Sophos simplifica y centraliza la administración de cuentas de AWS mediante AWS IAM Identity Center

El Sophos, una empresa de seguridad de tecnología de la información nativa en la nube que ofrece protección, supervisión y respuesta a las amenazas de forma ininterrumpida en entornos de nube híbrida, estaba creciendo rápidamente gracias a Amazon Web Services (AWS). El siguiente paso en su trayectoria era simplificar la incorporación de las cuentas y centralizar su administración. Antes, Sophos utilizaba la federación de identidades cuenta por cuenta para conceder el acceso a AWS. Esto le permitía gestionar el acceso a las cuentas de AWS de forma sencilla y segura, pero la empresa necesitaba una forma aún más sencilla y escalable de gestionar el acceso a un número cada vez mayor de cuentas de AWS. Al mismo tiempo, Sophos quería mantener un control de acceso detallado sobre la configuración de las nuevas cuentas de AWS, los roles de gestión de accesos e identidades, los permisos y las credenciales de usuario temporales.

Para simplificar y centralizar la gestión de cuentas de AWS y disponer de opciones más flexibles a la hora de asignar roles y permisos a los usuarios, Sophos implementó AWS IAM Identity Center (sucesor de AWS Single Sign-On). IAM Identity Center es un servicio que facilita la administración centralizada del acceso a varias aplicaciones empresariales y cuentas de AWS. En lugar de configurar la federación de identidades para cada cuenta, Sophos la configuró una vez a través del IAM Identity Center para gestionar el acceso a varias cuentas de AWS, lo que simplificó drásticamente el proceso de incorporación de nuevas cuentas y asignación de roles independientes con privilegios limitados. Ahora, al poder gestionar el acceso a las cuentas de forma centralizada desde la consola o la interfaz de línea de comandos de IAM Identity Center, Sophos ya no depende de extensiones de terceros para asignar credenciales temporales a los desarrolladores. «Nuestra gente está muy contenta con el aspecto y el uso de IAM Identity Center», afirma Guy Davies, principal cloud architect de Sophos. «Y el tiempo de creación de cuentas se ha reducido considerablemente, porque la mayor parte ahora está automatizada».

Sophos se fundó en 1985 y, en la actualidad, sus productos ayudan a proteger a más de 400 000 organizaciones y a más de 100 millones de usuarios en más de 150 países de ciberamenazas avanzadas. Antes de usar IAM Identity Center, Sophos utilizaba la federación de identidades cuenta por cuenta para gestionar de forma segura sus 250 cuentas de AWS, a las que acceden 1500 usuarios internos. El proceso de incorporación, gestión y modificación de sus cuentas de AWS consumía mucho tiempo e implicaba la participación tanto del equipo de tecnología de la información como del de desarrollo de la nube. Sophos buscaba formas de escalar aún más rápido con la agilidad que necesitaba.

Sophos ya utilizaba los servicios de AWS, incluido el AWS Organizations, un servicio que ayuda a las empresas a gestionar y gobernar de forma centralizada sus entornos de AWS a medida que escalan sus recursos de AWS. Además, quería centralizar la gestión de sus cuentas de AWS y evitar pasos adicionales a la hora de incorporar nuevas cuentas y cambiar los permisos de los roles. Sophos tiene más de 500 grupos de Azure Active Directory que utiliza para controlar el acceso a las cuentas. Por eso, en 2019, cuando IAM Identity Center comenzó a admitir el sistema de administración de identidades entre dominios, la empresa encontró su solución para simplificar la incorporación de cuentas y gestionar el acceso a gran escala. Ahora puede sincronizar sus grupos de Azure Active Directory en AWS. «Tenemos las habilidades para crear una solución nosotros mismos, pero también contamos con 1500 personas con experiencia en AWS», afirma Davies. «Empezar en el entorno de AWS nos permite hacer cosas interesantes más fácilmente».

