Password Manager Pro - Un software de gestión de contraseñas empresariales utilizado por
ManageEngine fue nombrado Challenger en el Cuadrante Mágico™ de Gartner® del 2023 para Gestión de acceso privilegiado Leer el informe completo.
Las cuentas de servicio son cuentas de dominio privilegiado, que son utilizadas por aplicaciones o servicios críticos para interactuar con sus sistemas operativos y para ejecutar archivos por lotes, tareas programadas y aplicaciones alojadas en bases de datos, sistemas de archivos y dispositivos. Estas cuentas son controladas por usuarios “no humanos”, como sistemas, scripts, aplicaciones, y por lo general tienen privilegios elevados a aplicaciones críticas para el negocio, bases de datos, servicios web, API, etc.
Compartida
Cuentas que son utilizadas por dos o más usuarios en un sistema. Las credenciales de la cuenta se comparten entre los usuarios.
Sistema
También conocidas como cuentas privilegiadas o de “superusuario”. Estas cuentas administrativas se utilizan para habilitar las comunicaciones y los procesos dentro del sistema operativo (por ejemplo, root en UNIX).
No interactiva
Cuentas que se utilizan para ejecutar procesos y servicios del sistema, como ejecutar scripts automatizados, archivos por lotes y tareas programadas. Los usuarios finales no pueden iniciar sesión en estas cuentas.
Nota: Podría haber más sub-clasificaciones de las cuentas que podrían entrar en las categorías de cuentas de servicio y SO.
Existen múltiples cuentas de servicio que se utilizan para las interacciones cotidianas tanto en entornos Linux como Windows. Microsoft clasifica las cuentas de servicio en tres categorías diferentes en función de las necesidades de cada servicio: Cuentas de servicio gestionadas independientes, cuentas de servicio gestionadas de grupo y cuentas virtuales.
Las cuentas de servicio que entran en esta categoría son cuentas autónomas que pueden gestionar su propio contexto de seguridad para servicios específicos en un único equipo. Un ejemplo es aquella que se encarga de la seguridad de una aplicación de servidor web como Internet Information Services (IIS) en un equipo, actuando como un ayudante dedicado.
Aunque son similares a las cuentas de servicio gestionadas independientes, estas cuentas extienden su funcionalidad a varios servidores. Un ejemplo es un equilibrador de carga de red que funciona en varios servidores, donde todas las instancias del servicio necesitan el mismo contexto de seguridad.
Las cuentas virtuales son cuentas gestionadas localmente que facilitan la administración de los servicios sin requerir de la gestión de contraseñas. Estas cuentas suelen ser utilizadas por aplicaciones y servicios del sistema que se incluyen con el sistema operativo. Por ejemplo, los servicios de actualización de Windows funcionan con la ayuda de cuentas virtuales.
Similares a aquellas en Windows, estas cuentas de servicio usualmente se encuentran y ayudan a ejecutar servicios, daemons o procesos en un entorno Linux. Por ejemplo, las cuentas de servicio como mysql y postgres ayudan a ejecutar servicios de bases de datos como MySQL o PostgreSQL. Estas cuentas están diseñadas para tener privilegios para acceder y gestionar los archivos de la base de datos.
Hay varias razones por las que la mala gestión de las cuentas de servicio puede suponer grandes riesgos de seguridad para las organizaciones.
Las cuentas de servicio, aunque son fáciles de configurar y usar, están estrechamente interconectadas y compartidas con varias aplicaciones y servicios. Además, se hace referencia a ellas en múltiples instancias a través de múltiples activos y aplicaciones, lo que hace que gestionar estas cuentas sea tan complejo que incluso el más mínimo descuido con la cadena de dependencias podría causar fallos en el sistema masivos.
Las cuentas de servicio están, la mayoría de las veces, vinculadas a aplicaciones críticas para el negocio y, por lo tanto, pueden requerir acceso privilegiado a servidores, bases de datos y otros activos. Con una sola cuenta comprometida, los atacantes pueden obtener un control total sobre los activos privilegiados, los endpoints y la información confidencial compartida.
Dado que las cuentas de servicio son utilizadas principalmente por entidades no humanas para realizar operaciones, no se pueden aplicar controles de seguridad como la autenticación de dos factores (TFA), ya que requiere interacción humana para fines de autenticación. Para complicar esto, las contraseñas de las cuentas de servicio se configuran para que sean permanentes, ya que rotarlas con frecuencia puede provocar bloqueos e interrupciones imprevistas. Como resultado, las cuentas de servicio se convierten en un objetivo fácil y lucrativo para los atacantes.
A medida que las organizaciones crecen, gestionar manualmente las cuentas de servicio resulta abrumador y laborioso debido al número de aplicaciones y servicios a los que acceden. Debido a la omnipresencia y proliferación de las cuentas de servicio, y el creciente riesgo de que sean un objetivo fácil, es importante monitorear, administrar y auditar activamente el uso de estas cuentas. Para que las organizaciones identifiquen y frustren la posible explotación de las cuentas de servicio, tendrán que implementar un curso de acción que logre un fino equilibrio entre las operaciones y la seguridad.
Si bien las herramientas de gobernanza y administración de identidades (IGA) ayudan a gestionar las credenciales de las cuentas individuales privilegiadas, no proporcionan gestión para las cuentas de servicio que están vinculadas a entidades no humanas. Estas son algunas de las mejores prácticas para ayudarle a gestionar y proteger eficazmente sus cuentas de servicio contra los ataques.
