Under Attack?
Search
Menu
  • Blog
  • Cloud Security
  • Por qué los permisos de ‘función’ son tan peligrosos para tu entorno en la nube

Por qué los permisos de ‘función’ son tan peligrosos para tu entorno en la nube

By Eyal Araziseptiembre 17, 2021

This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso

Uno de los desafíos clave que enfrentan las organizaciones que operan en la nube es cómo controlar los permisos excesivos. Operar en la nube se trata de agilidad y flexibilidad. No obstante, el problema es que estos beneficios suelen tener un costo en la seguridad, y llevan a una proliferación de permisos innecesarios y excesivos en la nube.

Este webinar tiene como objetivo debatir el problema de los permisos excesivos en la nube y cómo mantenerlos controlados.

Moverse a la nube cambia tus límites de amenazas

El problema fundamental que tienen las organizaciones es lidiar con el hecho de que migrar a la nube cambia los límites de las amenazas.

En el ‘mundo antiguo’ de centros de datos físicos en las instalaciones, los recursos y administradores de la red se encontraban en la misma ubicación física o dentro de la misma red. En esos entornos, estaban protegidos contra las amenazas físicas, y la protección se centraba en las defensas perimetrales (como firewall, portal web seguro, WAF, etc.) contra las amenazas externas. Los administradores tenían un control total sobre sus recursos y, en los peores escenarios, si detectaban un problema, podían ir al servidor y desconectarlo, logrando así bloquear el problema.

El mundo de la nube pública es muy diferente. Las cargas de trabajo alojadas en la nube pública ahora son remotas. Todo el acceso se hace a través de una conexión remota que utiliza mecanismos y APIs provistos por el proveedor de alojamiento de la nube pública. Los administradores ya no tienen control físico sobre sus recursos, y todo el acceso a estos se realiza de manera remota. Sin embargo, los hackers, actores maliciosos y terceros no autorizados pueden acceder a esos mismos recursos utilizando los mismos protocolos, APIs y métodos de acceso estandarizados.

Por lo tanto, la seguridad de tu carga de trabajo está definida por quiénes tienen acceso, y qué acceso tienen. De hecho, esto significa que tus permisos son iguales a tu superficie de amenazas.

Une image contenant texte, périphérique, mètre, jauge Description générée automatiquement

La necesidad de velocidad lleva a los permisos excesivos

Operar en la nube se trata de agilidad y flexibilidad. La velocidad y conveniencia de usar la nube permiten nuevos recursos, expandir la capacidad de forma dinámica, implementar nuevos códigos y reducir el tiempo de comercialización.

Existen varias razones clave por las que los permisos excesivos son un problema tan grande en la nube:

  1. Las necesidades empresariales impulsan la actividad de la nube La transformación digital se trata de tiempos más cortos de lanzamiento al mercado, y la nube pública es un excelente propiciador. Operar en la nube se trata de agilidad y flexibilidad, y desde una perspectiva de TI, es donde “realmente comienza la acción” de la transformación digital. El problema es que, en el nombre de la conveniencia, los gerentes de TI se suelen concentrar en moverse rápido y no aseguran de manera apropiada sus entornos en la nube, por lo que dejan vulnerables tus cargas de trabajo y los datos de los clientes a la exposición y violación.
  2. Los usuarios con frecuencia no saben qué permisos necesitarán. Saben qué quieren lograr, pero podrían no tener una idea clara de todos los pequeños pasos que necesitarán para tener éxito. Como resultado, solicitan muchos más permisos de los que necesitan. En consecuencia, esto propaga un antecedente peligroso por el que las organizaciones otorgan credenciales con muchos más privilegios de lo que deberían, lo que genera el potencial de exponer las aplicaciones, las configuraciones alrededor de los entornos construidos y sus defensas de seguridad.
  3. Los administradores de la nube no quieren interponerse en las actividades comerciales Esta tendencia humana hace que los administradores tengan “mano suelta” a la hora de otorgar permisos.
  4. Otorgar permisos en la nube es fácil. Este es un tema clave porque explica por qué los permisos de la nube se pueden otorgar con tanta facilidad. Las operaciones en la nube se automatizan con frecuencia o se basan en scripts, que priorizan la velocidad y la facilidad de uso. Como resultado, es muy fácil otorgar permisos, por lo que los administradores suelen no pensarlo demasiado.