Sophos quería seguir utilizando sus proveedores de servicios de identidad, como Azure Active Directory, un servicio de identidad empresarial, además de la autenticación de Jira y los dispositivos de autenticación de hardware de YubiKey. Estas herramientas de identidad y el IAM Identity Center funcionan en conjunto a la perfección, lo que permite una autenticación multifactor segura. Tras realizar una prueba de concepto y recibir comentarios internos positivos, Sophos procedió a la transición a IAM Identity Center. Completó la configuración en un par de semanas, en septiembre de 2020, y en la primera semana de octubre, pidió a sus 1500 usuarios internos que hicieran el cambio antes de final de mes. Sophos observó una rápida aceptación inicial, seguida de una transición más lenta por parte de algunos usuarios, pero las reacciones fueron positivas en general. «No creo que hayamos recibido comentarios negativos sobre IAM Identity Center», afirma Davies. «Para un cambio que afecta al flujo de trabajo diario de unas 1500 personas, es algo sin precedentes».

La transición a IAM Identity Center ha simplificado en gran medida todos los aspectos de la administración de cuentas de AWS para el equipo de Sophos, ya que ha reducido el tiempo necesario para incorporar nuevas cuentas de AWS de varios días a menos de un día y ha permitido la revocación prácticamente instantánea del acceso a las cuentas de AWS cuando se cambia de contratista. Antes, revocar el acceso de un usuario requería revisar primero todos los grupos individuales de Azure Active Directory que controlaban el acceso a las cuentas individuales para revocar por completo el acceso a cada cuenta y, a continuación, esperar a que Azure Active Directory se sincronizara. Este proceso podía tardar hasta una hora. Tras crear dos grupos de Azure Active Directory (uno que contiene todos los usuarios individuales y concede acceso a la consola de IAM Identity Center, y otro que se sincroniza a través del sistema de administración de identidades entre dominios y concede acceso a las cuentas y permisos de AWS), Sophos solo tiene que quitar a un usuario del grupo de IAM Identity Center y el acceso se revoca inmediatamente, sin tener que esperar a que se sincronice. En general, los desarrolladores han ahorrado cientos de horas en la creación de cuentas de AWS y ya no necesitan que el equipo de tecnología de la información lleve a cabo la incorporación de cuentas de AWS. Esto ha reducido los costes de recursos y ha permitido a Sophos escalar con más agilidad.

Con IAM Identity Center, Sophos también logró una importante ventaja de seguridad: ahora puede ofrecer a sus usuarios la opción de crear credenciales temporales para acceder a los recursos de AWS. No necesita rotar las credenciales ni revocarlas cuando ya no son necesarias. El IAM Identity Center también permite a los administradores de cuentas cambiar sus permisos desde una ubicación central, lo que les brinda la flexibilidad de ajustar rápidamente los permisos de los roles. «Ahora podemos ser más específicos con los permisos que asignamos, ya que podemos crear tantos conjuntos de permisos como queramos sin que esto suponga un problema», explica Davies. «Podemos restringir el acceso que las personas tienen a sus cuentas de AWS, lo que reduce la superficie expuesta a ataques».

Para Sophos, la implementación de IAM Identity Center ha optimizado y agilizado la administración de cuentas de AWS, lo que permite a los desarrolladores estar menos tiempo esperando a otros equipos y centrarse más en innovaciones interesantes. Además, la empresa usa las API del IAM Identity Center para aumentar la automatización y acelerar aún más los procesos de incorporación y acceso a las cuentas de AWS en el futuro. Por ejemplo, tiene pensado automatizar la concesión de acceso a las cuentas, algo útil si alguien hace una solicitud fuera del horario laboral habitual.

«Ese es el tipo de cosas que queremos hacer para tener un enfoque más detallado y dinámico de la gestión de privilegios para nuestras cuentas de AWS», afirma Davies. «Todo es posible con IAM Identity Center».