Una mirada a la gestión centralizada de identidades
Este es el segundo artículo de nuestra serie "Conceptos que utiliza sin saberlo" . En esta ocasión, hablaremos de la gestión de identidades y, en concreto, de la gestión centralizada de identidades.
Siga leyendo para saber qué es la gestión de identidades, por qué IAM se ha convertido en una herramienta clave en el mundo de la informática empresarial y qué ventajas tiene para su organización la gestión centralizada de identidades.
Contenido
- Introducción a la gestión centralizada de identidades
- Desafíos de autenticación
- ¿Por qué funciona la gestión centralizada de identidades?
- Configuración y supervisión
- La gestión centralizada de identidades ha llegado para quedarse
Introducción a la gestión centralizada de identidades
En algún lugar, de alguna manera, su entorno tecnológico necesita la capacidad de autenticar usuarios. Usted quiere mantener fuera a los usuarios externos no autorizados, al tiempo que garantiza que su personal sólo tiene acceso a la seguridad y a los datos que necesita para hacer su trabajo.
Existen varios enfoques para gestionar usuarios y permisos, algunos más organizados que otros. En entornos informáticos empresariales complejos, existe una gran necesidad de enfoques estructurados para gestionar usuarios, activos y permisos, y por eso evolucionó la gestión de identidades y accesos.
¿Qué es la gestión de identidades?
La gestión de identidades es un marco mediante el cual se asigna una identidad de seguridad a usuarios, dispositivos y otros recursos, y mediante el cual se asignan derechos de acceso específicos a cada una de las identidades. La gestión de identidades es omnipresente: casi todas las grandes organizaciones utilizan la gestión de identidades y accesos para autorizar a los usuarios y controlar el acceso a los sistemas de la empresa.
La gestión de identidades permite conceder a los usuarios acceso a los recursos a los que tienen derecho, y hacerlo de forma controlada y sensible al contexto. A cada identidad (o usuario) se le asigna una o varias funciones, que le otorgan derechos de acceso a un conjunto específico de recursos.
Diferencia entre gestión de identidad descentralizada y centralizada
La distinción entre descentralizado y centralizado es relativamente sencilla. En el modelo descentralizado, no existe una única ubicación para la gestión de identidades. La IAM se realiza a través de muchos entornos y aplicaciones diferentes, y un único usuario puede tener múltiples identidades almacenadas en varios almacenes de identidad.
Se espera que un usuario inicie sesión en su espacio de trabajo, realizando un paso de autenticación con un proveedor de identidad en ese momento, pero también se espera que inicie sesión en una aplicación clave, realizando otro paso de autenticación en ese momento.
El modelo centralizado suprime los distintos centros de gestión de identidades: en su lugar, los usuarios se registran en un único proveedor de autenticación que propaga los derechos de acceso de la identidad a todas las aplicaciones y recursos de la organización.
En la práctica, significa que el usuario se registra en un único espacio de trabajo y no necesita volver a registrarse en otro servicio, ya que el acceso se concede en función de ese primer y único evento de registro.
Antes de adentrarnos en la gestión de identidades, veamos los problemas y retos que plantea la autenticación. Eso nos dará una idea mucho más clara de por qué se aplica tan comúnmente la gestión centralizada de identidades.
Visibilidad de accesos y permisos
Tanto desde el punto de vista de la conformidad como de la resolución de problemas, las organizaciones necesitan saber qué usuarios tienen acceso a qué recursos y en qué momento. Lo mismo ocurre con las identidades asociadas a aplicaciones y servicios. Responder a estas preguntas puede resultar complicado en entornos de identidad menos organizados y descentralizados.
En particular, resulta muy difícil auditar el acceso y el comportamiento de los usuarios cuando cada aplicación depende de un directorio de usuarios aislado. Aunque a escala empresarial la mayoría de las organizaciones utilizan un directorio central como Active Directory (tal vez a través de Azure AD), también se da el caso de que los usuarios se registran cada vez más en servicios en la nube que no están vinculados al servicio de directorio establecido de la organización, lo que crea un entorno de permisos opaco.
Incorporación y desprovisión
Incorporar rápidamente a los nuevos empleados les ayuda a empezar más rápido, pero la incorporación puede llevar mucho tiempo si los administradores de TI tienen que navegar tediosamente por varios directorios. Y lo que es peor, con las aplicaciones SaaS que suelen desplegarse a nivel departamental (SaaS de marketing para ventas, SaaS de CRM para atención al cliente), la incorporación puede consumir una cantidad significativa de energía fuera del departamento de TI.
