RESUMEN SOBRE LA SOLUCIÓN ¿Cómo puedo proteger las credenciales privilegiadas en los centros de datos tradicionales y virtuales, las nubes privadas y públicas, y los entornos híbridos? RESUMEN SOBRE LA SOLUCIÓN CA DATABASE MANAGEMENT FOR DB2 FOR z/OS La administración y protección de las credenciales privilegiadas es fundamental para reducir el riesgo y abordar los requisitos de cumplimiento. Las organizaciones deben evaluar las soluciones de administración de contraseñas privilegiadas para la profundidad de los controles, el alcance de la cobertura y el grado de alineación de los servicios en la nube que proporcionan. CA Privileged Access Manager ofrece servicios para estas tres dimensiones, ya que proporciona una solución de próxima generación para la administración de credenciales privilegiadas que impulsa la reducción del riesgo de TI, mejora la eficiencia operativa y protege la inversión de una organización respaldando la infraestructura de nube tradicional, virtualizada e híbrida por igual. 3 | Resumen sobre la solución: Cómo puedo proteger las credenciales privilegiadas en los centros de datos tradicionales y virtuales ca.com/ar Resumen ejecutivo Reto La virtualización y la adopción de la computación en la nube están elevando la importancia y complejidad de un viejo problema: la administración y protección eficaz de las contraseñas de cuentas privilegiadas. La administración de las contraseñas privilegiadas en toda la infraestructura tradicional (adaptadores de red, servidores, mainframes, etc.) es un problema de larga data que compromete la seguridad y el cumplimiento. Para complicar aún más las cosas, está la multitud de credenciales privilegiadas que se codifica en las aplicaciones. Ejemplos de estas credenciales son los pares de claves SSH y las claves codificadas por PEM que se utilizan para acceder a los recursos de Amazon Web Services (AWS). Oportunidad La protección eficaz de las credenciales privilegiadas en toda la empresa híbrida puede ayudar a una organización a mitigar el riesgo de explotación ocasionado por ataques externos y personal interno malintencionado. En este resumen se explica por qué las organizaciones que adoptan la administración del acceso con privilegios ahora tienen una oportunidad que les ofrece servicios para las 12 capacidades imprescindibles, a fin de reducir el riesgo ocasionado por auditorías fallidas y violaciones del cumplimiento, la pérdida de datos de alto valor y la interrupción de servicios costosos, que a su vez pueden ocasionarse por la falta de protección de las cuentas privilegiadas. Beneficios CA Privileged Access Manager proporciona un conjunto completo de controles para la protección y administración de todo tipo de credenciales para todo tipo de recursos, donde quiera que se encuentren y de una manera que se adapta a los entornos de nube híbrida actuales, permitiendo a las organizaciones conseguir una mayor reducción en el riesgo, el costo de propiedad y la carga de trabajo operativo de lo que es posible con enfoques alternativos que no proporcionan profundidad de los controles, amplitud de la cobertura y alineación con la computación en la nube comparables. 4 | Resumen sobre la solución: Cómo puedo proteger las credenciales privilegiadas en los centros de datos tradicionales y virtuales ca.com/ar Sección 1: Fundamentos de la administración de contraseñas privilegiadas Las contraseñas de usuario con privilegios (en adelante, “contraseñas privilegiadas”) se distinguen de las contraseñas de usuarios finales ordinarias por el hecho de que sirven como puerta de acceso uniforme a los recursos más sensibles de una organización, es decir, cuentas administrativas (p. ej., administrador, raíz, SYS y sa) y capacidades asociadas que se utilizan para configurar y controlar la infraestructura de TI de una organización. Si se considera el riesgo que implica, es bastante obvio que administrar y proteger dichas credenciales es importante (un punto, por cierto, que es validado por los numerosos conjuntos de requisitos asociados codificados en las normas y los reglamentos de seguridad comúnmente invocados, como la publicación especial NIST 800-53 y la norma relativa a la seguridad de los datos del sector de las tarjetas de pago [PCI-DSS]). Si dejamos los