Sophos simplifica y centraliza la administración de cuentas de AWS mediante AWS IAM Identity Center
2021
El Sophos, una empresa de seguridad de tecnología de la información nativa en la nube que ofrece protección, supervisión y respuesta a las amenazas de forma ininterrumpida en entornos de nube híbrida, estaba creciendo rápidamente gracias a Amazon Web Services (AWS). El siguiente paso en su trayectoria era simplificar la incorporación de las cuentas y centralizar su administración. Antes, Sophos utilizaba la federación de identidades cuenta por cuenta para conceder el acceso a AWS. Esto le permitía gestionar el acceso a las cuentas de AWS de forma sencilla y segura, pero la empresa necesitaba una forma aún más sencilla y escalable de gestionar el acceso a un número cada vez mayor de cuentas de AWS. Al mismo tiempo, Sophos quería mantener un control de acceso detallado sobre la configuración de las nuevas cuentas de AWS, los roles de gestión de accesos e identidades, los permisos y las credenciales de usuario temporales.
Para simplificar y centralizar la gestión de cuentas de AWS y disponer de opciones más flexibles a la hora de asignar roles y permisos a los usuarios, Sophos implementó AWS IAM Identity Center (sucesor de AWS Single Sign-On). IAM Identity Center es un servicio que facilita la administración centralizada del acceso a varias aplicaciones empresariales y cuentas de AWS. En lugar de configurar la federación de identidades para cada cuenta, Sophos la configuró una vez a través del IAM Identity Center para gestionar el acceso a varias cuentas de AWS, lo que simplificó drásticamente el proceso de incorporación de nuevas cuentas y asignación de roles independientes con privilegios limitados. Ahora, al poder gestionar el acceso a las cuentas de forma centralizada desde la consola o la interfaz de línea de comandos de IAM Identity Center, Sophos ya no depende de extensiones de terceros para asignar credenciales temporales a los desarrolladores. «Nuestra gente está muy contenta con el aspecto y el uso de IAM Identity Center», afirma Guy Davies, principal cloud architect de Sophos. «Y el tiempo de creación de cuentas se ha reducido considerablemente, porque la mayor parte ahora está automatizada».
«No recuerdo haber recibido ningún comentario negativo sobre IAM Identity Center. Para un cambio que afecta al flujo de trabajo diario de unas 1500 personas, es algo sin precedentes».
Una experiencia de gestión de cuentas de AWS mejorada
Sophos se fundó en 1985 y, en la actualidad, sus productos ayudan a proteger a más de 400 000 organizaciones y a más de 100 millones de usuarios en más de 150 países de ciberamenazas avanzadas. Antes de usar IAM Identity Center, Sophos utilizaba la federación de identidades cuenta por cuenta para gestionar de forma segura sus 250 cuentas de AWS, a las que acceden 1500 usuarios internos. El proceso de incorporación, gestión y modificación de sus cuentas de AWS consumía mucho tiempo e implicaba la participación tanto del equipo de tecnología de la información como del de desarrollo de la nube. Sophos buscaba formas de escalar aún más rápido con la agilidad que necesitaba.
Sophos ya utilizaba los servicios de AWS, incluido el AWS Organizations, un servicio que ayuda a las empresas a gestionar y gobernar de forma centralizada sus entornos de AWS a medida que escalan sus recursos de AWS. Además, quería centralizar la gestión de sus cuentas de AWS y evitar pasos adicionales a la hora de incorporar nuevas cuentas y cambiar los permisos de los roles. Sophos tiene más de 500 grupos de Azure Active Directory que utiliza para controlar el acceso a las cuentas. Por eso, en 2019, cuando IAM Identity Center comenzó a admitir el sistema de administración de identidades entre dominios, la empresa encontró su solución para simplificar la incorporación de cuentas y gestionar el acceso a gran escala. Ahora puede sincronizar sus grupos de Azure Active Directory en AWS. «Tenemos las habilidades para crear una solución nosotros mismos, pero también contamos con 1500 personas con experiencia en AWS», afirma Davies. «Empezar en el entorno de AWS nos permite hacer cosas interesantes más fácilmente».
Transición fluida a AWS IAM Identity Center
Sophos quería seguir utilizando sus proveedores de servicios de identidad, como Azure Active Directory, un servicio de identidad empresarial, además de la autenticación de Jira y los dispositivos de autenticación de hardware de YubiKey. Estas herramientas de identidad y el IAM Identity Center funcionan en conjunto a la perfección, lo que permite una autenticación multifactor segura. Tras realizar una prueba de concepto y recibir comentarios internos positivos, Sophos procedió a la transición a IAM Identity Center. Completó la configuración en un par de semanas, en septiembre de 2020, y en la primera semana de octubre, pidió a sus 1500 usuarios internos que hicieran el cambio antes de final de mes. Sophos observó una rápida aceptación inicial, seguida de una transición más lenta por parte de algunos usuarios, pero las reacciones fueron positivas en general. «No creo que hayamos recibido comentarios negativos sobre IAM Identity Center», afirma Davies. «Para un cambio que afecta al flujo de trabajo diario de unas 1500 personas, es algo sin precedentes».
