Mejora de la Seguridad con PAM en el Sector Financiero

En el panorama de seguridad actual, en constante evolución, las instituciones financieras deben cumplir requisitos normativos estrictos, como la certificación PCI-DSS, para proteger los datos sensibles. Recientemente, Soffid IAM tuvo la oportunidad de ayudar a un cliente del sector financiero a obtener esta certificación mediante la implementación de una sólida solución de Gestión de Acceso Privilegiado (PAM). A continuación, exploramos los desafíos, soluciones y resultados de este proyecto intensivo de tres semanas.

Alcance y Objetivos del Proyecto

El cliente en el sector financiero necesitaba mejorar la seguridad en toda su infraestructura de red, específicamente mediante:

• La habilitación de autenticación multifactor (MFA) para acceso seguro.
• La implementación de grabación de sesiones para una mayor trazabilidad.
• La cobertura de una variedad de dispositivos, entre ellos:
  • Servidores Windows y Linux
  • Routers backbone
  • Conmutadores de red básicos
  • Aplicaciones de gestión críticas

Este amplio rango de dispositivos requería un enfoque flexible para integrar distintos protocolos y tecnologías, garantizando que las nuevas medidas de seguridad se ajustaran a su infraestructura existente.

Implementación de una Solución de Autenticación Multifactor (MFA)

Para facilitar el acceso de los usuarios y mejorar la seguridad, desplegamos una solución MFA que permitía a los usuarios registrar sus dispositivos de autenticación de manera autónoma. Integrado con Active Directory, los usuarios podían verificarse usando su contraseña de AD, lo que simplificaba y aceleraba el proceso de registro.

Acceso Seguro a Aplicaciones Legadas

Uno de los desafíos más significativos fue asegurar el acceso a aplicaciones legadas. Mientras que algunas aplicaciones admitían protocolos SAML o OpenID Connect, otras no lo hacían, por lo que fue necesario implementar soluciones alternativas:

• Para Aplicaciones Compatibles con SAML y OpenID: Configuramos el proveedor de identidad de Soffid para ofrecer autenticación MFA, garantizando una experiencia de inicio de sesión segura y coherente.
• Para Aplicaciones No Compatibles: Desplegamos un módulo de inicio de sesión único web, que actúa como un proxy inverso para conectar las aplicaciones legadas con el proveedor de identidad a través de SAML. Esta configuración permitió la autenticación de usuarios sin necesidad de modificar las aplicaciones.

Asegurando el Acceso a Servidores y Redes

Para asegurar el acceso a varios dispositivos de red, utilizamos el servidor de lanzamiento PAM de Soffid, que permite acceso seguro con MFA:

• Para Servidores Windows y Linux: El servidor PAM facilitó el acceso seguro mediante RDP para Windows y SSH para servidores Linux.
• Para Routers Backbone: Configuramos autenticación TACACS+ con MFA, compatible con cualquier dispositivo que admita TACACS+. Esto permitió configurar rápidamente la mayoría de routers y conmutadores IOS.
• Para Conmutadores Básicos: Dado que estos conmutadores no admitían TACACS+ y utilizaban una interfaz de gestión basada en web, empleamos el complemento navegador-en-navegador de PAM de Soffid, que proporcionó a los administradores sesiones seguras de navegador para acceder a estos dispositivos. En este caso, todas las capacidades de grabación y monitoreo estaban disponibles.

Permisos Just-in-Time para Entornos de Prueba

Para satisfacer las necesidades del cliente de acceso dinámico en sus entornos de desarrollo, implementamos permisos just-in-time (JIT). Esta función permitía a los testers y desarrolladores acceder a los sistemas necesarios mientras aseguraba que estos privilegios se revocaran automáticamente después del período de prueba, minimizando la exposición a riesgos de seguridad.

Principales Desafíos Superados

A lo largo del proyecto, abordamos varios desafíos complejos:

• Integración de Aplicaciones Legadas sin alterar sus procesos de inicio de sesión.
• Compatibilidad con Conmutadores Básicos mediante soluciones innovadoras de acceso basado en navegador.
• Implementación de Permisos Just-in-Time en una infraestructura tecnológica diversa.

Resultados Obtenidos

Al término de tres semanas de trabajo intensivo, el equipo de Soffid proporcionó una solución robusta que permitió al cliente obtener la certificación PCI-DSS. Los beneficios clave incluyeron:

• Mayor Seguridad a través de MFA en todos los sistemas críticos.
• Incremento de las Capacidades de Monitoreo en activos vitales, ayudando a garantizar la trazabilidad y el cumplimiento normativo.
• Reducción del Riesgo mediante la eliminación de permisos innecesarios en entornos de desarrollo y prueba.

Este caso de éxito demuestra la experiencia de Soffid IAM en la implementación de soluciones PAM adaptables y eficaces, incluso en entornos tecnológicos complejos y diversos como el sector financiero. Con un enfoque flexible e integrado, logramos satisfacer los estrictos requisitos de seguridad del cliente a tiempo y dentro del alcance, reforzando así el compromiso de Soffid en ofrecer soluciones de seguridad líderes en la industria.