requisitos reglamentarios a un lado, la administración de contraseñas privilegiadas no solo es una buena práctica desde una perspectiva de administración de riesgos, sino también esencial para la superación de la interminable lista de prácticas inseguras comunes en las organizaciones actuales. Las contraseñas que son débiles, obsoletas o están expuestas (p. ej., porque se guardan en un post-it o en una hoja de cálculo), tener demasiadas contraseñas, compartir contraseñas, no tener una atribución clara de las cuentas compartidas, no tener opción para una autenticación fuerte y no tener opción para la revocación centralizada son solo algunos de los problemas que encontramos habitualmente. Según el reporte de investigaciones de brechas de datos de Verizon de 2015, el 95% de las violaciones podría haber sido ocasionado por el robo de credenciales, mientras que el otro 10% fue el resultado del uso inadecuado de las credenciales por parte de usuarios de confianza.1 Sin embargo, el verdadero problema es la posibilidad de que alguna de estas condiciones conduzca a un ataque de suplantación de identidad focalizado, ataques dirigidos a destinatarios específicos y, en última instancia, al robo de datos, sin mencionar las violaciones del cumplimiento. ¿Necesita pruebas? Según el reporte de investigaciones de brechas de datos de Verizon de 2015, el 95% de las violaciones podría haber sido ocasionado por el robo de credenciales, mientras que el otro 10% fue el resultado del uso inadecuado de las credenciales por parte de usuarios de confianza.1 Este tipo de hallazgo deja muy claro por qué las organizaciones actuales necesitan aprovechar las ventajas de una solución de clase empresarial, como CA Privileged Access Manager, para la administración de credenciales privilegiadas, la protección y el control del acceso. El impacto de la nube híbrida Los problemas tradicionales que se mencionaron anteriormente son solo la punta del iceberg. Si se consideran las atractivas ventajas de las configuraciones de nube híbrida en cuanto a costos, adaptabilidad y capacidad de respuesta, donde los servicios y las aplicaciones de TI utilizan la infraestructura tradicional y virtualizada que abarca los centros de datos empresariales y los centros de datos en la nube, la adopción generalizada es inevitable. No obstante, junto con todos sus beneficios, las nubes híbridas también introdujeron varios nuevos desafíos para la administración de contraseñas privilegiadas, como los siguientes: • Mayor volumen/escala, ya que debido a las demandas operativas y a la facilidad de instalación de máquinas virtuales cada vez son más las entidades que requieren acceso privilegiado (y, por lo tanto, contraseñas privilegiadas). • Mayor alcance, ya que el poder de virtualización concentrado y las consolas de administración en la nube agregan un nuevo tipo de recurso/cuenta con privilegios a la mezcla. • Mayor dinamismo, ya que los nuevos servidores/sistemas pueden agregarse a pedido, por no decir a granel (p. ej., 10, 20 o más a la vez). • El potencial para crear islas de identidad, ya que cada diferente servicio en la nube tiene su propia tienda de identidad e infraestructura.2 5 | Resumen sobre la solución: Cómo puedo proteger las credenciales privilegiadas en los centros de datos tradicionales y virtuales ca.com/ar Más allá de los desafíos que la nube híbrida presenta, los administradores de seguridad de TI también deben considerar otros dos aspectos del problema de la administración de contraseñas privilegiadas al momento de evaluar posibles soluciones. En primer lugar, deben responder por los escenarios máquina a máquina o aplicación a aplicación (A2A), donde las contraseñas utilizadas por un sistema o una aplicación para acceder a otro sistema u otra aplicación están codificadas en la aplicación que accede o aparecen disponibles en un archivo de configuración de texto sin formato. El segundo elemento a considerar es el hecho que a menudo se pasa por alto de que la mayoría de las organizaciones también pueden tener miles de claves (p. ej., para las implementaciones de SSH) que, aunque no son tradicionales, las contraseñas de frase, siguen funcionando como credenciales de autenticación para cuentas privilegiadas y, por lo tanto, todavía requieren