No puede proteger sus cuentas de servicio si aún no las ha identificado. El primer paso para proteger las cuentas de servicio es descubrirlas en toda la red y dentro de las aplicaciones, e identificar las actividades vinculadas a ellas. Esto ayudará a los administradores de TI a descubrir y cerrar las brechas de seguridad que proporcionan una entrada de puerta trasera a los datos privilegiados.
Para establecer la transparencia y el control sobre las cuentas de servicio, los administradores de TI necesitan desarrollar un inventario de aplicaciones, usuarios y servicios asociados que dependen de las cuentas de servicio respectivas. Las organizaciones deben tomar las siguientes medidas para crear un inventario de cuentas de servicio:
Para contrarrestar los riesgos de abuso de la cuenta de servicio, las organizaciones deben considerar firmemente invertir en soluciones de gestión de acceso privilegiado (PAM), que ayudan a racionalizar la gestión del ciclo de vida de la cuenta de servicio. Las herramientas PAM permiten a los administradores de TI desarrollar un control sólido sobre las cuentas de servicio distribuidas en toda la red corporativa mediante automatizaciones efectivas para descubrir, proteger y monitorear el acceso a estas cuentas. Una solución PAM sólida proporciona una bóveda segura para almacenar y rotar las credenciales de las cuentas de servicio, y permite compartir contraseñas a usuarios que no son administradores en función de requisitos específicos. Esto ayuda a evitar el acceso no autorizado a las cuentas de servicio y protege estas cuentas del abuso de privilegios.
Integrar las herramientas PAM con herramientas SIEM y herramientas de análisis de TI permite a los administradores de TI monitorear la actividad de los usuarios con estas cuentas, identificar y contener comportamientos anormales, y adherirse a las políticas de cumplimiento al generar informes en tiempo real
Es importante que las organizaciones garanticen la gobernanza sobre las cuentas de servicio y las contraseñas estableciendo controles de seguridad específicos basados en las políticas y estándares existentes. Esto incluye asignar propiedades, roles y responsabilidades para usuarios privilegiados, y delegar la propiedad con un sistema de uso compartido basado en roles para usuarios, propietarios, administradores y superadministradores (aprobadores). Además de la capacitación y educación de los usuarios, las organizaciones necesitan establecer un flujo de trabajo bien definido para los procesos de creación, revisión y asignación de cuentas de servicio para obtener una visibilidad completa de estas cuentas.
El flujo de trabajo de la cuenta de servicio debe abordar estas preguntas:
Establecer un flujo de trabajo tangible puede agilizar la gestión de las cuentas de servicio, pero es casi imposible gestionar todo el ciclo de vida de cada cuenta en un entorno a gran escala. Aquí es donde entra en juego la automatización.
Una vez que se establece un flujo de trabajo bien definido, las organizaciones pueden aprovechar las herramientas de automatización que pueden centralizar la gestión de las cuentas de servicio. Estas herramientas ayudan a los administradores de TI a obtener un control granular sobre las cuentas de servicio y ayudan a gestionar todo el ciclo de vida de la cuenta, desde la detección automática, hasta la creación de plantillas de flujo de trabajo que cumplan con las políticas internas y la provisión de informes de cumplimiento para cumplir los objetivos de seguridad.
Automatizar la gestión de cuentas de servicio permite a los administradores privilegiados crear y revisar los usuarios, grupos y roles designados, así como el acceso seguro a las cuentas de servicio. Algunas herramientas de automatización permiten a los administradores aprovisionar y desaprovisionar cuentas de servicio automáticamente, y proporcionan a los administradores opciones para personalizar sus flujos de trabajo en función de los requisitos empresariales específicos y el tipo de solicitud de cuenta de servicio.
Para prevenir proactivamente el uso indebido, las herramientas de automatización proporcionan informes de estado en tiempo real para las cuentas de servicio y ayudan a los administradores a eliminar las cuentas vencidas o inactivas sin interrumpir las operaciones. Además, estas herramientas notifican a los administradores cada vez que se crean, aprueban, renuevan y eliminan cuentas de servicio.
La mayoría de las organizaciones no disponen de medidas de seguridad para gestionar sus cuentas de servicio. Si aún no ha protegido sus cuentas de servicio, es hora de adoptar una estrategia eficaz de gestión de cuentas de servicio utilizando una solución como ManageEngine Password Manager Pro. Con Password Manager Pro, podrá descubrir, gestionar y proteger eficazmente todas sus cuentas de servicio desde un único lugar.
Una cuenta de usuario suele ser creada y gestionada por usuarios humanos. Estas cuentas son utilizadas por los humanos para interactuar con el dispositivo y sus aplicaciones y red asociadas. Sin embargo, una cuenta de servicio se crea para y es utilizada por entidades no humanas, como aplicaciones y otros servicios gestionados por equipos, para realizar tareas automatizadas del sistema. A diferencia de las cuentas de usuario, a las cuentas de servicio se les suelen conceder privilegios limitados para realizar sus tareas. Además, las cuentas de servicio no requieren intervención humana y a menudo están automatizadas.
Las cuentas de servicio gestionados son un tipo de cuentas de servicio que difieren de otras cuentas de servicio normales. Por ejemplo, las cuentas de servicio gestionadas pueden rotar las credenciales automáticamente y proporcionar otras funciones de seguridad mejoradas, como el aislamiento. A diferencia de las cuentas de servicio típicas que pueden requerir la distribución y gestión manual de claves criptográficas, las cuentas de servicio gestionadas pueden controlar automáticamente la distribución de claves.