Cuando se trabaja de forma conjunta a través de los límites de la empresa, es importante integrar en la red usuarios con privilegios y opciones de acceso ampliados de forma controlada. Con la "Gestión de Acceso Privilegiado", el acceso a los sistemas y datos críticos está incluso filtrado.
En la práctica, a menudo son los proveedores de servicios externos, los administradores, los proveedores y los logistas, como parte de la creación de valor, los que necesitan la "Gestión de Acceso Privilegiado". Stefan Rabben, Director de Ventas de la zona DACH y Europa del Este de Wallix, proveedor de soluciones en este segmento, explica el casus knacksus: "Una metáfora del mundo real ilustra lo que está en juego: se encarga a un pintor que pinte las paredes de una oficina de la empresa. Sin embargo, una vez que entra en la empresa, es más o menos libre de moverse. Sin embargo, lo que realmente hace no puede controlarse ni supervisarse activamente". Aquí es donde entra en juego la "gestión de accesos privilegiados", por así decirlo, como un guardia de seguridad virtual que acompaña al pintor, lo filma y al mismo tiempo graba lo que hace. Los datos pueden evaluarse según el "principio de muchos ojos", por ejemplo, en consulta con el comité de empresa.
Gestión de accesos privilegiados
"Alguien que puede hacer más cosas en la red que leer, es decir, alguien que tiene autorizaciones ampliadas y se mete en la empresa legalmente, no puede hacer mal uso de su acceso mediante la solución Wallix", dice Rabben. Esto se debe a que la solución registra los accesos de los usuarios con privilegios y también puede prevenir o informar activamente de las violaciones de las normas. La forma clásica sin la gestión de accesos privilegiados sería a través de una consola de acceso y la introducción de un nombre de usuario y una contraseña. La desventaja de esto es que es difícil rastrear quién del grupo de empleados externos hace qué y cuándo en la red de la empresa.
Sin embargo, si se trata de datos sensibles, tiene sentido, y a veces es legalmente necesario, poder demostrar quién hace qué en la red. "Esta prueba también es apropiada en lo que respecta a las certificaciones ISO 27001 o ISO 27002, o cuando se trata de infraestructuras críticas según el Reglamento de Infraestructuras Críticas", explica Rabben. En este caso, como una grabación de vídeo de todas las acciones de la pantalla.
El gestor de sesiones lo filma todo
La solución Wallix proporciona un portal de acceso, normalmente con autenticación de dos factores. Las autorizaciones se recuperan del Directorio Activo o del sistema de gestión de identidades, y se asigna el acceso adecuado a los objetivos autorizados, es decir, los servidores y las aplicaciones. El acceso puede ser incluso a las líneas de producción. "Todo se implementa a través de un dispositivo Wallix en la zona de confianza en la red o en la nube. Todo el acceso se canaliza a través de nuestro "gestor de sesiones", que registra todas las acciones en la pantalla a través del vídeo, las registra y las indexa para poder buscar posteriormente acciones específicas". El etiquetado permite rastrear las acciones del usuario, por ejemplo, buscando qué consultas SQL se realizaron.
Acceso de inicio de sesión único
El sistema funciona sin agentes porque la "sonda de sesión" en el sistema de destino se crea temporalmente y se elimina después del acceso." Además del gestor de sesiones de registro en el dispositivo, llamado Bastion, el gestor de contraseñas es otro componente clave. Permite el acceso al sistema de destino con un solo inicio de sesión, sin que el usuario conozca ningún otro dato de acceso dentro del sistema. Es posible, por ejemplo, que después de cada sesión se genere una contraseña de 120 dígitos muy fuerte para los accesos individuales, que, sin embargo, el usuario externo ni siquiera necesita conocer gracias a la gestión de contraseñas y la asignación de derechos.