[¿Te gusta esta publicación? Subscríbete ahora para recibir el contenido más reciente de Radware en tu bandeja de entrada todas las semanas, además de acceso exclusivo al contenido Premium de Radware].

Si bien las razones exactas pueden variar entre las organizaciones, todas llevan al mismo lugar. Muchos permisos se otorgan sin necesidad. Cuando tienes tantos permisos otorgados, un porcentaje de estos puede usarse de manera incorrecta, dando lugar a infracciones a gran escala. Algunas de las principales causas de la exposición de datos son el otorgamiento excesivo de permisos, y privilegios que no se utilizan ni controlan, y que pueden conducir a vulnerabilidades de seguridad masivas.

La función de las ‘Funciones’ en los permisos excesivos

Uno de los tipos de permisos que ha demostrado ser un problema en particular son los permisos de las “funciones”. A diferencia de los permisos tradicionales de «usuario» y «grupo», que generalmente se asocian con usuarios físicos reales (o grupos de usuarios), los permisos de “función” son más flexibles, y se pueden asignar a un usuario, aplicaciones o servicios de manera dinámica. En efecto, según una investigación de Radware, aproximadamente el 80% de los permisos excesivos que se han observado en el entorno de la nube son permisos de ‘función’.

A diferencia de los permisos de los usuarios, que se suelen asociar con una sola persona, los permisos de función están destinados a ser asumidos, según sea necesario, por cualquier persona (o para cualquier tarea) que los necesite para esa sesión específica. Los permisos de función de la cuenta en la nube permiten delegar el acceso a los usuarios y servicios a los recursos de la nube para los que no suelen tener acceso.

Mientras que esto ofrece una gran flexibilidad, también cada uno de estos permisos muy flexibles, que puede ser asumido por una amplia variedad de personas y servicios, representa un gran desafío para la seguridad. La fluidez de estas funciones y la variedad de casos en los que se usan frecuentemente llevan a una proliferación de accesos que no son necesarios para las actividades de la empresa.

[También puede interesarte: Cómo una Organización Usó Radware para Bloquear su Nube Pública]

Permisos excesivos vigentes

Radware realizó un webinar recientemente en conjunto con AWS para debatir cómo funciona la identidad de la nube y la gestión de accesos (IAM), y cómo protegerse contra el uso incorrecto accidental y el abuso malicioso. El webinar también incluye un testimonio de Perion Network, uno de los clientes de la nube de larga data de Radware, acerca de cómo Radware ayudó a reforzar su acceso a la nube y afirmó su postura de seguridad en la nube.

Haz clic aquí para ver el webinar conjunto de Radware y AWS.

AWS and Radware Webinar

Posted in: Cloud Security Sin categorizarTags:

Eyal Arazi

Eyal is a Product Marketing Manager in Radware’s security group, responsible for the company’s line of cloud security products, including Cloud WAF, Cloud DDoS, and Cloud Workload Protection Service. Eyal has extensive background in security, having served in the Israel Defense Force (IDF) at an elite technological unit. Prior to joining Radware, Eyal worked in Product Management and Marketing roles at a number of companies in the enterprise computing and security space, both on the small scale startup side, as well as large-scale corporate end, affording him a wide view of the industry. Eyal holds a BA in Management from the Interdisciplinary Center (IDC) Herzliya and a MBA from the UCLA Anderson School of Management.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Contact Us Now

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center
Close

What are you looking for?