Archivo de la categoría: Articulos de Seguridad

Crisis de Identidad (Gestión) (Parte 4): Seleccionando una solución de Administración de Identidad completa.

Introducción
De la 1ra a la 3ra parte de esta serie de artículos, hicimos un vistazo a la evolución del concepto de “Identidad”, conceptos erróneos acerca de la identidad en el mundo de las TI, y algunas soluciones de  administración de identidad actuales, con un enfoque en firmas digitales. En este artículo, la 4ta entrega, vamos a mirar más de cerca los criterios para la la elección de un solución de identidad integral de gestión  para una organización o una solución de administración de identidad.

Una misma talla no nos sirve a todos
El objetivo de un sistema de gestión de identidad es para garantizar que sólo los usuarios autenticados y autorizados tengan acceso a los recursos de la red. Un sistema de gestión de identidades puede automatizar este proceso tanto como sea posible y permitir el auto-servicio por los usuarios (por ejemplo, la capacidad para restablecer sus propias contraseñas).
Hay un gran número de soluciones de gestión de identidad disponibles de diferentes fabricantes, algunos más sofisticados (y caros) que otros. No hay una manera “correcta” del sistema que se adapte a las necesidades de cada organización. En la selección de una solución para su organización, usted deberá tener en cuenta:
Ámbito de aplicación (gestión de la identidad a través de una sola organización o una gran federación).

  • Conjunto de características (sencillez frente a un control más granular).
  • Facilidad de implementación.
  • Escalabilidad.
  • Presupuesto

El primer paso es definir exactamente lo que quieres que haga el sistema. En un sistema federado, se establece la confianza entre y a través de diferentes organizaciones. El sistema puede proporcionar inicio de sesión único (SSO) por el cual los usuarios pueden iniciar sesión en el proveedor de identidad y acceder a recursos en cualquier lugar dentro de la relación de confianza sin tener que iniciar sesión en múltiples sistemas (siempre que la cuenta tenga los permisos de acceso a los recursos). Esto permite que las organizaciones de la federación puedan compartir servicios con unos o más usuarios.
Hay tantos sistemas de gestión de indentidad de código abierto como soluciones propietarias de sistemas para su uso dentro de las organizaciones. En el conjunto de la función más completa, el despliegue más complejo y la administración del sistema será, lo que trae la necesidad de mano de obra capacitada / personal capacitado y/o contratación de especialistas para configurar el sistema.

Características del sistema de Administración de Identidad
La mayoría de los sistemas de Gestión de Identidad (IDM) proporcionarán características estándar en algunas o todas de las siguientes categorías:

  • Aprovisionamiento, desaprovisionamiento y gestión de cuentas de usuario.
  • La sincronización de contraseñas y atributos.
  • Inicio de sesión único corporativo.
  • Federación.
  • Acceso a la gestión.
  • Reglas basadas en el aprovisionamiento y la gestión.
  • Roles basados en funciones de aprovisionamiento y de gestión.
  • Administración basada en políticas.
  • Reportes.
  • Integración con DLP (Prevención de fuga de datos).

Todas las soluciones proporcionará un repositorio centralizado para almacenar la información de identidad, y la mayoría con asistentes (tal vez con otro nombre) para simplificar el proceso de gestión. Si usted tiene un entorno heterogéneo, usted querrá una solución que soporte diferentes tipos de directorios, bases de datos, sistemas operativos y aplicaciones. Usted también querrá para determinar qué tipos de autenticación son compatibles (contraseñas, datos biométricos, tokens).
Auditoría y presentación de informes a menudo se pasan por alto, pero son características de vital importancia. Pueda que tenga que ser capaz de personalizar los informes, por lo que una solución que le permite hacer esto sin conocimientos de programación es altamente deseable.

Arquitectura del sistema de Administración de Identidad
La Arquitectura de un sistema de IDM comienza con fuentes de información. Esto incluye a los usuarios del sistema, los roles que ocupan en la organización, confianza que se extienden por las organizaciones y las políticas que definen cómo se relacionan las reglas de identidad con acceso a los recursos. Gestión de la identidad se basa en los servicios de directorio, que funcionan como depósitos de datos sobre los usuarios y de sus identidades. Además de las funciones, la autorización granular pueden utilizar los atributos de usuario como la duración del tiempo empleado, la educación/militar o de otro tipo de pre-empleo de fondo, y así sucesivamente. Por lo tanto la base de datos del directorio debe ser personalizable, con un esquema extensible.

Los mecanismos por los que se procesa esta información incluyen la autenticación y autorización, el procesamiento de las reglas, el flujo de trabajo y de cómo las tareas de gestión de identidades se integran con otros procesos como el cumplimiento y la gobernabilidad. Todo esto se logra mediante aplicaciones específicas que realizan el aprovisionamiento de cuentas de usuario y desaprovisionamiento, self-service, de la información de sesión único, la auditoría y, así sucesivamente. Los usuarios deben ser capaces de realizar tareas de autoservicio fácilmente, desde cualquier lugar, y los administradores deben ser capaces de gestionar de forma remota el sistema de IDM. Aplicaciones de servicios Web pueden permitir el acceso al sistema a través de un portal web. Las aplicaciones que componen la solución IDM incluyen servicios web, servicios de directorios, bases de datos y las aplicaciones propias de IDM. Estas aplicaciones se basa en protocolos estándar (HTTP / HTTPS, XML, LDAP, SQL, etc.)
La alta disponibilidad es un requisito importante para un sistema de gestión de identidades, ya que su función es vital para permitir a los usuarios acceder a los recursos necesarios para hacer su trabajo. Por lo tanto replicación de directorios. La fiabilidad de la información también es clave, lo que significa la sincronización de directorios debe ser tomada en cuenta. Finalmente, el rendimiento es importante para evitar la frustración del usuario y la desaceleración del flujo de trabajo empresarial.

