¿Qué es el modelo de menor privilegio? Diferencias con Zero-Trust

¿Qué es el modelo de menor privilegio? Diferencias con Zero-Trust

Lorena Fernández

No hay nada más peligroso para una organización que un colaborador que cuente con un acceso a datos y recursos mayor de lo que necesita. Los ataques que se dan en organizaciones, se dan en gran medida gracias a colaboradores con intenciones maliciosas. El trabajo desde casa se ha vuelto la norma alrededor del mundo gracias al COVID-19. En consecuencia, las empresas que adoptan esta práctica tienen que prestar mucha atención a qué permisos tiene cada usuario y si realmente necesita de todos ellos. Esta guía te apoyará en saber respecto al «least-privilege model», que en español significa «modelo de menor privilegio».

¿Qué es el «Modelo de Menor Privilegio»?

No solamente debemos preocuparnos por el tipo de usuario que es y los permisos que requiere. Por otro lado, debemos comprender que una buena parte de éstos trabajan y se comunican mediante una variedad de dispositivos. Existen organizaciones que adoptan la práctica Bring Your Own Device (trae tu propio dispositivo). Esto último permite que las personas con un dispositivo personal con los recursos adecuados, pueda ser utilizado para las tareas de su organización.

Por estas y otras diversas circunstancias, debemos comentar respecto a este modelo. El mismo está cambiando la manera de trabajar de millones de personas alrededor del mundo. Funciona restringiendo los derechos de acceso a lo mínimo necesario por un usuario para poder realizar su trabajo. Una de las implicaciones es que no hay que manipular derechos de Administración de Dominio de Active Directory (Windows). Así también, deberás descartar la implementación de acceso root a sistemas operativos. Por otro lado, tampoco será necesario un permiso de nivel administrador para tener acceso a una infraestructura de virtualización.

¿Qué pasa con los privilegios de acceso?

Esta adopción puede verse muy prometedora y desafiante al mismo tiempo, sobre todo para las personas que trabajan en TI. Los privilegios de acceso de los usuarios deben ser eliminados y reasignados permanentemente. Esto es especialmente crítico si hablamos de personas que abandonan la organización por varios motivos. Por desgracia, una práctica común que se mantiene es no tener visibilidad completa de aquellos usuarios que corresponden a personas que no trabajan en una organización. Cualquier usuario activo de alguien que ya no está en la misma, puede convertirse en un gran abanico de posibilidades para que se den ciberataques a nivel interno. El escenario se agrava cuando se tiene el mal hábito de compartir contraseñas entre colaboradores.

Ese mismo control de privilegios de acceso debe ser aplicado cuando las personas van de un puesto laboral a otro dentro de una organización. Muchas veces, las personas pueden pasar de un área a otra. Como responsable de TI, debes ajustar los permisos, independientemente del rol que cumpla la persona en la empresa.

Sugerencias para implementar el Modelo de Menor Privilegio

La puesta en marcha de este modelo tiene que ver más con las políticas internas de cada organización que con soluciones tecnológicas. Lo primero que se debe hacer es identificar cuáles son los datos que debemos proteger en primer lugar. Esto ya sea de uso indebido, robo, destrucción o cualquier otro evento que ponga en peligro la integridad de los mismos. Una vez que hayas hecho eso, el siguiente paso es aplicar Políticas de Menor Privilegio con el objetivo de proteger a dichos datos. En consecuencia, cada usuario tendrá acceso restringido (o no acceso) a los datos de acuerdo a las políticas que hayas creado y configurado. El enfoque tiene que ser mucho más granular, es decir, hay que contemplar todas las variables posibles para que no haya permisos demás o de menos.

¿Cómo llevar esto a la práctica? Compartimos un par de sugerencias:

  • Firewalls y VPN: Esto implica dejar a toda la red dentro del firewall. Por lo que los usuarios deberán conectarse siempre a una VPN para poder acceder a cierto grupo de recursos, aplicaciones y servicios de acuerdo a su rol. Puedes discriminar qué necesita ser accedido mediante VPN y qué no, de manera a poder optimizar el ancho de banda disponible y que no se forme un cuello de botella. Sobre todo, en horarios en donde puede presentarse pico de tráfico.
  • Infraestructura de Escritorio Virtual: En inglés se lo conoce como Virtual Desktop Infrastructure (VDI). De esta manera, los datos y las aplicaciones se encuentran alojadas de manera centralizada. Esto, con el propósito de que sean más segura. Si una organización cuenta con trabajadores desde casa, estos pueden iniciar sesión mediante herramientas comunes como un navegador o alguna solución ya existente. Lo que se logra es una experiencia idéntica a la que tienen en la oficina, no sólo en cuanto a la velocidad de acceso sino también la seguridad. De acuerdo a cada usuario, controles de seguridad en conjunto con las políticas de red se configuran para que los usuarios tengan acceso a recursos, siempre que sean únicamente los necesarios.

¿Es lo mismo que el modelo Zero-Trust?

En cierta medida, son modelos cuyos conceptos se relacionan. Sin embargo, no son lo mismo. Por un lado, el modelo Zero-Trust se enfoca en no confiar en nada ni nadie. Implica proveer, de hecho, Acceso de Menor Privilegio en base al modelo que es protagonista de esta guía. Es bueno tener presente que el acceso solamente es garantizado mediante la revisión de unas cuantas consideraciones ante cada solicitud. Estos son algunos ejemplos: quien solicita el acceso, el contexto o motivo de la solicitud y el riesgo que corre el entorno del acceso solicitado.

Uno de los objetivos centrales de este modelo es monitorizar cualquier tipo de tráfico que genera la red. Además, se considera el tráfico generado a través de las APIs conectadas a la organización y cualquier tipo de tráfico externo a la red.

Por otro lado, el Modelo de Menor Privilegio se enfoca en restringir derechos de acceso a cualquier entidad. No solamente se refiere al usuario y sus cuentas. También se puede aplicar el Menor Privilegio a recursos de cómputo y procesos. Ahora bien, ¿qué es un privilegio al fin y al cabo? Se refiere a la autorización al usuario, cuenta o recurso para que pueda pasar por encima las principales medidas de seguridad que provocan que tenga restricciones a los recursos que necesita.

Resumiendo, Zero-Trust se refiere un modelo de seguridad enfocado a redes que incluye entre sus implementaciones al Modelo de Menor Privilegio. Y este último, es una forma de administrar el acceso a los recursos de red de una organización. Como vemos, queda claro que los avances en cuanto a la seguridad de las redes evolucionan hacia un modelo que permite que las gestiones y operaciones sean cada vez más ágiles y menos trabajosas.