El principio de mínimos privilegios garantiza que los usuarios solo tengan el acceso que realmente necesitan, lo cual reduce el posible impacto negativo de la apropiación de cuentas y las amenazas internas.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
El principio de mínimos privilegios, también llamado "acceso de mínimos privilegios," es el concepto por el que un usuario solo debe tener acceso a lo que necesita estrictamente para desempeñar sus responsabilidades, y nada más. Cuanto más acceso tenga un determinado usuario, mayor será el impacto negativo si se ve en riesgo su cuenta o si se convierte en una amenaza interna.
Aunque el principio de menor privilegio se aplica en una amplia variedad de categorías, este artículo se centra en cómo se aplica a redes, sistemas y datos corporativos. Este principio se ha convertido en un aspecto crucial de la seguridad empresarial.
A modo de ejemplo: un agente de comercialización necesita acceder al CMS del sitio web de su organización para añadir y actualizar contenido en el sitio web. Pero si también se le proporcionara acceso al código base, lo cual no es necesario para actualizar el contenido, aumentaría el impacto negativo potencial si se viera en riesgo su cuenta.
Supongamos que Dave se muda a una nueva casa. Dave crea dos copias de la llave de su casa; se queda una para él y le da la otra copia a su amiga Melissa para casos de emergencia. Pero Dave no crea 20 copias de su llave y reparte una a todos sus vecinos. Dave es consciente que esto es mucho menos seguro: uno de sus vecinos podría perder la llave, dársela sin querer a una persona poco fiable, o se la podrían quitar, esto podría provocar que alguien usara la llave perdida para colarse en su casa y robarle la televisión tan cara que tiene.
De forma similar, aunque una empresa no tenga una televisión cara, seguro que tiene datos valiosos que quiere mantener seguros. Cuanto más acceso permita la empresa a esos datos, cuantas más "llaves" dé, mayores serán las probabilidades de que algún agente malintencionado robe las credenciales de un usuario legítimo y las utilice para robar esos datos.
La seguridad Zero Trust es una filosofía de seguridad emergente que asume que cualquier usuario o dispositivo puede representar una amenaza. Esto se diferencia de los modelos de seguridad más antiguos, que consideran que todas las conexiones que estén dentro de una red interna son de confianza.
El principio de mínimos privilegios es uno de los conceptos centrales de la seguridad Zero Trust. Una red Zero Trust establece las conexiones de una en una y las reautentica de forma regular. Proporciona a los usuarios y dispositivos solo el acceso que realmente necesitan, lo que contiene mejor las amenazas potenciales dentro de la red.
Por ejemplo, un enfoque Zero Trust podría ser exigir la conexión a una red privada virtual (VPN) para acceder a los recursos corporativos. Sin embargo, conectarse a una VPN da acceso a todo lo que esté conectado a esa VPN. Esto suele implicar demasiado acceso para la mayoría de los usuarios, y si se pone en riesgo la cuenta de un usuario, toda la red privada está en peligro. Con frecuencia, los atacantes son capaces de moverse lateralmente dentro de una red de este tipo con bastante rapidez.
El principio de mínimos privilegios adopta un enfoque más granular para el control de acceso. Cada usuario puede tener un nivel de acceso diferente, en función de las tareas que necesite realizar. Y solo pueden acceder a los datos que necesitan.
Supongamos que Dave le da a Melissa la llave de repuesto de su casa, pero no quiere que vea sus documentos privados en su archivador. Como la puerta principal y el archivador tienen cerraduras diferentes, puede darle la llave de la casa sin darle acceso al archivador.
Esto se parece al principio de mínimos privilegios: Melissa solo tiene el acceso que necesita para poder abrir la casa de Dave si es necesario. Pero utilizar una VPN para el control de acceso es como utilizar la misma llave para la puerta principal y el archivador.
La creación de una red Zero Trust permite a las organizaciones poner en práctica el principio de mínimos privilegios. Una de las principales implementaciones técnicas de Zero Trust se denomina Acceso a la red Zero Trust (ZTNA); más información sobre los detalles esenciales de cómo funciona ZTNA.
Cloudflare Zero Trust es una plataforma que permite a las empresas implementar rápidamente un enfoque Zero Trust para la seguridad de red. Obtén más información acerca de las soluciones de seguridad de redes.