Vendedores de IDM
Las populares soluciones IDM son comercializados por:

  • Microsoft
  • HP
  • IBM
  • California
  • Courion
  • Novell
  • Oráculo
  • SAP
  • Siemens

y muchos otros. Vamos a mirar más de cerca los cuatro primeros en las siguientes secciones.

Soluciones de Identidad de Microsoft
Muchas tiendas de Windows, naturalmente, miran hacia Microsoft que fue el primero en considerar las soluciones IDM. Servicios de Active Directory incluye IDM integrados. Active Directory Federation Services (ADFS) se incluyó por primera vez en Windows Server 2003 R2. Se integra con Active Directory Domain Services, que se utiliza como un proveedor de identidad. El esquema de AD se amplió para apoyar operaciones de búsqueda directa de las identidades de UNIX en Active Directory Domain Services, con la adición de la ficha de Atributos UNIX en el complemento Usuarios y Equipos de Active Directory de la consola de gestión cuando se ejecuta Servidor para NIS en un controlador de dominio. AD FS es una función de servidor en Windows Server 2008 y Server 2008 R2. Con AD FS, dos organizaciones diferentes pueden crear fideicomisos a través de los servidores de federación que autentican los usuarios a través del Active Directory y la emisión y validación de las fichas.

Hay muchos paquetes de software de terceros de IDM que están diseñados para trabajar con Active Directory para ampliar las capacidades de IDM, como el NetWrix Identity Management Suite, Adaxes Softera y productos de Centrify.
Microsoft ha sacado varias versiones de su propia solución IDM por separado. Microsoft Identity Integration Server (MIIS) surgió a partir de Microsoft Metadirectory Server (MMS) y fue lanzado en el 2003. En el 2007, el nombre fue cambiado a Identity Lifecycle Manager (ILM), y luego en el 2010 se transformó una vez más, en Forefront Identity Manager (FIM). El FIM está diseñado para integrarse con Active Directory y Exchange y herramientas familiares. Los usuarios pueden tomar ventaja de auto-servicio a través de Outlook y los administradores pueden gestionar las identidades a través de una interfaz basada en SharePoint.
FIM contruido sobre ILM, se basa en la combinación de gestión de identidad con la gestión de los certificados y tarjetas inteligentes que proporciona la capacidad para administrar identidades de manera más eficiente en toda la empresa. Las organizaciones pueden combinar la información de identidad de diferentes directorios y sistemas como sincronizar las cuentas de usuario a través de esos sistemas, y la creación de una libreta de direcciones para servir a varios bosques. Cuando los usuarios cambian sus roles, su información se puede actualizar automáticamente de forma que tienen los derechos de acceso correctos para sus nuevas funciones. El FIM le permite crear políticas centralizadas y hace que sea más fácil de automatizar y hacer cumplir las políticas de identidad. Hay conectores de integración con bases de datos que no son de Microsoft, directorios y sistemas operativos, tales como Oracle, SAP, Novell, Sun, Lotus Notes y otros.
Para más información sobre la FIM, consulte como Comprender  FIM 2010.

Soluciones de Identidad de HP
Hewlett-Packard entró en el juego de gestión de identidad en el 2004, cuando añade la función de su sistema de gestión de red OpenView a través del software adquirido, TruLogica. OpenView fue renombrado en 2007 y poco después suspendido por HP Select Access, la Federación y los productos de identidad se descontinúan, a pesar de que seguirá apoyando estos productos hasta el año 2013.
HP ahora ofrece administración de identidades y acceso, como un servicio. Su oferta incluye IAM de ciclo de vida de gestión de identidad con la flexibilidad para utilizar una variedad de credenciales diferentes, incluyendo certificados, tokens y sistemas biométricos. También incluye servicios de federación, la gestión del directorio y de gestión de acceso, con información y servicios de auditoría.

Soluciones de Identidad de IBM
IBM proporciona IDM como parte de su suite de productos de gestión Tivoli. El Tivoli Identity Manager está basado en roles y  políticas  y se integra tanto en gestión de identidades como acceso. Es una solución muy completa que soporta auto-servicio y cuenta con características tales como el aprovisionamiento de bucle cerrado de usuarios (para detectar y corregir las discrepancias entre el acceso aprobado y privilegios locales) y la separación de funciones (para evitar conflictos de acceso de usuario).
Tivoli Identity Manager es compatible con un número de diferentes plataformas, incluyendo Windows Server, SUSE y Red Hat servidores Linux Enterprise, Sun Solaris y AIX de IBM propio curso. Se integra con los sistemas ERP y una amplia variedad de aplicaciones de negocios populares. Usted puede averiguar más sobre él aquí.
 
Soluciones de Identidad de CA
CA Technologies ofrece un producto llamado IDM CA Identity Manager que se han probado con las poblaciones de usuarios de hasta 100 millones de usuarios internos y externos, en una serie de escenarios diferentes (agencia del gobierno, empresa de comercio electrónico, establecimientos al por menor). Incluye las características habituales de aprovisionamiento automatizado y procesos, self-service y el papel y análisis de políticas y control. Está diseñado para trabajar con otras soluciones de CA, tales como Compliance Manager, un módulo de informes de actividad del usuario y así sucesivamente. También es compatible con conectores de Active Directory, SAP y bases de datos de Salesforce.com, y utiliza su propio directorio, CA Directory, que trabaja con otros servidores LDAP.
El Directorio de CA utiliza una tecnología de almacenamiento de memoria asignada que se llama DXgrid, para ofrecer una mayor escalabilidad y mejor rendimiento. La idea es utilizar la ruta más corta y búsqueda en paralelo entre los servidores. También hay una serie de mejoras de fiabilidad, como write-through (en lugar de escritura en segundo) de reparto de carga y conmutación por error.
CA también ofrece IdentityMinder como un servicio, basado en la nube con despliegue de su solución de aprovisionamiento para las aplicaciones basadas en la nube. Esto es parte de un conjunto completo de servicios en la nube llamada CloudMinder que incluyen CA AuthMinder as-a-Service, RiskMinder como servicio y FedMinder as-a-Service. Este documento técnico analiza la estrategia de CA y la visión sobre la identidad y la gestión de acceso para la nube.