La transición a IAM Identity Center ha simplificado en gran medida todos los aspectos de la administración de cuentas de AWS para el equipo de Sophos, ya que ha reducido el tiempo necesario para incorporar nuevas cuentas de AWS de varios días a menos de un día y ha permitido la revocación prácticamente instantánea del acceso a las cuentas de AWS cuando se cambia de contratista. Antes, revocar el acceso de un usuario requería revisar primero todos los grupos individuales de Azure Active Directory que controlaban el acceso a las cuentas individuales para revocar por completo el acceso a cada cuenta y, a continuación, esperar a que Azure Active Directory se sincronizara. Este proceso podía tardar hasta una hora. Tras crear dos grupos de Azure Active Directory (uno que contiene todos los usuarios individuales y concede acceso a la consola de IAM Identity Center, y otro que se sincroniza a través del sistema de administración de identidades entre dominios y concede acceso a las cuentas y permisos de AWS), Sophos solo tiene que quitar a un usuario del grupo de IAM Identity Center y el acceso se revoca inmediatamente, sin tener que esperar a que se sincronice. En general, los desarrolladores han ahorrado cientos de horas en la creación de cuentas de AWS y ya no necesitan que el equipo de tecnología de la información lleve a cabo la incorporación de cuentas de AWS. Esto ha reducido los costes de recursos y ha permitido a Sophos escalar con más agilidad.
Con IAM Identity Center, Sophos también logró una importante ventaja de seguridad: ahora puede ofrecer a sus usuarios la opción de crear credenciales temporales para acceder a los recursos de AWS. No necesita rotar las credenciales ni revocarlas cuando ya no son necesarias. El IAM Identity Center también permite a los administradores de cuentas cambiar sus permisos desde una ubicación central, lo que les brinda la flexibilidad de ajustar rápidamente los permisos de los roles. «Ahora podemos ser más específicos con los permisos que asignamos, ya que podemos crear tantos conjuntos de permisos como queramos sin que esto suponga un problema», explica Davies. «Podemos restringir el acceso que las personas tienen a sus cuentas de AWS, lo que reduce la superficie expuesta a ataques».
Acelerar la innovación mediante la automatización
Para Sophos, la implementación de IAM Identity Center ha optimizado y agilizado la administración de cuentas de AWS, lo que permite a los desarrolladores estar menos tiempo esperando a otros equipos y centrarse más en innovaciones interesantes. Además, la empresa usa las API del IAM Identity Center para aumentar la automatización y acelerar aún más los procesos de incorporación y acceso a las cuentas de AWS en el futuro. Por ejemplo, tiene pensado automatizar la concesión de acceso a las cuentas, algo útil si alguien hace una solicitud fuera del horario laboral habitual.
«Ese es el tipo de cosas que queremos hacer para tener un enfoque más detallado y dinámico de la gestión de privilegios para nuestras cuentas de AWS», afirma Davies. «Todo es posible con IAM Identity Center».
Acerca de Sophos
Sophos ofrece protección, supervisión y respuesta contra amenazas de forma ininterrumpida para detener las ciberamenazas dirigidas a los entornos de nube híbrida. La solución de seguridad Sophos Central, creada con AWS, protege a más de 400 000 organizaciones en más de 150 países.
Beneficios de AWS
- Gestión simplificada y centralizada del acceso a las cuentas de AWS
- Satisfacción de los usuarios sin comentarios negativos
- Disminución del tiempo necesario para incorporar nuevas cuentas de AWS de varios días a menos de un día
- Capacidad de revocar el acceso a las cuentas de AWS prácticamente al instante, en lugar de en 40 minutos
- Seguridad mejorada y perfil de riesgo reducido
- Conexión y aprovisionamiento automático de los usuarios desde proveedores de servicios de identidades basados en estándares
- Escalabilidad más rápida y sencilla
- Reducción de los costes de recursos de tecnología de la información
Servicios de AWS utilizados
AWS IAM Identity Center
AWS IAM Identity Center (sucesor de AWS Single Sign-On) permite crear o conectar con seguridad las identidades del personal y administrar su acceso de manera centralizada en las cuentas y aplicaciones de AWS.
AWS Organizations
AWS Organizations le permite administrar y controlar de manera centralizada su entorno a medida que crece y escala sus recursos de AWS.
Introducción
Cada día crece el número de empresas de todos los tamaños y sectores que consiguen transformar sus negocios gracias a AWS. Contacte con nuestros expertos e inicie hoy mismo su proceso de traspaso a la nube de AWS.