GroupID.png
Zero-trust.jpg

La última tendencia en seguridad, Zero Trust Security, exige un enfoque de "nunca confiar, verificar siempre". En el corazón de este enfoque está el requisito de que la configuración de la identidad y la seguridad asignada asociada sea 100% correcta. Sin esto, Zero Trust protege un entorno inseguro.

Si es nuevo en Zero Trust, es un concepto que ha existido durante varios años, originalmente conceptualizado por Forrester en 2010. Después de 9 años, finalmente se está generalizando. El concepto comienza con una premisa simple: no confíe en que nadie que acceda a nada ... nunca. Pero, para que Zero Trust sea productivo, es necesario agregar una segunda parte a la ecuación: verifique quiénes son primero ... siempre.

En la aplicación práctica, requiere una gran cantidad de soluciones que autentiquen al usuario, midan el riesgo, validen la solicitud de acceso y, si todo está bien, brinden acceso al sistema, la aplicación o el recurso necesario.

 

Entonces, ¿dónde entra en juego la gestión de identidades y grupos?

Hay un aspecto de Zero Trust en el que, por extraño que parezca, no se centra con la suficiente frecuencia: la idea de que la seguridad subyacente debe ser correcta. Se dedica tanto esfuerzo a proteger la autenticación y quién puede usar credenciales privilegiadas, que las organizaciones olvidan la necesidad de asegurarse de que el acceso que tiene una cuenta privilegiada sea realmente correcto en primer lugar.

Y ahí es donde encaja la gestión de identidades y grupos.

La gestión de identidades y grupos busca garantizar que el directorio subyacente en el que se encuentra Zero Trust esté configurado correctamente. Debe utilizar un proceso formal de certificación de que los usuarios, grupos, membresías de grupos y permisos están configurados y/o asignados con precisión para garantizar que el acceso que Zero Trust cree que está otorgando es correcto.

El proceso de gestión de grupos e identidad no es algo de una sola vez; Al igual que la forma en que los privilegios mínimos (que se utilizan como parte de Zero Trust) deben implementarse como una parte continua de las operaciones para que sean efectivos, también lo hace la Gestión de Identidad y Grupo.

Si aplica el mantra "nunca confíe, verifique siempre" a la seguridad subyacente que otorga acceso a sistemas, aplicaciones, recursos y datos, significa que TI no puede simplemente asumir que los permisos y asignaciones a usuarios y grupos son correctos. Las organizaciones deben implementar procesos para evaluar con frecuencia la configuración actual de sus usuarios, grupos y permisos, dando fe de la validez de la configuración.

Al insertar Group and Identity Management en su implementación de Zero Trust, la base sobre la que reside Zero Trust se mantiene firme, con la certeza de que los permisos y las cuentas a las que están asignados son correctos, reafirmando ese acceso de usuario, tanto desde el punto de vista de la solicitud como de la configuración, ha sido verificado antes de conceder una solicitud de usuario.