Comparación de soluciones de Gestión de Identidad
La selección de una solución de gestión de la identidad requiere una comparación inteligente de características y funcionalidad en el contexto de las necesidades de su organización, preferencias y presupuesto. Algunas consideraciones incluyen:

  • ¿Es la solución de  identidad construida sobre una plataforma de flujo de trabajo?
  • ¿La solución de identidad está construida sobre una plataforma basada en roles?
  • ¿La solución de identidad está construida sobre una plataforma basada en políticas?
  • ¿Es lo suficientemente escalable para satisfacer sus necesidades en el futuro, así como el presente?
  • ¿Puede integrar fácilmente y gestionar múltiples directorios?
  • ¿Funciona en todos los sistemas operativos y aplicaciones implementadas en su organización?
  • ¿Le proporciona a las organizaciones servicios de identidad federados a través de sesión única?
  • ¿Le proporciona el auto-servicio para el restablecimiento de contraseña al usuario?
  • ¿Es compatible con  múltiples métodos de autenticación de terceros?
  • ¿Es fácil de personalizar sin necesidad de programación?
  • ¿Tiene una interfaz amigable, personalizable por el usuario?
  • ¿Incluye la auditoría integral y elaboración de informes, incluyendo personalización de informe, así como informes preconfigurados?

Resumiendo
La selección de una solución de IDM requiere un análisis cuidadoso de los patrones de flujo de trabajo de la organización, las consideraciones de seguridad, roles de usuario, los requisitos de cumplimiento, y mucho más. No sólo debe tener en cuenta el estado actual, debe tener en cuenta también los planes y metas para el futuro (como un movimiento hacia la nube). Una arquitectura de IDM básica se basa en una base de escalabilidad, fiabilidad y alta disponibilidad para las funciones clave, tales como el aprovisionamiento de cuentas de usuario, autenticación, autorización y gestión de acceso.

En la 4ta parte de esta serie, hablamos de las características de la solución de IDM y la arquitectura, las soluciones específicas de IDM populares disponibles en la actualidad, y una lista de comprobación para la evaluación de soluciones IDM. En la 5ta parte, vamos a discutir el futuro de la gestión de identidades con un enfoque especial sobre el efecto de la nube en el IDM.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.

La quinta parte se entregará proximamente.
Hasta la próxima….


Crisis de Identidad (Gestión) (Parte 2): Todo lo que (Usted piensa) sabe que está mal

Introducción
En la Parte 1 de esta serie, hemos profundizado en el significado de la “identidad” – tanto en el esquema general de las interacciones humanas, en el mundo de las redes de computadoras – cómo en los significados que han evolucionado a lo largo de los años. Desafortunadamente, mucho de lo que creemos saber sobre la identidad, prueba, luego de un examen más detenido, que sólo una parte es parcialmente verdadero o falso en su totalidad. Tal vez el mayor obstáculo para el personal de TI a superar es la idea de que la identidad es sólo acerca de los nombres y contraseñas de cuentas (o las credenciales de autenticación de terceros).

Nombres no es lo mismo que Identidad
Los nombres son el principal medio por el cual la mayoría de nosotros identifican a las personas (como a los objetos también). En el idioma Inglés (en Español se definen de la misma manera)(1), los nombres que identifican a determinados individuos o entidades se llaman “nombres propios”. La investigación ha demostrado que incluso algunas especies no humanas (como los delfines) aparece el uso de nombres, de una especie, para diferenciarse entre uno y otros. En algunas sociedades, los nombres están muy bien guardados y solo se confían a personas cuando las mismas son de confianza.
(1) Referencia del traductor.

En IT, los nombres se requieren a menudo para obtener acceso a un recurso. Los nombres de cuenta de los usuario son una parte del conjunto de la información necesaria para iniciar sesión en una computadora o tener acceso a un recurso protegido en el sistema o a través de la red. Los nombres de los servidores pueden ser necesarios para localizar un recurso de red. La combinación de nombre de servidor, nombre de dominio y el nombre del archivo está obligando a acceder a una página web – aunque a veces no están obligados a proporcionar toda la información, por ejemplo, si apuntamos un navegador web para http://www.mydomain.com, que han proporcionado el nombre del servidor Web (WWW) y los nombres de dominio (mydomain y com.) pero no tiene que escribir el nombre del archivo (por ejemplo, default.htm o index.html), ya que se supone que si no lo hacemos, puede entrar en otro nombre de archivo.

En el “mundo real”, muchas personas diferentes pueden tener exactamente el mismo nombre, escrito de la misma manera. Todos los John Smiths por ahí puede ser fácilmente confundido con otras personas. En un sistema de TI, los nombres de las cuentas de usuario se requieren generalmente para ser único dentro de ese sistema. Vemos, pues, los nombres de usuario, tales como jsmith392.

Tan importante como son los nombres, es importante recordar que un nombre en realidad es sólo un descriptor. Ya sea que se refieren a mí como “Debra Shinder”, como “el autor de Crisis de Identidad (Gestión)” o como “el 5’4 “mujer pelirroja de suéter verde”, que estamos hablando de la misma persona. Sin embargo, sólo dos de las tres descripciones son específicos (no es probable que sean muchas las mujeres que usan 5’4 “suéteres verdes en el mundo en un día determinado”). Sólo uno de ellos es permanente – que podría teñirme el pelo, o incluso cambiar legalmente mi nombre, pero una vez que he escrito este artículo, siempre voy a ser el autor. Sólo uno es “oficial”, en el que está en mis documentos emitidos por el gobierno. Los nombres se pueden cambiar – a través de una orden judicial, a través del matrimonio, o en algunas jurisdicciones en común, sólo mediante la adopción y el uso de uno nuevo. El punto es que su nombre no es usted.

