¿Qué Identity Governance y Privileged Access Management tienen que ver con DevOps y la automatización de carga de trabajo?

Por diciembre 6, 2017

Las iniciativas que implican orquestación de servicios, automatización de lanzamientos, entrega continua y automatización de la carga de trabajo normalmente se ejecutan sin cuidado, lo que puede generar incidentes de seguridad y fallos operativos internos.

Imagine que todo lo que se automatiza depende de cuentas de servicio donde una aplicación accede a otra, como una base de datos, por ejemplo, siendo ejecutada por operadores que tienen cuentas privilegiadas para hacer un despliegue de una aplicación web.

¿Cuál sería el riesgo de que un operador tenga conocimiento de una contraseña de root de un servidor después de la implementación de un proyecto de DevOps?

Estas son algunas de las buenas prácticas que les recomiendo:

Con el apoyo de una herramienta de gobernanza de identidades:

  1. Realice un inventario de las cuentas privilegiadas;
  2. Realice una limpieza previa de cuentas huérfanas, cuentas con mucho privilegio, cuentas con accesos a recursos que no sean por medio de grupos o perfiles;
  3. Realice una recertificación de los accesos junto a los gestores de los activos (dueños de los servidores, servidores de aplicaciones o base de datos);
  4. Defina dentro de IT si existen reglas de segregación de función;
  5. Establezca una gobernanza continua de los accesos.

Luego, con el apoyo de una herramienta de gestión de accesos privilegiados:

  1. Se recomienda mapear las cuentas dentro de la caja fuerte;
  2. Quite el conocimiento de la contraseña del operador, guardando la contraseña en la caja fuerte;
  3. Active la auditoría y la grabación de los accesos;
  4. Defina las políticas de control de comandos;
  5. Ajuste las cuentas de servicio de las aplicaciones para que ellos rescaten de la caja fuerte.

Hecho esto, vamos a la implantación de los proyectos de DevOps y Automatización:

  • Cuando la tecnología permita, las herramientas de DevOps y Automatización pueden, por medio de APIs, rescatar la credencial para el uso en el ambiente de la empresa;
  • Cuando la tecnología no permita, una persona utilizará la herramienta de gestión de accesos privilegiados para obtener y registrar la credencial manualmente – en este punto, eventualmente con un factor múltiple de autenticación apoyando la seguridad;
  • Los accesos que no deben más ocurrir fuera de la automatización, deben ser removidos de los operadores.

Con eso, su proyecto será más efectivo y el riesgo de fraudes y fallos operativos en su operación disminuirá bastante.

Escrito por Alfredo Santos
Ayudando a los clientes a planificar y ejecutar sus iniciativas estratégicas de transformación digital
LinkedIn:  @alfredosantos