administración y protección para reducir los riesgos asociados. El resultado neto es que, en la era de la nube híbrida, la administración de contraseñas privilegiada es ahora más importante y compleja que nunca. Sección 2: La solución de CA Technologies para la administración del acceso con privilegios CA Privileged Access Manager es una solución integral para la administración del acceso con privilegios. Como tal, además de poder controlar el acceso y monitorear y registrar las actividades de los usuarios privilegiados en los entornos de nube híbrida, CA Privileged Access Manager también incorpora capacidades imprescindibles de una solución de próxima generación para la administración de contraseñas privilegiadas. De hecho, es importante que los equipos de seguridad de TI reconozcan que, si bien administrar y proteger contraseñas es de por sí valioso, también es el medio para un fin mayor. En particular, es el paso inicial (o complementario) en el proceso más amplio e igualmente importante de realmente controlar y administrar el acceso a los recursos de alto riesgo. Si la distinción aquí parece sutil, es en gran parte porque, en la práctica, las implementaciones funcionales de los mecanismos de autenticación (es decir, las contraseñas) y el control de accesos rara vez se involucran uno sin el otro, y por lo tanto, a menudo se mezclan en nuestras mentes. En cualquier caso, los objetivos de diseño para las capacidades de administración de contraseñas privilegiadas incluidas dentro de CA Privileged Access Manager son los mismos que los que se aplican en el resto de la solución. En concreto, nuestro objetivo es ofrecer una solución que no solo proporcione un conjunto completo de controles y capacidades para un amplio conjunto de objetivos y casos de uso, sino que también lo haga de una manera compatible con opciones de entrega, prácticas y arquitecturas basadas en la nube. Controles integrales Cuando se trata de evaluar las soluciones de administración de contraseñas privilegiadas, recomendamos que primero se fije si la solución incorpora un conjunto completo de controles para ayudar al equipo de seguridad a superar los riesgos que suponen los enfoques tradicionales para la creación, administración y uso de credenciales administrativas sensibles. Las áreas específicas que se deben analizar incluyen el descubrimiento, el almacenamiento, la aplicación de políticas, la recuperación y la capacidad de soportar una evolución fluida hacia la implementación de una administración del acceso con privilegios con funciones completas. 6 | Resumen sobre la solución: Cómo puedo proteger las credenciales privilegiadas en los centros de datos tradicionales y virtuales ca.com/ar Sección 3: 12 capacidades imprescindibles para la administración del acceso con privilegios Núm. 1 Descubrimiento automatizado/facilitado Sin un medio para el descubrimiento automatizado o facilitado, el proceso de llevar las contraseñas privilegiadas hacia la administración puede ser costoso, sin mencionar que esté plagado de errores u omisiones que dejen el entorno informático de una organización vulnerable a los ataques sofisticados de hoy. Por esta razón, CA Privileged Access Manager incluye una variedad de métodos para el descubrimiento de dispositivos, sistemas, aplicaciones, servicios y cuentas, e incluso aprovecha las asociaciones de puertos conocidos, la información de directorio, las consolas de administración y las interfaces de programación de aplicaciones. P. ej., CA Privileged Access Manager aprovecha las interfaces de programación de aplicaciones disponibles para la virtualización y las soluciones de administración en la nube compatibles a fin de alertar a los administradores cuando se crean nuevas máquinas virtuales. Además, la solución simplifica la importación masiva de listas del sistema desde archivos de texto, y la confección de entradas ad-hoc a través de la consola de administración. Por último, también es importante entender que “mediante el diseño” elegimos evitar técnicas de descubrimiento más perjudiciales (y potencialmente más riesgosas) que requieren agentes basados en objetivos que enganchen o calcen la pila TCP local. Núm. 2 Almacenamiento seguro Un almacenamiento cifrado ofrece un punto de control centralizado y