En TI, los nombres de usuario también se puede cambiar. En la mayoría de los sistemas, esto se puede hacer con bastante facilidad, precisamente porque, aunque el nombre es la información que usan los humanos para identificar la cuenta, no es lo que utiliza el sistema. El sistema utiliza generalmente una cadena alfanumérica de caracteres subyacente, que en los sistemas Windows se llama el SID o el identificador de seguridad. El nombre asociado con el SID es sólo una de sus propiedades y se puede cambiar.

Las credenciales de autenticación no es igual a Identidad
Lo que comúnmente se denomina como “robo de identidad” en general es realmente el robo de credenciales que se asocian con una identidad particular. Robar tu contraseña no constituye realmente el robo de tu identidad – pero permite al ladrón hacerse pasar por Usted. Esto sólo funciona con un sistema sofisticado / sin saber que se basa únicamente en esas credenciales para identificarse y hacer la suposición de que Usted es el único que podría saber la contraseña.

Volviendo a la comparación del mundo real, si alguien utiliza su nombre y tal vez tiene una de sus tarjetas de crédito en su posesión, un comerciante no sabe por que razón puede tener la tarjeta o si la misma ha sido robada y la considera válida. Un comerciante más consciente de los riesgos, puede pedir una identificación con una foto, junto con la tarjeta de crédito, para verificar que realmente es Usted. Un comerciante que en realidad sabe que no es Usted, sabrá de inmediato que no es usted, incluso si el ladrón de la apariencia física en general es similar a la suya o no.

Incluso si una persona tuvo una cirugía plástica para él/ella se mira igual que Usted, sus amigos cercanos y miembros de la familia sabrán que no es la persona que dice ser, al menos después de un poco de interacción, porque esa persona podría tener todos sus recuerdos, o recordar todas las experiencias compartidas, y demás que componen una relación.

Un sistema de autenticación de TI sofisticado debe exigir algo más que el nombre y la contraseña correcta. Usted probablemente ha notado que recientemente, ciertos sitios web protegidos han empezado a utilizar otros métodos, adicionales para verificar su identidad junto con las credenciales habituales. Le puede solicitar la respuesta a una pregunta personal, como el monto de su pago hipotecario mensual. Puede ser que hayan seleccionado una foto que usted tendrá que escoger de un grupo de imágenes cada vez que se inicie la sesión. Hay muchas maneras diferentes de hacer el proceso de verificación de identidad más difícil para un impostor se pueda hacer pasar como Usted. El truco es hacer que sea muy difícil para un impostor, pero muy fácil para el “verdadero yo”. En la Parte 3, vamos a estar mirando a los diferentes métodos y la forma de determinar cuál funciona mejor en una situación determinada.

El dilema de la Identidad múltiple
Una cosa que complica la gestión de identidad es el gran número de identidades que cada uno de nosotros puede asumir en el curso legítimo al momento de vivir nuestras vidas. En la vida real, aunque la mayoría de nosotros usamos el mismo nombre para la mayoría de nuestras interacciones, jugamos muchos roles diferentes en función de dónde estamos y con quien estamos interactuando.

A veces estas diferencias son tan extremas que las descripciones de la misma persona en diferentes situaciones nos llevaría a creer que usted puede ser tímido y reservado en casa, pero extrovertido y bullicioso en público “No debemos estar hablando de la misma Mary Smith.” – O viceversa. Usted puede ser formal y correcto delante de sus padres, pero provocativo u ofensivo, incluso después de unas copas en un bar.

Algunas personas incluso viven de verdad una “doble vida”, no sólo actúan de manera diferente, pero usan oficialmente distintas identidades. Todos lo hemos visto en las películas – por lo general la participación de un espía del gobierno o agente de espionaje corporativo. Hemos leído los artículos periodísticos sobre el vendedor afable que tiene esposas y familias en diferentes ciudades. Y, por supuesto, no es la condición psiquiátrica, lo que se llamó una vez “doble personalidad” o “trastorno de personalidad múltiple” y que ahora se denomina “trastorno de identidad disociativo”, en el que una persona muestra “alterna” – distintas personalidades separadas, cada una con su propias percepciones del mundo.

La mayoría de nosotros tenemos muchas identidades diferentes – que generalmente se traduce en muchos conjuntos de nombres de usuario y contraseñas (y / u otras credenciales de autenticación). Tenemos un nombre y una contraseña para iniciar sesión en nuestros ordenadores, otro para el registro en los equipos de trabajo, otro para la línea de sitios Web bancarios, otro para el pago de nuestra factura de electricidad, uno para comprar cosas de Amazon, uno para compartir con los amigos en las redes sociales, y sigue y sigue y sigue. No es nada raro tener veinte o más cuentas diferentes en línea para la gestión de los diferentes aspectos de nuestras vidas digitales.

Sólo la gestión de todas sus identidades personales puede ser un desafío. Los departamentos de TI tienen más de un desafío, con la necesidad de gestionar cientos o miles de identidades de los usuarios. Algunas personas toman el camino más fácil, y usar el mismo nombre y la contraseña para todas sus cuentas. Simplifican las cosas, pero plantea una gran amenaza a la seguridad: Si el conjunto de las credenciales se ve comprometida, todas sus cuentas están en riesgo.

Otros utilizan un método improvisado de “niveles” de credenciales. Es posible que tenga un nombre de usuario/contraseña que utiliza para las cuentas no muy importantes, como el inicio de sesión en un sitio de noticias para leer sus historias o de TI en el foro para hacer/responder a las preguntas de alta tecnología. Entonces usted tiene otra cuenta que se utiliza para los sitios de alta seguridad, tales como Facebook o Google (en el que compartir información personal). Esa contraseña puede ser mayor y más compleja. Usted podría tener otro conjunto de credenciales, más difícil como contraseña/frase, para los sitios de banca o en los que debe introducir la información de tarjetas de crédito u otros datos financieros.

