Just Enough Administration (JEA, en adelante), se trata de una tecnología de seguridad que básicamente sirve para restringir lo que pueden hacer los administradores de TI sobre la infraestructura, lo anterior sin necesidad de otorgarles privilegios de administrador, lo cual ayuda a mitigar en gran medida los riesgos que pueden existir al utilizar cuentas con privilegios elevados, y no solamente por lo que los administradores de TI puedan llegar a realizar con estas credenciales, sino por otro tipo de amenazas como por ejemplo virus y código malicioso que puede aprovecharse de de esto para poner en riesgo nuestra infraestructura. JEA es basado en Windows PowerShell, por lo cual cualquier tecnología que se pueda administrar con PowerShell está completamente dentro del alcance de JEA.
JEA no se trata de algo nuevo en el mundo Microsoft, de hecho el empleo de Windows PowerShell-constrained run spaces, ya es utilizado en entornos como Exchange Online, donde se puede asignar asignar tareas utilizando en modelo RBAC para controlar las tareas que se pueden realizar en esta plataforma.
El modelo RBAC se usa ya hace buen tiempo, sin embargo no siempre satisface al 100% las necesidades de las organizaciones, y muchas veces se resulta otorgando más permisos de los que realmente necesita un administrador para hacer determinada tarea. Adicionalmente este modelo es más usado a nivel de aplicación, hasta el momento Windows no incorpora un modelo RBAC, pero ahora gracias a JEA (ya incorporado en Windows Server 2016) podemos establecer un modelo basado en roles para asignar permisos a los administradores de TI utilizando el principio de Least -Privilge
Principal desafío
El principal desafío para empezar a implementar y utilizar JEA es el uso de PowerShell, pues muchos de los administradores de TI están bastante acostumbrados a la interfaz gráfica (GUI) y no se encuentran familiarizados con el uso de la línea de comando, así que el primer desafío es empezar a entender y usar PowerShell, es algo muy importante hoy en día, ya que la gran mayoría de tecnologías Microsoft y algunas de terceros incluyen módulos para administrar mediante Windows PowerShell
Caso de uso
Un caso de uso típico es que voy a poner a continuación.
Un administrador del servicio DNS necesita realizar tareas de mantenimiento del servicio como por ejemplo vaciar la caché DNS e incluso reiniciar el servicio, normalmente el servicio de DNS se encuentra instalado en el servidor que tiene el rol de controlador de dominio, y para que el administrador de DNS pueda realizar las tareas que necesita la única posibilidad es otorgarle privilegios de administrador de dominio, es decir agregarlo al grupo Domain Admins, que es el grupo con más altos privilegios en Active Directory, lo cual puede comprometer toda la organización bien sea porque un administrador inescrupuloso abuso del acceso que se le otorgó o bien sea porque software malintencionado utilizó las credenciales para ejecutar código potencialmente peligroso.
JEA no se trata de algo nuevo en el mundo Microsoft, de hecho el empleo de Windows PowerShell-constrained run spaces, ya es utilizado en entornos como Exchange Online, donde se puede asignar asignar tareas utilizando en modelo RBAC para controlar las tareas que se pueden realizar en esta plataforma.
El modelo RBAC se usa ya hace buen tiempo, sin embargo no siempre satisface al 100% las necesidades de las organizaciones, y muchas veces se resulta otorgando más permisos de los que realmente necesita un administrador para hacer determinada tarea. Adicionalmente este modelo es más usado a nivel de aplicación, hasta el momento Windows no incorpora un modelo RBAC, pero ahora gracias a JEA (ya incorporado en Windows Server 2016) podemos establecer un modelo basado en roles para asignar permisos a los administradores de TI utilizando el principio de Least -Privilge
Principal desafío
El principal desafío para empezar a implementar y utilizar JEA es el uso de PowerShell, pues muchos de los administradores de TI están bastante acostumbrados a la interfaz gráfica (GUI) y no se encuentran familiarizados con el uso de la línea de comando, así que el primer desafío es empezar a entender y usar PowerShell, es algo muy importante hoy en día, ya que la gran mayoría de tecnologías Microsoft y algunas de terceros incluyen módulos para administrar mediante Windows PowerShell
Caso de uso
Un caso de uso típico es que voy a poner a continuación.
Un administrador del servicio DNS necesita realizar tareas de mantenimiento del servicio como por ejemplo vaciar la caché DNS e incluso reiniciar el servicio, normalmente el servicio de DNS se encuentra instalado en el servidor que tiene el rol de controlador de dominio, y para que el administrador de DNS pueda realizar las tareas que necesita la única posibilidad es otorgarle privilegios de administrador de dominio, es decir agregarlo al grupo Domain Admins, que es el grupo con más altos privilegios en Active Directory, lo cual puede comprometer toda la organización bien sea porque un administrador inescrupuloso abuso del acceso que se le otorgó o bien sea porque software malintencionado utilizó las credenciales para ejecutar código potencialmente peligroso.
JEA proporciona una solución para el caso anterior, ya que los administradores de DNS se pueden conectar a un endpoint donde pueden tener acceso a los cmdlets de PowerShell necesarios para administrar el servicio de DNS, como por ejemplo reiniciar el servicio y eliminar la caché, la mejor parte es que para hacer uso de estos comandos que generalmente requieren altos privilegios se usará una cuenta virtual que se usa solo durante la sesión y cada sesión que se establezca creará una cuenta virtual diferente en cada servidor. Lo anterior nos ayuda a eliminar de nuestra organización el número de administradores con altos privilegios.
En los próximos artículos veremos cómo funciona JEA.
Como siempre espero esta información les sea de utilidad.
No hay comentarios:
Publicar un comentario