es la clave para eliminar los métodos de almacenamiento inseguros (como las hojas de cálculo) que hacen que sea fácil de compartir y ponen en peligro las credenciales. El almacenamiento de CA Privileged Access Manager ofrece seguridad para las credenciales, una solución alineada con el nivel 1 de FIPS 140-2 que aprovecha el cifrado de bits AES 256 a fin de almacenar de manera segura todo tipo de credenciales, no solo las contraseñas. Estas son algunas otras características atractivas de la solución: • La posibilidad de aprovechar módulos de seguridad de hardware (HSM) integrados, como el de SafeNet y Thales, para alinear con el nivel 2 o el nivel 3 de FIPS 140-2 se incluye una implementación. Esto es particularmente importante para clientes y casos de uso adversos de riesgo y alto perfil, como aquellos implicados con los sistemas financieros y bancarios donde se desean almacenar las claves utilizadas para cifrar las credenciales por separado de las credenciales cifradas. Existen múltiples opciones de implementación compatibles, incluidos los dispositivos de hardware de CA Privileged Access Manager con las tarjetas PCI a bordo, los dispositivos virtuales de CA Privileged Access Manager que realizan llamadas a dispositivos HSM conectados a la red y los dispositivos de CA Privileged Access Manager de uno u otro tipo que realizan llamadas a una oferta de “HSM como un servicio”. • Las rutinas de la criptografía de caja blanca probadas protegen las claves de cifrado mientras están en uso (es decir, en la memoria) en un sistema. Este enfoque está diseñado para evitar que los hackers obtengan o reconstruyan claves monitoreando las interfaces de programación de aplicaciones criptográficas estándar y la memoria y superando las alternativas inferiores basadas en procesamiento de fragmentos de claves o una simple ofuscación. La inclusión de esta tecnología es particularmente importante para los casos de uso A2A, donde el sistema de acceso también debe “almacenar” credenciales y hay más posibilidades de que se ponga en peligro al sistema (p. ej., debido a que se encuentra en una ubicación relativamente expuesta). 7 | Resumen sobre la solución: Cómo puedo proteger las credenciales privilegiadas en los centros de datos tradicionales y virtuales ca.com/ar Núm. 3 Cumplimiento de las políticas automatizado CA Privileged Access Manager automatiza la creación, el uso y el cambio de contraseñas eliminando así la tendencia a volver a utilizar contraseñas o confiar en contraseñas que son débiles (y fáciles de recordar). Con CA Privileged Access Manager, se pueden establecer políticas flexibles para reforzar la complejidad de las contraseñas, implementar requisitos de cambio, como cambiar las contraseñas después de un determinado período de tiempo (p. ej., diariamente o semanalmente), o en respuesta a un evento específico (p. ej., después de cada uso), y gobernar el uso (p. ej., permitir el acceso exclusivamente durante períodos de tiempo especificados o solicitar autorizaciones dobles/múltiples para el acceso con contraseña). Ya que estas políticas se pueden aplicar de una manera jerárquica y a grupos de recursos de destino, no solo se pueden adaptar diferentes requisitos y capacidades a diferentes objetivos, sino que su aplicación también se convierte efectivamente dinámica a medida que cualquier recurso que se agrega a un grupo hereda automáticamente las políticas de ese grupo. CA Privileged Access Manager también interactúa en segundo plano, directamente con los recursos de destino afectados, para garantizar que todas las credenciales se mantengan sincronizadas (es decir, cuando se cambian de un lado, también se cambian del otro lado). Núm. 4 Recuperación segura y presentación/uso Almacenar credenciales privilegiadas es inútil si a la vez no pueden recuperarse y utilizarse de manera segura. El primer paso en este proceso es la autenticación precisa de quien sea el usuario, o lo que sea en el caso de aplicaciones y scripts, que esté tratando de acceder/usar una credencial. En este sentido, CA Privileged Access Manager aprovecha plenamente su infraestructura de identidad vigente, con la integración de Active Directory y los directorios compatibles con LDAP, así como los sistemas de autenticación como RADIUS. También