Una identidad para gobernarlos a todas
Single Sign-on es considerado por algunos como el Santo Grial de la gestión de la identidad. Esto se refiere a la capacidad de iniciar sesión una vez y acceder a múltiples sistemas. Esto difiere de utilizar las mismas credenciales para varias cuentas en que hay:

1.Credenciales idénticas, usted todavía tiene que iniciar sesión en cada sistema por separado, simplemente no tiene que recordar múltiples nombres y contraseñas.
2.Inicio de sesión único, usted todavía tiene unas credenciales distintas para cada uno de los sistemas, pero todos estos son almacenados por el sistema de SSO y entró automáticamente en el sistema adecuado después de haber iniciado sesión con su cuenta “maestra” de SSO.
Vamos a mirar más de cerca soluciones de sesión única en la parte 3.

A veces, tener una sola identidad, incluso dentro de un único sistema, puede ser problemático. Algunas redes sociales populares, como Facebook y Google+, han recogido quejas de los usuarios acerca de sus políticas que prohíben que los usuarios tengan varias cuentas y/o requiere a los usuarios utilizar sus “reales” (legal) nombres de cuenta. Muchas personas, por ejemplo, desean tener una cuenta de compañeros de trabajo y otro para los amigos personales. Algunos quieren usar un seudónimo, como un nombre de cuenta, porque ese es el nombre con el que el público los conoce (los autores que utilizan seudónimos, los actores que tienen nombres artísticos, etc.) En algunos casos, incluso puede ser peligroso para una persona a usar su nombre real debido a las leyes dictatoriales o por las cuestiones políticas en países en los que cualquier atisbo de disidencia puede ser castigada con la muerte.

ResumiendoSu identidad es mucho más que un conjunto de credenciales, pero la protección de sus credenciales es una parte importante para operar de forma segura en línea. En la Parte 3, vamos a ver algunas de las soluciones de gestión de identidad, y en la parte 4, vamos a terminar esta serie con algunas especulaciones sobre el futuro de la identidad en un mundo cada vez más interconectado.

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.
La tercera y cuarta parte se entregarán proximamente.


Actualizaciones plataforma Microsoft – ENERO 2012

Empezamos el año con nuevas actualizaciones para la plataforma Microsoft. El boletín publicado en el día de la fecha contiene siete actualizaciones:

1) MS12-004: Vulnerabilidades en Windows Media podrían permitir la ejecución remota de código (2636391) Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo multimedia especialmente diseñado. Un atacante que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
Si bien esta actualización figura como crítica, en los servidores que no se usen archivos de multimedia puede ser desestimado.
CLASIFICACION: CRITICO

2) MS12-001: Una vulnerabilidad en el kernel de Windows podría permitir la omisión de característica de seguridad (2644615) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir a un atacante omitir la característica de seguridad de SafeSEH en una aplicación de software. Un atacante podría usar otras vulnerabilidades para aprovechar el controlador de excepciones estructuradas para ejecutar código arbitrario. Solo las aplicaciones de software que se compilaron con Microsoft Visual C++ .NET 2003 se pueden usar para aprovechar esta vulnerabilidad.
CLASIFICACION: IMPORTANTE

3) MS12-002: Una vulnerabilidad en Empaquetador de objetos podría permitir la ejecución remota de código (2603381) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo legítimo con un objeto empaquetado insertado que se encuentre en el mismo directorio de red que un archivo ejecutable especialmente diseñado. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION: IMPORTANTE

4) MS12-003: Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2646524) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008. Todas las ediciones compatibles de Windows 7 y Windows Server 2008 R2 no están afectadas por esta vulnerabilidad.
CLASIFICACION: IMPORTANTE

5) MS12-005: Una vulnerabilidad en Microsoft Windows podría permitir la ejecución remota de código (2584146) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado con una aplicación ClickOnce insertada malintencionada. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION: IMPORTANTE

6) MS12-006: Una vulnerabilidad en SSL/TLS podría permitir la divulgación de información (2643584) Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en SSL 3.0 y TLS 1.0. Esta vulnerabilidad afecta al protocolo y no es específica del sistema operativo Windows. La vulnerabilidad podría permitir la divulgación de información si un atacante intercepta tráfico web cifrado que se sirva desde un sistema afectado. TLS 1.1, TLS 1.2 y todos los conjuntos de programas de cifrado que no usan el modo CBC no están afectados.
CLASIFICACION: IMPORTANTE

7) MS12-007: Una vulnerabilidad en la biblioteca AntiXSS podría permitir la divulgación de información 2607664) Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la biblioteca antiscripts de sitios de Microsoft (AntiXSS). La vulnerabilidad podría permitir la divulgación de información si un atacante pasa un script malintencionado a un sitio web con la función de saneamiento de la biblioteca AntiXSS. Las consecuencias de la divulgación de dicha información dependen de la naturaleza de la propia información.
CLASIFICACION: IMPORTANTE

Les recordamos que se realizará un Webcast con las explicaciones de las actualizaciones publicadas en este boletín, para asistir al mismo, visite este sitio.

Para los clientes de ambientes corporativos, recomendamos:

1) Implemente el servicio de WSUS, el mismo le permitirá verificar las actualizaciones y hacer un despligue ordenado del mismo.
2) Revise los documentos técnicos en aquellas actualizaciones que puedan impactar en servidores que poseen aplicaciones de tercero. Se recomienda implementar las actualizaciones previamente en un escenario de prueba.
3) Mantenga la plataforma actualizada, es la mejor manera de prevenir problemas de seguridad.

Hasta la próxima.

