
5. Habilite la autenticación multifactor. Para una mayor seguridad es mejor requerir autenticación multifactor (MFA) para todos los usuarios de la cuenta. Con MFA, los usuarios deben responder a una pregunta o a elementos adicionales para obtener el acceso.
6. Configure una política de contraseña segura para sus usuarios, un proceso que puede automatizarse para ahorrar tiempo y aumentar la seguridad.
7. Supervise todos los accesos y aísle los permisos. Las mejores prácticas incluyen descubrir y administrar cuentas privilegiadas y credenciales continuamente. Puede elegir monitorizar sesiones confidenciales, para buscar actividades de riesgo en todos los entornos, o aislar esas sesiones.
8. Cambie las credenciales regularmente y asegúrese de que todos los usuarios de su cuenta lo hacen también. Es importante alternar las credenciales con frecuencia, dependiendo de la criticidad del acceso y de los datos. De esa forma, si una contraseña o acceso clave está comprometida, es posible limitar el tiempo de uso de las credenciales para acceder a los recursos.
9. Elimine las credenciales innecesarias y reevalúe continuamente niveles de permisos de las credenciales existentes y elimine permisos innecesarios, además de eliminar la identidad de las credenciales de usuario de AWS (contraseñas y claves de acceso) que no son necesarias.
10. No comparta secretos, especialmente claves de acceso no humano y Secure Shell (SSH). No incruste claves de acceso sin cifrar ni comparta estas credenciales de seguridad entre los usuarios de su cuenta AWS. Para las aplicaciones que necesitan acceso a AWS, configure el programa para recuperar credenciales de seguridad temporales utilizando una identidad y una función de acceso.
11. Supervise la actividad en su cuenta de AWS. Para ello, puede utilizar las funciones de registro en AWS para determinar las acciones que los usuarios han realizado en su cuenta y los recursos que se utilizaron.
Más información: www.cyberark.com