se incluye soporte para lo siguiente: • Tokens de dos factores (p. ej., a través de CA Advanced Authentication, u otros como los de RSA y SafeNet) • Certificados X.509/PKI • La verificación de identidad personal y las tarjetas de acceso común (PIV/CAC) que se necesitan para el cumplimiento del sector federal con los mandatos HSPD-12 y OMB-11-11 • SAML • Técnicas multifactoriales combinadas (p. ej., combinar contraseñas con tokens RSA) En el modo de operaciones preferido, CA Privileged Access Manager posteriormente presenta la credencial solicitada al sistema de destino en nombre de la entidad que accede (p. ej., el usuario o la aplicación). Este enfoque conlleva varios beneficios de seguridad adicionales. En primer lugar, a diferencia de las soluciones de registro de entrada/registro de salida simples, las credenciales nunca se distribuyen a la entidad que accede, ni esta puede visualizarlas. Esto reduce en gran medida su potencial de exposición. Además, debido a que la autenticación en el sistema de destino es completamente automática y los usuarios nunca necesitan manejarla/recordar sus contraseñas, pueden implementarse políticas para aumentar drásticamente la complejidad de las contraseñas. Debido a que todos los accesos a los destinos se producen a través de CA Privileged Access Manager, la solución también puede proporcionar plena atribución de las actividades de los usuarios privilegiados, incluso para las cuentas de administrador compartidas. En favor de la integridad, también vale la pena destacar que todas las comunicaciones de red entre las entidades que acceden, CA Privileged Access Manager y los objetivos administrados son cifradas por SSL. Además, CA Privileged Access Manager respalda un modo de operación alternativo por el cual las entidades que acceden pueden recuperar y presentar directamente las credenciales necesarias a los sistemas de destino por sí mismas. Núm. 5 Transición fluida hacia la administración completa de los accesos privilegiados CA Privileged Access Manager proporciona a las organizaciones que originalmente se enfocan exclusivamente en la administración de contraseñas todo lo que necesitan para pasar a una implementación de la administración de acceso privilegiado con todas las funciones, siempre y cuando se den cuenta de la necesidad de hacerlo. Estas son algunas de las 8 | Resumen sobre la solución: Cómo puedo proteger las credenciales privilegiadas en los centros de datos tradicionales y virtuales ca.com/ar capacidades más notables que se encuentran a disposición del departamento de seguridad de TI cuando está listo para aprovecharlas: • Control de acceso granular basado en roles y flujos de trabajo asociados (p. ej., para solicitar/autorizar permisos adicionales). • Conexión/establecimiento de la sesión automatizados con los recursos de destino (con soporte para RDP, SSH, Web y varios otros modos/opciones de acceso). • Monitoreo en tiempo real de las sesiones de usuarios privilegiados, junto con la aplicación basada en políticas de actividades permitidas/denegadas (p. ej., qué comandos puede emplear un usuario determinado). • Registro, incluido la integración SIEM basada en registros del sistema. • Registro completo de la sesión con reproducción tipo DVR para “saltar” directamente a eventos de interés. • Prevención del rastreo a saltos que impide que los usuarios eludan sus permisos aprovechando los destinos accesibles para acceder a otros destinos no autorizados. Por otra parte, la implementación de estas capacidades adicionales no podría ser más sencilla. CA Privileged Access Manager entrega toda su funcionalidad de administración de contraseñas y control de accesos privilegiados como una solución estrechamente integrada. CA Privileged Access Manager también proporciona administración de políticas unificada en toda la solución, un enfoque que simplifica aún más la implementación y la administración. Cobertura integral La segunda área de alto nivel que se debe evaluar al momento de seleccionar una solución para la administración de contraseñas privilegiadas es el alcance de la cobertura que proporciona. En otras palabras, para el conjunto completo de controles identificados anteriormente, ¿qué tipos de entidades que acceden, credenciales y sistemas de destino