Fuente: Microsoft


Nos subimos a la nube…..(Parte I)

Introducción
El  objetivo de esta serie de artículos es analizar como con Microsoft BRS Solutions ( Microsoft Business Ready Security Solutions) podemos proteger la información sin importar donde esté, verificando como se accede a ella y a su vez protegemos la misma manteniento los objetivos de la Seguridad de la Información (Confidencialidad-Integridad-Disponibilidad). BRS Solutions, compuesto por la familia de soluciones Forefront nos ayudará con el objetivo, pero antes de que entremos a las problemáticas puntuales, tenemos que entender algunos
conceptos.
La Nube
Si buscamos en BING, el concepto de Cloud Computing, vamos a encontrar varias definiciones comunes. Para el caso, vamos a utilizar una definición que me agradó de NIST, ya que es la más completa de todas, que la describe de la siguiente manera :
“…Cloud Computing es un modelo para permitir acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración
o de interacción con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está compuesto por cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue…”
Características del modelo
1) On-demand self-service: Autoservicio por demanda,un usuario de recursos de la nube puede aprovisionar de manera unilateral capacidades de cómputo, tales como tiempo de servidor y almacenamiento en red, en la medida en que las requiera sin necesidad de interacción humana por parte del proveedor del servicio. Ejemplo de ello, cuando utilizan almacenamiento provisto por los Webmails, como el caso de SkyDrive de Hotmail.
2) Broad network access: Acceso amplio desde la red, las capacidades están disponibles sobre la red y se acceden a través de mecanismos estándares que promueven el uso desde plataformas clientes heterogéneas, tales como clientes delgados (Thin Client), clientes pesados (Pc) o cualquier dispositivo móbil con acceso a Internet compatible con los estándares. (ej. Windows Mobile, IPad, IPhone, etc).
3) Resource pooling : Conjunto de recursos, los recursos computacionales del proveedor se habilitan para servir a múltiples consumidores mediante un modelo “multi-tenant*”, con varios recursos físicos como virtuales asignados dinámicamente en base a la demanda. Existe un sentido de independencia de
ubicación en cuanto a que el usuario no posee control o conocimiento sobre la ubicación exacta de los recursos que se le están proveyendo aunque puede estar en capacidad de especificar ubicación a un nivel de abstracción alto (ej. país, estado o centro de datos). Algunos ejemplos incluyen almacenamiento, procesamiento, memoria, ancho de banda y máquinas virtuales.
*El modelo Multi-Tenant se refiere a una arquitectura de software donde una única instancia del software se ejecuta en un servidor y al servicio de múltiples clientes.
4) Rapid elasticity: Rápida elasticidad, las capacidades pueden ser rápidamente y elásticamente  provisionadas, en algunos casos automáticamente, para escalar hacia fuera rápidamente y también
rápidamente liberadas para escalar hacia dentro también de manera rápida. Para el usuario, estas capacidades disponibles para aprovisionar a menudo aparecen como ilimitadas y pueden ser compradas en cualquier cantidad en cualquier momento.
5) Measured Service: Servicio medido, los sistemas en la nube controlan y optimizan automáticamente el uso de los recursos mediante una capacidad de medición a algún nivel de abstracción adecuado al tipo de
servicio. (ej. almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de estos recursos puede ser monitoreado, controlado y reportado, proporcionando transparencia tanto para el proveedor como para el usuario por el servicio utilizado.
Modelos de Servicios
1) Cloud Software as a Service (SaaS): Software como un service, esta capacidad provee al usuario que
utiliza las aplicaciones del proveedor una infraestructura de nube. Las aplicaciones son accesibles desde varios dispositivos clientes a través de una interfaz como un navegador. (ej. Web-mail).
2) Cloud Platform as a Service (PaaS): Plataforma como un servicio: Esta capacidad le permite
al usuario desplegar en la infraestructura del proveedor aplicaciones creadas por el primero, incluso adquiridas, usando lenguajes de programación y herramientas del proveedor. El usuario no administrar o controlar la
infraestructura subyacente incluyendo nube de red, servidores, sistemas operativos, o de almacenamiento, pero tiene el control sobre las aplicaciones implementadas y, posiblemente, alojamiento de aplicaciones configuraciones de entorno.
3) Cloud Infrastructure as a Service (IaaS): Infraestructura como un servicio, esta capacidad permite al consumidor aprovisionar recursos computacionales como almacenamiento, procesamiento, redes
y otros elementos fundamentales en donde el consumidor puede desplegar y correr software arbitrario, el cual puede incluir sistemas operacionales y aplicaciones. El usuario no administrar o controlar la infraestructura cloud subyacente pero tiene el control sobre los sistemas operativos, almacenamiento, las aplicaciones implementadas, y posiblemente un control limitado de los componentes de red seleccionados.
Modelos de Despliegue
Ahora analizamos modelos de despligue o topología de la misma.
1) Private cloud: nube privada, la infraestructura en la nube es operado exclusivamente para una organización. Puede ser administrado por la organización o de un tercero y pueden existir en
las instalaciones o fuera de la premisa.
2) Community cloud: Nube comunitaria, la infraestructura en la nube es compartida por varias
organizaciones y es compatible con una comunidad específica que ha compartido las preocupaciones (por ejemplo, la misión, los requisitos de seguridad, la política y las consideraciones de cumplimiento). Puede ser administrado por las organizaciones o de un tercero.
3) Public cloud, Nube pública, la infraestructura de nube se puso a disposición del público en general
o a un grupo de la gran industria y es propiedad de una organización de venta de servicios en la nube.
4) Hybrid cloud: Nube Híbrida, la infraestructura en la nube es una composición de dos o más nubes (privada, comunitaria, o del público) que se mantienen las entidades únicas, pero están unidos por la tecnología estandarizada o de propiedad que permite que los datos y la portabilidad de aplicaciones (por ejemplo, nubes de ruptura de equilibrio de carga entre las nubes). Recuerden que en los modelos denominados Híbridos,
existe combinaciones de algún otro formato o modelo.
Microsoft Business Ready Security Solutions
En respuesta a estos retos y oportunidades de negocio, Microsoft está adoptando un enfoque fundamentalmente diferente a la seguridad. Este enfoque se denomina Business Ready Security. Se entiende a la seguridad como un elemento necesario para ayudar a las empresas a alcanzar sus objetivos de negocio, además ayudar a asegurar que las personas con permisos adecuados siempre tengan acceso a la
información que necesitan para realizar su trabajo.
Microsoft entiende que la seguridad debe abarcar la protección, el acceso y la gestión, todos entorno a la
identidad del usuario e integrado con una alta seguridad y plataforma interoperable.
En base a esto, Microsoft está trabajando para lograr el objetivo de BRS que basa en tres principios fundamentales:
1) La seguridad debe integrar y estar extendida en toda la empresa. Seguridad debe ser incorporada a la infraestructura (no solo con el objetivo de cumplir con auditorías), en el trabajo en múltiples plataformas y entornos. Identificar al usuario donde esté y sin importar a que plataforma acceda.
2) Seguridad debe contribuir a “la protección de todas partes, el acceso en cualquier lugar “. Esto incluye proporcionar protección a través de múltiples capas y permite el acceso remoto seguro.Protección y acceso deben ser entregados dentro del contexto de la identidad de un usuario
3) Microsoft entiende que la seguridad y la experiencia de cumplimiento deben ser significativamente
simplificado para nuestros clientes. Esta experiencia simplificada debe extenderse a todos los usuarios con una empresa que “interactua” con la seguridad y ayudar a gestionar los costes, la complejidad y el cumplimiento.
Por último, vamos a ver los diferentes focos que hace BRS.Business Ready of Security establece seis soluciones de uso, centrado en activos que ayudan a reducir los costos y a simplificar la administración de seguridad en el entorno de la empresa utilizado la infraestructura de TI:
1) Integrated Security – Seguridad integrada: Fácil de manejar, el malware y protección integral de información en toda la empresa.
2) Secure Messaging – Mensajería Segura: La comunicación segura de negocios desde prácticamente cualquier lugar y en cualquier dispositivo, al tiempo que evita el uso no autorizado de información
confidencial.
3)Secure Collaboration- Colaboración Segura: La colaboración segura de negocios desde prácticamente cualquier lugar y en cualquier dispositivo, evitando el uso no autorizado de información confidencial.
4)Secure Endpoint- Seguro de punto final: Proteger al cliente y sistemas operativos para servidores de las amenazas emergentes y la pérdida de información, al tiempo que permite un acceso seguro
desde prácticamente cualquier lugar y en cualquier dispositivo.
5) Identity and Access Management- Gestión de identidades y acceso: Simplificar y gestionar el acceso a un acceso seguro y compatible con las aplicaciones en las instalaciones y en la nube desde cualquier lugar o dispositivo.
6) Information Protection – Proteger la información: simplificar y administrar la protección de la información, evitando de esta manera fuga de la misma y ayudando al cliente en el cumplimiento de políticas.
En los artículos posteriores vamos a ir analizando cada uno de estos seis puntos, validando como soluciones Microsoft nos ayudan en la Seguridad Corporativa, y a su vez comprender el funcionamiento de la plataforma
FOREFRONT que nos permitirá sastifacer las necesidades de cada uno de los puntos mencionados anteriormente.
Fuentes: Nist, Microsoft.