Si el empleado abandona la empresa, dar de baja o desaprovisionar su acceso puede resultar complicado y, en realidad, a menudo incompleto. El departamento de TI hará lo que tenga que hacer, utilizando herramientas automatizadas para desproveer los recursos de la empresa.
Sin embargo, cuando el acceso era gestionado por departamentos funcionales, ese acceso podía permanecer vivo, lo que ponía en peligro a la organización, ya que una parte externa conservaba el acceso a las aplicaciones. Imagínese el trabajo de limpieza si un usuario tiene veinte inicios de sesión diferentes: básicamente se convierte en veinte trabajos de limpieza, con la responsabilidad de la limpieza repartida por toda la organización.
Acceso coherente
Con directorios de usuarios distribuidos y en silos surge otro problema: los directorios inevitablemente no están totalmente sincronizados. Los usuarios acaban por no poder acceder a algunas aplicaciones, pero no a otras.
Puede surgir una brecha entre las aplicaciones en la nube y las locales, por ejemplo, y los trabajadores remotos pueden encontrarse con que no pueden acceder a todo lo que necesitan para su trabajo, porque su ubicación externa provoca una desconexión.
Comportamiento y fatiga del usuario
Por último, algunos de los mayores retos en torno a la gestión de identidades radican en el comportamiento de los usuarios. Conseguir que los usuarios utilicen contraseñas seguras y únicas para muchos puntos de inicio de sesión distintos no es tarea fácil. Cuando los usuarios acaban teniendo cada vez más credenciales, aumenta el riesgo para la seguridad: es más probable que elijan contraseñas fáciles de adivinar y que recurran a la reutilización de contraseñas en distintos servicios.
Los usuarios también se cansan de intentar hacer malabarismos con una lista interminable de nombres de usuario y contraseñas, con la obligación de iniciar y cerrar sesión constantemente en servicios igualmente tediosos. Incluso puede provocar que los usuarios utilicen menos los servicios que tienen a su disposición.
¿Por qué funciona la gestión centralizada de identidades?
Está claro que la gestión de identidades y accesos plantea muchos retos a las organizaciones. Adoptar un enfoque más centralizado de la gestión de identidades puede resolver muchos de estos retos, pero también tiene algunas desventajas.
Ventajas de uso de la gestión centralizada de identidades
Es fácil ver las ventajas de proporcionar a los usuarios un único inicio de sesión para acceder a todos los servicios de la empresa. Los empleados solo tienen que recordar un único conjunto de credenciales, y la autenticación es automática en todas las aplicaciones: no hay necesidad de realizar constantemente eventos de inicio de sesión para acceder a los recursos.
La gestión centralizada de identidades elimina muchas de las frustraciones de uso que rodean a la gestión de accesos y, en consecuencia, reduce la tentación de los empleados de intentar eludir el control de accesos, lo que aumenta la seguridad.
Ventajas de gestión y seguridad
La gestión también es mucho más sencilla, ya que la incorporación y la desprovisión se realizan en un solo paso: sólo hay un almacén de identidades que se extiende por toda la organización. En el momento de la incorporación, los usuarios reciben acceso instantáneo a todos los recursos a los que tienen derecho, y en el momento de la salida, el acceso de un empleado se restringe de forma completa y exhaustiva.
La aplicación de políticas también mejora con la gestión centralizada de identidades, ya que es mucho más fácil aplicar contraseñas seguras y autenticación multifactor cuando es una sola identidad la que autoriza el acceso a todos los recursos.
De hecho, una identidad única abre el camino a mecanismos de autenticación a prueba de balas como la biometría y los tokens físicos, mecanismos que no serán aceptados por los usuarios si se necesitan para cada recurso y aplicación.
Orquestación basada en la normalización
La gestión centralizada de identidades se basa en estándares. Por ejemplo, muchos proveedores de servicios en la nube se basan en OAuth 2.0, como Google, que utiliza este protocolo para permitir la autenticación y autorización en las aplicaciones en la nube de Google y en aplicaciones de terceros.
Otros estándares de identidad centralizada permiten diferentes conjuntos de funciones: openLDAP, por ejemplo, actúa como servicio de directorio, mientras que OpenID se centra en la autenticación.