realmente respalda la solución? Núm. 6 Cobertura integral de destinos tradicionales CA Privileged Access Manager incluye una amplia gama de conectores de sistemas de destino que proporciona una integración innovadora para todo tipo de infraestructura de TI, dispositivos de red, sistemas y aplicaciones, como los siguientes: • Dominio de Windows®, cuentas de administrador y servicio locales • Distribuciones populares de Linux® y UNIX® • AS/400 • Dispositivo de red de Cisco y Juniper • Sistemas basados en Telnet/SSH • SAP • Remedy • Bases de datos de ODBC/JDBC • Sistemas y servidores de aplicaciones CA Privileged Access Manager es una solución extensible que también brinda capacidades de personalización flexibles para que las organizaciones puedan extender más fácilmente el respaldo a los sistemas propietarios y desarrollados internamente. 9 | Resumen sobre la solución: Cómo puedo proteger las credenciales privilegiadas en los centros de datos tradicionales y virtuales ca.com/ar Núm. 7 Respaldo a las consolas de virtualización y de administración en la nube La cobertura innovadora de CA Privileged Access Manager para la administración y protección de credenciales no se limita a los destinos tradicionales; sino que también se extiende a las soluciones de virtualización y nube populares, como VMware vSphere, VMware NSX, Amazon Web Services y Microsoft® Online Services. Por otra parte, las capacidades que se aplican a estas soluciones no se limitan a los casos individuales de máquinas virtuales, aplicaciones o servicios asociados. La cobertura se extiende también a las respectivas consolas de administración, que debido al poder del que disponen, deben ser reconocidas como recursos privilegiados en su propio derecho. Núm. 8 Soporte para la autenticación por máquina Como se mencionó anteriormente, los seres humanos no son los únicos usuarios de credenciales privilegiadas. Para la mayoría de las organizaciones, una gran variedad de aplicaciones y sistemas también están habilitados para acceder a recursos sensibles, como otras aplicaciones y bases de datos. Esto generalmente se consigue incorporando las credenciales asociadas al código de la aplicación que accede o habilitándola en el momento de la ejecución a través de un archivo de configuración (ninguna de los cuales es una opción particularmente segura o administrable). CA Privileged Access Manager proporciona cobertura para estos casos de uso A2A permitiendo a los desarrolladores inyectar un cliente de CA Privileged Access Manager liviano a sus aplicaciones. Este enfoque proporciona “aplicaciones privilegiadas” con todo lo que necesitan para registrarse con CA Privileged Access Manager, recupera dinámicamente las contraseñas necesarias y posteriormente las protege mientras se encuentran en la memoria del sistema local. Además, hay múltiples mecanismos disponibles para autenticar las aplicaciones privilegiadas y comprobar su integridad antes de que CA Privileged Access Manager facilite las credenciales solicitadas. Al aprovechar CA Privileged Access Manager para escenarios A2A, las organizaciones pueden eliminar más eficazmente las credenciales A2A expuestas/inseguras almacenándolas de forma centralizada, automatizar la administración de credenciales A2A y la aplicación de políticas y simplificar las actividades de auditoría y cumplimiento relacionadas. Núm. 9 Respaldo para la administración de claves Además de respaldar las operaciones criptográficas, muchos tipos de clave también sirven como tokens para confirmar la identidad. Aunque dichas claves no sean contraseñas en el sentido tradicional, todavía funcionan como contraseñas y siguen siendo objeto de amenazas similares, riesgos y desafíos, como la copia, el intercambio, la exposición involuntaria y vías de escape no auditadas. Debido a que dichas claves son habitualmente incorporadas o utilizadas transparentemente en las soluciones para proteger a los usuarios de su complejidad relativa, también son más propensas a ser huérfanas y/o proliferar en el tiempo. Tiene sentido, por lo tanto, aplicar muchos de los mismos controles que se utilizan para administrar y proteger las contraseñas para estas credenciales alternativas también. De hecho, estas son algunas de las prácticas recomendadas para