Webcast Microsoft


Nos subimos a la nube… (Parte II).

Continuando la serie de artículos que comenzáramos en diciembre del año pasado, en esta segunda entrega, se analizará la Seguridad Integrada de una organización. Revisaremos como poseer una plataforma segura teniendo en cuenta todas las soluciones que componen el BRS (Business Ready Security).

Problemática

Hoy en día, la mayoría de las compañías, hacen foco en la lucha contra el malware en los puestos de trabajo. No podemos perder la visión holística de la organización, si hablamos de seguridad, debemos tener en cuenta los siguientes aspectos:

  • Distribución de los recursos tecnológicos de manera lógica y geográfica,
  • acceso de los usuarios y proveedores via VPN u otro medio,
  • tráfico entrante y saliente de correo, accesos web y ftp,
  • acceso a la información por parte de los usuarios, proveedores y terceros esporádicos.
  • permisos de acceso a los archivos, previa clasificación de la documentación (pública, privada, confidencial, etc),
  • fuga de información,
  • seguimiento de usuarios y consolidación de identidad,
  • control de acceso de los servicios Web de los usuarios,
  • tratamiento del correo electrónico.

Si se hace foco en un solo punto de todos los mencionados anteriormente, corremos el riesgo que sea explotada alguna vulnerabilidad y se nos presente un problema serio de seguridad en la compañía. La solución debe ser global, posible de auditar y que nos entregue en tiempo y forma el estado de seguridad de la compañía.

Business Ready Security
Teniendo en cuenta la problemática de la seguridad Microsoft ha estado trabajando, para lograr la estrategia de Business Ready Security , en tres principios fundamentales.

1) Integrar y extender la seguridad en toda la empresa.
2) Ayudar a proteger a todas partes, el acceso en cualquier lugar.
3) Simplificar la experiencia de la seguridad, gestionar el cumplimiento.

Analizaremos a continuación cada uno de los principios.

Integrar y extender la seguridad en toda la empresa
Las soluciones de Microsoft Identity and Security y con la ayuda de productos de la familia Forefront, se logra una protección sin fisuras de los sistemas de TI mediante la integración con la plataforma Windows, las aplicaciones y la infraestructura. La plataforma de Identidad y Seguridad apoya entornos heterogéneos, permitiendo a terceras parte compartir y utilizar las capacidades para ayudar a ofrecer un mayor valor en toda la organización.

Dentro de las soluciones encontraremos a:
1) Windows Identity Foundation ayuda a los desarrolladores .NET a crear aplicaciones para notificaciones que externalizar la autenticación de usuario de la aplicación, mejorando la productividad del desarrollador, mejorando la seguridad de las aplicaciones, y permitiendo la interoperabilidad.

2) Active Directory Federation Services 2.0 (antes conocido como “Geneva” Server) es un servicio de token de seguridad, permitiendo la gestion del acceso de usuario y que permite simplificar el inicio de sesión único (single sign-on).

3)Active Directory Rights Management Services (AD RMS) le ayuda a aumentar la estrategia de una organización de seguridad mediante la protección de información a través de políticas de uso persistentes, que permanecen con la información sin importar dónde la misma se mueve.

