¿Qué es Control de acceso?
El control de acceso es el conjunto de mecanismos y políticas de seguridad que regulan qué usuarios, sistemas o procesos pueden acceder a recursos específicos y qué acciones están autorizados a realizar sobre esos recursos.
También conocido como: authorization, access management
El control de acceso opera en dos niveles: autenticación (verificar la identidad: «¿quién eres?») y autorización (verificar los permisos: «¿qué tienes permitido hacer?»). La autenticación establece la identidad mediante credenciales como contraseñas, tokens o certificados. La autorización determina a qué puede acceder esa identidad en función de políticas, roles o atributos.
Los modelos de control de acceso varían en complejidad y flexibilidad. El control de acceso discrecional (DAC) permite a los propietarios de los recursos establecer permisos, como los permisos de archivo de Unix. El control de acceso obligatorio (MAC) impone políticas a nivel de todo el sistema que anulan las preferencias del propietario, y se usa en entornos militares y de alta seguridad. El control de acceso basado en roles (RBAC) asigna permisos a roles, y los usuarios heredan permisos mediante su pertenencia a un rol. El control de acceso basado en atributos (ABAC) evalúa múltiples atributos (departamento del usuario, hora del día, sensibilidad del recurso) para tomar decisiones de autorización dinámicas.
Un control de acceso eficaz sigue el principio de mínimo privilegio: conceder el acceso mínimo necesario, durante el mínimo tiempo requerido. Esto se extiende a las cuentas de servicio, las claves de API y la comunicación de máquina a máquina, no solo a los usuarios humanos. Los controles de acceso excesivamente permisivos son una de las principales causas de las brechas de datos, ya que los atacantes aprovechan los permisos excesivos para moverse lateralmente por los sistemas tras un compromiso inicial.
Cómo usa Vaulted Control de acceso
Vaulted implementa el control de acceso mediante medios criptográficos y mecánicos en lugar de autenticación basada en la identidad. El acceso a un secreto requiere la posesión del enlace único que contiene la clave de cifrado en el fragmento de la URL. Un control de acceso adicional se aplica mediante límites de visualizaciones (el secreto se elimina tras un número determinado de accesos), caducidad temporal (eliminación automática por TTL en Redis) y la protección opcional con frase de contraseña, que añade un factor de conocimiento. Este modelo proporciona un control de acceso sólido sin requerir cuentas de usuario ni un sistema de identidad.