frustrar amenazas relacionadas: • Mover claves no autorizadas a ubicaciones protegidas. • Cambiar todas las claves constantemente (para garantizar la finalización eventual del acceso en el caso de claves filtradas). • Aplicar restricciones de origen para claves no autorizadas.3 • Aplicar restricciones de comando para claves no autorizadas. En consecuencia, CA Privileged Access Manager tiene controles y otras capacidades para dar cuenta de los tipos de credenciales alternativas, incluidas las claves SSH y las claves codificadas por PEM que se utilizan para acceder a los recursos de AWS y las consolas de administración. En otras palabras, para dichas credenciales, CA Privileged Access Manager puede hacer lo siguiente: (1) almacenarlas, (2) cambiarlas y controlarlas por medio de políticas establecidas y (3) recuperarlas y utilizarlas de una manera que minimice su potencial de robo o exposición. 10 | Resumen sobre la solución: Cómo puedo proteger las credenciales privilegiadas en los centros de datos tradicionales y virtuales ca.com/ar Entrega basada en la nube En la era de la nube híbrida, otro factor importante para el éxito de una solución de administración de contraseñas privilegiadas es cuán bien “se adapta”, no solo físicamente, sino también en cuanto a la alineación de las necesidades y capacidades de red en la nube. Núm. 10 Máquina virtual y opciones de entrega basadas en la nube en las instalaciones CA Privileged Access Manager es compatible con las siguientes tres opciones prácticas de implementación que ayudan a las organizaciones a mantenerse actualizadas con complejas arquitecturas de nube híbrida: • Un dispositivo físico reforzado, disponible en múltiples modelos para montaje en rack tradicional en el centro de datos empresarial. • Una instancia de máquina de Amazon (AMI), preconfigurada para su implementación con la infraestructura EC2 de Amazon. • Un dispositivo virtual conforme a OVF, confeccionado y preconfigurado para su implementación en entornos de VMware. Independientemente de las opciones de implementación utilizadas, las organizaciones obtienen una solución que permite la administración de toda la infraestructura de nube híbrida. Núm. 11 Arquitectura y enfoque alineados en la nube CA Privileged Access Manager está deliberadamente diseñado para incorporar numerosas características que permiten su “buen comportamiento” en entornos de nube híbrida. Estos son tres ejemplos: • Autodescubrimiento y protección, en entornos de nube híbrida; los operadores pueden crear (o retirar) cualquier cantidad de sistemas con un único comando. CA Privileged Access Manager se encarga de esta situación aprovechando las interfaces de programación de aplicaciones correspondientes para descubrir automáticamente los recursos virtualizados y en la nube y luego suministrar (o dejar de suministrar) las credenciales apropiadas y políticas de administración de accesos. • Evitar las islas de identidad (es decir, la federación de identidad); una forma en que CA Privileged Access Manager elimina islas individuales de información de identidad es aprovechando completamente cualquier tipo de infraestructura de identidad con la que una organización cuente. Otra forma, específica para las implementaciones de AWS, es mediante el soporte a usuarios; un enfoque que evita que las organizaciones deban mantener la información de identidad separada en el subsistema de Administración de identidad y acceso de AWS. • Habilitar la automatización; una interfaz de programación de aplicaciones integral permite el acceso programático a todas las funciones de CA Privileged Access Manager y su automatización (p. ej., mediante sistemas de administración y orquestación externa). Núm. 12 Escalabilidad y confiabilidad preparadas para la nube La administración de credenciales privilegiadas es un elemento crítico de la infraestructura de TI de una organización. Esto es doblemente cierto cuando la aplicación se extiende para respaldar casos de uso A2A, los cuales funcionan de una manera totalmente automatizada. Con este fin, CA Privileged Access Manager incluye la funcionalidad de agrupaciones en clúster y distribución de cargas para cumplir con los requisitos de alta disponibilidad y escalabilidad de los entornos de mayor dimensión y exigencia. En comparación con las alternativas comunes, con CA Privileged Access Manager no es necesario invertir en balanceadores de carga externos, no existen demoras en el desempeño típicas de enfoques activopasivo y no es necesario obtener licencias de funciones “opcionales” adicionales. Si se desea, y es operacionalmente aceptable desde el punto de vista de una latencia, los clústeres de CA Privileged Access Manager incluso pueden configurarse para permitir la redundancia en los centros de datos y entornos de nube geográficamente dispersos. 