4) Servicios de Active Directory, proporciona los medios para gestionar las identidades y relaciones que conforman la red de su organización. Integrado con Windows Server 2008, Active Directory proporciona una funcionalidad de configurar y administrar de forma centralizada el usuario y configuración de la aplicación. Active Directory Domain Services (AD DS) almacena los datos centralizadamente y maneja la comunicación entre usuarios y dominios, incluidos los procesos de inicio de sesión de usuario, autenticación y las búsquedas.

5) Bitlocker & Bitlocker to go: nos permite cifrar los repositorios de datos y equipos o dispositivos moviles. Un dispositivo USB, hoy puede ser cifrado por políticas de AD.

Ayudar a proteger a todas partes, el acceso en cualquier lugar.
Microsoft Forefront ofrece soluciones integrales de extremo a extremo, tanto en las instalaciones y en la nube,ayudando a proteger prácticamente todo el mundo y permitiendo un acceso seguro desde cualquier lugar. Utilizando este principio integrado de protección, identidad, y productos de acceso, el administrador puede ayudar a proteger el entorno y gestionar el acceso a través de datos, usuarios y sistemas.
Este principio es holísitico, y dentro de las soluciones encontraremos a:

1) Forefront Endpoint Protection 2010, protegemos el Sistema Operativo de la compañía. Permite a las empresas alinear la seguridad y la gestión para mejorar la protección de puntos finales, reduciendo los costos operativos. Se basa en System Center Configuration Manager 2007 R2 y R3, lo que permite a los clientes utilizar su infraestructura existente de gestión de clientes para desplegar y gestionar la protección de punto final.

2) Forefront Protection 2010 for Exchange Server, proporciona una detección rápida y efectiva de malware y spam, bloqueando el contenido mediante el uso de una política, y se integra con Forefront Online Protection for Exchange para ofrecer los beneficios de defensa en profundidad. Con la nueva consola, se integra con los otros productos de la familia, logrando así contar con un estado real de la seguridad corporativa.

3) Forefront Online Protection for Exchange (FOPE), basado en el concepto de Cloud Computing, puede ayudar a simplificar la administración de sus entornos de mensajería. El modelo hosteado de servicios en línea no requiere instalación de hardware o software, reduce al mínimo la inversión inicial. Como uno de los servicios en línea de Microsoft, Forefront Online Protection for Exchange proporciona una capa de funciones de protección implementado a través de una red mundial de centros de datos seguros.

4) Forefront Protection 2010 for SharePoint, ayuda a evitar que los usuarios suban o descarguen los documentos que contienen malware, fuera de la política de contenido, o información sensible a las bibliotecas de SharePoint. Se combina varios anti-malware de motores de escaneo de los socios de seguridad referentes en la industria, con el archivo y filtrado de palabras clave para proporcionar una protección completa contra las amenazas más recientes.

5) Forefront Security for Office Communications Server, ofrece una protección rápida y efectiva contra el malware de mensajería instantánea basado en la inclusión de múltiples motores de escaneo de los socios de seguridad líderes en la industria. También puede ayudar a reducir la responsabilidad corporativa mediante el bloqueo de mensajes instantáneos que contienen contenido inapropiado.

6) Forefront Threat Management Gateway 2010 (TMG), permite a la organización el uso de servicios de internet de manera segura y productiva, un uso para los negocios sin preocuparse por el malware u otras amenazas. Proporciona múltiples capas de protección, con continua actualización que se integran en un sistema unificado, fácil de manejar y lo que reduce el costo y la complejidad de la seguridad Web.

7) Forefront Unified Access Gateway 2010 (UAG), ofrece acceso completo y remoto seguro a recursos corporativos para los empleados, socios y proveedores en ambos equipos (administrados y no administrados) y los dispositivos móviles. Utilizando una combinación de opciones de conectividad, que van desde VPN SSL a DirectAccess, así como la construcción en las configuraciones y políticas, UAG proporciona gestión centralizada y fácil de acceder a una oferta completa de la organización en cualquier lugar.

Simplificarla la experiencia de la seguridad, gestionar el cumplimiento.
Microsoft viene trabajando para proveer soluciones que permitan gestionar información de forma segura a través de varios usuarios, puntos finales y servidores al mismo tiempo que lograr el cumplimiento de políticas de seguridad. La protección de Microsoft Forefront con control de acceso y soluciones que permiten la gestión de identidades que se integran con los entornos existentes, logran una implementación más sencilla, se obtiene la información centralizada a través de múltiples sistemas, y la gestión de los usuarios y la información en una sola vista.

1) Forefront Identity Manager 2010, simplifica la gestión de la empresa a través de la identidad de los usuarios finales la capacidad de autoservicio y las herramientas de administrador para automatizar tareas.

2) Microsoft Forefront Protection Server Management Console (FPSMC), la consola de administración proporciona un interfaz gráfica fácil de usar para el descubrimiento de servidores, configuración de implementación, presentación de informes, gestión de cuarentena, actualización del motor con las nuevas definiciones y a su vez la integración con Forefront Online Protection for Exchange.

La seguridad corpotativa de extremo a extremo es posible, aquí faltan algunos puntos a tener en cuenta como

1) Política de Seguridad de la compañía.
2) Cumplimiento de leyes y normas requeridas por el negocio (ej, PCI, ISO, etc).
3) Esquema de alertas y monitoreo.
4) Definición de responsable de las soluciones.
5) Política de clasificación de la información.

Se mencionan los puntos anteriores, por que el despligue por si solo de la solución de BRS, sin tener en cuenta los puntos anteriores, puede producir fallas o no lograr obtener los resultado esperados. Se imaginan que una alerta es emitida y nadie es responsable de una acción ante esa alerta, puede provocar caída o daños del sistema.

Estos temas serán tratados en el Webcast del día 8 de febrero, si desean registrarse, visite este sitio

Artículo publicado en http://seguridadit.blogspot.com

Mantenete actualizado!!