Uno de los puntos clave de una solución centralizada de gestión de identidades es que ofrece a las organizaciones la posibilidad de construir arquitecturas tecnológicas fluidas y de vanguardia, manteniendo al mismo tiempo altos niveles de seguridad, y eso ocurre gracias a la estandarización inherente.
Una buena solución IAM, por tanto, elimina los cuellos de botella al integrarse estrechamente con diversos servicios y recursos basados en la nube. Por lo tanto, también vale la pena pensar en la gestión de identidades centralizada en términos de sus capacidades de orquestación, algo que no podrás hacer con la gestión de identidades descentralizada.
Inconvenientes de la gestión centralizada de identidades
Las ventajas del enfoque centralizado son indiscutibles, pero la gestión centralizada de identidades también tiene sus detractores, y un único almacén de identidades tiene algunas desventajas.
Tal vez el inconveniente más preocupante es que confiar en una sola identidad -y un solo conjunto de credenciales- crea un único punto de fallo. Cuando un atacante puede comprometer este único punto de autenticación, automáticamente le permite acceder a todos los recursos a los que tiene acceso un usuario, en toda la organización. Dicho esto, el riesgo de que esto ocurra puede mitigarse recurriendo a protocolos de autenticación sólidos para esta identidad única.
Otro problema de la gestión centralizada de identidades es que la integración de aplicaciones puede resultar complicada, sobre todo cuando hay una mezcla de aplicaciones heredadas y locales que funcionan junto a aplicaciones alojadas en la nube. Cuando una sola aplicación heredada no se ajusta a los estándares de IAM o cuando la integración y la personalización no son una opción, se genera instantáneamente la necesidad de un conjunto adicional de identidades.
Cualquier cambio en la arquitectura subyacente de la aplicación también puede causar problemas inesperados de autenticación, desconectando repentinamente a miles de usuarios de un recurso clave.
Interacción con RBAC
La gestión centralizada de identidades proporciona una excelente plataforma para control de acceso basado en funciones (RBAC) sin fisuras. Con RBAC, las organizaciones pueden establecer diferentes políticas que se ajusten a funciones laborales específicas, especificando qué derechos de acceso tiene un empleado en función de su papel en la organización.
A continuación, estas políticas se publican en la plataforma centralizada de gestión de identidades y accesos, que proporciona un único punto de control que automatiza la gestión de accesos e identidades en función de los parámetros especificados en las políticas RBAC.
Por último, es importante comprender que la gestión centralizada de identidades requiere una supervisión muy estricta. Su implantación requiere un enfoque arquitectónico, con un proceso exhaustivo de diseño y planificación.
Un repositorio central de identidades mal estructurado puede acabar siendo inadecuado para su propósito. Del mismo modo, el conjunto de herramientas de gestión centralizada de identidades debe diseñarse teniendo en cuenta la flexibilidad y el futuro, para evitar que los usuarios se vean obligados a gestionar varias identidades.
La seguridad es otra preocupación. Los CISO se implican mucho en la gobernanza de las soluciones IAM, ya que la seguridad sólo puede mantenerse mediante controles estrictos y políticas aplicadas con firmeza. De hecho, el personal de TI de nivel C estará estrechamente involucrado en guiar la configuración y el uso de la gestión de identidades centralizada, al tiempo que supervisa continuamente para garantizar el cumplimiento y detectar posibles riesgos.
La gestión centralizada de identidades ha llegado para quedarse
En un mundo cada vez más centrado en la nube, un almacén de identidades centralizado y seguro ofrece importantes ventajas, ya que permite a las organizaciones desplegar aplicaciones con fluidez en todo su parque tecnológico al tiempo que se aplican normas de seguridad coherentes.
En cierto modo, si su organización hace uso de aplicaciones en la nube de última generación, es probable que ya esté utilizando software de un proveedor de IAM, incluso si es la opción por defecto que viene con el software de productividad en la nube de su empresa.
No obstante, la gestión centralizada de identidades presenta un par de retos que conviene tener en cuenta, el más importante de los cuales es su debilidad como punto único de fallo. Una sola identidad sustenta todos los accesos, lo que significa que debe controlarse y supervisarse de cerca.
Sin embargo, siempre que las organizaciones utilicen métodos de autenticación sólidos, las ventajas de la gestión centralizada de identidades superan con creces a los puntos débiles, ya que un enfoque centralizado hace que la gestión de identidades sea mucho más temprana.