11 | Resumen sobre la solución: Cómo puedo proteger las credenciales privilegiadas en los centros de datos tradicionales y virtuales CA Privileged Access Manager ofrece una solución de próxima generación para la administración de credenciales privilegiadas diseñada para impulsar la reducción del riesgo y mejorar la eficiencia operativa en toda la infraestructura empresarial híbrida. Sección 4: Conclusión: Conquistar la administración de credenciales privilegiadas en la era de la nube La administración y protección de credenciales privilegiadas es fundamental para reducir el riesgo y lograr el cumplimiento de los requisitos reglamentarios relacionados. Es también un problema que está creciendo en cuanto a complejidad e importancia, a medida que los entornos de nube híbrida introducen consolas de administración con un poder sin precedentes y la posibilidad de añadir o eliminar literalmente cientos de sistemas de destino con solo unos clics. Las organizaciones que buscan atender a esta área sumamente importante de su estrategia de seguridad de la información deben evaluar soluciones posibles para la profundidad de los controles, el alcance de la cobertura y el grado de alineación de la nube que proporcionan. Como ya se explicó, CA Privileged Access Manager ofrece servicios para estas tres dimensiones a fin de brindar a las organizaciones actuales exactamente lo que necesitan: una solución de próxima generación para la administración de credenciales privilegiadas que impulsa la reducción del riesgo de TI, mejora la eficiencia operativa y protege la inversión de una organización respaldando la infraestructura de nube tradicional, virtualizada e híbrida por igual. Comuníquese con CA Technologies en ca.com/ar. CA Technologies (NASDAQ: CA) crea un software que impulsa la transformación en las empresas y les permite aprovechar las oportunidades de la economía de la aplicación. El software es el centro de cada empresa, en cada sector. Desde la planificación hasta el desarrollo, la administración y la seguridad, CA trabaja con empresas en todo el mundo para cambiar el estilo de vida, realizar transacciones y comunicarse, mediante entornos móviles, de nubes públicas y privadas, distribuidos y centrales. Obtenga más información en ca.com/ar. 1 Reporte de investigaciones de brechas de datos de Verizon de 2015 2 “New Platforms, New Requirements. Privileged Identity Management for the Hybrid Cloud”, informe de CA, marzo de 2013 3 “Managing SSH Keys for Automated Access - Current Recommended Practice”, borrador IETF, abril de 2013 Copyright © 2015 CA. Todos los derechos reservados. Microsoft es una marca comercial registrada de Microsoft Corporation en los Estados Unidos o en otros países. Todas las marcas registradas, los nombres comerciales, las marcas de servicios y los logotipos mencionados en este documento pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación «tal cual», sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comerciabilidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no taxativo, el lucro cesante, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de información, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños. CA no proporciona asesoramiento legal. Ni este documento ni ninguno de los productos de software de CA mencionados servirán como sustituto del cumplimiento de las leyes (que incluye, entre otros, leyes, estatutos, reglamentos, normas, directivas, políticas, estándares, pautas, medidas, requisitos, órdenes administrativas y ejecutivas, etc., en conjunto denominados “leyes”) mencionadas en este documento. Para obtener asesoramiento sobre las leyes mencionadas en este documento, consulte con un abogado competente. CS200-169152_1215