133 lines
6.5 KiB
Markdown
133 lines
6.5 KiB
Markdown
> **Examen: Gestión de Identidades y Control de Accesos (IAM)**
|
|
|
|
# Bloque 1: Tipo Test con Justificación
|
|
|
|
*Instrucciones: Marca la correcta y justifica brevemente las demás.*
|
|
|
|
## 1. Qué é
|
|
|
|
No proceso de control de acceso, a fase na que se determinan os privilexios ou permisos que ten un usuario xa recoñecido polo sistema denomínase:
|
|
|
|
- a) Identificación.
|
|
- b) Autenticación.
|
|
- c) Autorización.
|
|
- d) Trazabilidade (Accounting).
|
|
|
|
### Resposta
|
|
|
|
É a **c**, Autorización.
|
|
|
|
- a) A identificación faise para saber a quén tes ahí.
|
|
- b) A autenticación é o acceso ó sitio por parte do usuario.
|
|
- c) A autorización é qué lle permites facer.
|
|
- d) A trazabilidade só serve para ter un seguimento dalgo xa sexa a actividade dalgún usuario ou dun proceso, entre outros
|
|
|
|
> **Anotacións**: De memoria... B-)
|
|
|
|
### Corrección
|
|
|
|
- **¡CORRECTO!**
|
|
- Has clavado la diferencia. **Autorización** es el "qué puedes hacer". Un truco para el TDAH: *Identificación (¿Quién eres?) -> Autenticación (Demuéstralo) -> Autorización (¿Tienes permiso?) -> Accounting/Trazabilidad (¿Qué hiciste?)*.
|
|
|
|
## 2. Cuál es
|
|
|
|
¿Cuál de los siguientes modelos de control de acceso se basa en "etiquetas de seguridad" (como Confidencial o Secreto) y es el más rígido, utilizado habitualmente en entornos militares o de alta seguridad?
|
|
|
|
- a) DAC (Discretionary Access Control).
|
|
- b) MAC (Mandatory Access Control).
|
|
- c) RBAC (Role-Based Access Control).
|
|
- d) ABAC (Attribute-Based Access Control).
|
|
|
|
### Respuesta
|
|
|
|
Aquí diría que es la **d**, ABAC. sin embargo, busqué, porque no lo tenía muy claro y zasca. ¡Jajajaja! Es la **b**, MAC.
|
|
|
|
- a) DAC permite asignar permisos concretos a los recursos, como los permisos de Linux.
|
|
- b) MAC permite, desde un entorno central, establecer permisos por niveles de seguridad.
|
|
- c) RBAC permite asignar roles y agrupar los permisos con etiquetas, como en los foros PHPBB.
|
|
- d) ABAC permite asignar permisos dinámicos sobre los atributos como la hora, acceso, etc.
|
|
|
|
### Corrección
|
|
|
|
- **¡CORRECTO!** (Tras la rectificación)
|
|
- Efectivamente, es **MAC**. En el **MAC**, el usuario no es dueño de sus permisos; el sistema (administrador) decide según el nivel de seguridad del objeto. El **ABAC** es el futuro (más complejo), pero el **MAC** es el clásico "militar".
|
|
|
|
# Bloque 2: Respuesta Corta (Definición Técnica)
|
|
|
|
*Máximo 2-3 líneas.*
|
|
|
|
## 3. Explica
|
|
|
|
Explica a diferenza entre un "Factor de Posesión" e un "Factor de Inherencia" na autenticación multifactor.
|
|
|
|
### Resposta
|
|
|
|
Realmente hai 3, pero como diferenza das dúas concretamente, só coa súa etiqueta diferéncianse totalmente: algo que tes fronte a al que é consecutivamente. A diferencia radica no método de acceso: dispositivos en pertenza fronte a rasgos biométricos consecutivamente.
|
|
|
|
> **Anotacións**: Este tiven que atopalo por mor de non sabelo, pola contra, xa o tocáramos nunha explicación do tema anterior de seguridade.
|
|
|
|
### Corrección
|
|
|
|
- **¡CORRECTO!**
|
|
- **Posesión**: Algo que tienes (Token, móvil, tarjeta).
|
|
- **Inherencia**: Algo que eres/formas parte de ti (Huella, iris, ADN).
|
|
- **Nota**: Te faltó el de Conocimiento (Algo que sabes: PIN, password).
|
|
|
|
## 4. Qué es
|
|
|
|
¿Qué es el "Principio de Menor Privilegio" y por qué es vital en la gestión de identidades?
|
|
|
|
### Respuesta
|
|
|
|
Este principio es una base fundamental de la seguridad del acceso. Los usuarios, cuanto más limitados estén, mayor será la seguridad y la confidencialidad de la información. A mayor libertad se le da al usuario, más riesgos expone el mismo, simplemente por desconocimiento o simple acción humana sin ser éste a propósito.
|
|
|
|
> **Anotaciones**: De memoria B-) .
|
|
|
|
### Corrección
|
|
|
|
- **¡CORRECTO!**
|
|
- Excelente explicación. El objetivo es minimizar la **superficie de ataque**. Si un administrativo solo necesita Word, no le des permisos de Administrador de Base de Datos.
|
|
|
|
# Bloque 3: Desarrollo (Lógica de Gestión)
|
|
|
|
5. Ciclo de Vida de la Identidad:
|
|
|
|
Imagina que entra un nuevo empleado en tu oficina de la Xunta. Explica brevemente qué tres pasos básicos (Provisionamento, Mantemento e Desprovisionamento) deberías seguir para gestionar su identidad digital de forma segura desde que entra hasta que se jubila o se va.
|
|
|
|
## Respuesta
|
|
|
|
- **Provisionamiento**: Darle los recursos y los accesos correspondientes a dichos recursos, así como garantizarle un perfil de empleado.
|
|
- **Mantenimiento**: Hacer los cambios necesarios en el tiempo, como gestionar los cambios del empleado o las actualizaciones del sistema sobre el mismo.
|
|
- **Desprovisionamiento**: Limitar o revocar los accesos y los recursos una vez se termina la relación con la persona.
|
|
|
|
> **Anotaciones**: Fue totalmente a ciegas... ¡Jajajaja!
|
|
|
|
## Correción
|
|
|
|
- **¡MUY BIEN!**
|
|
- A pesar de ir "a ciegas", has definido perfectamente el flujo.
|
|
- **Apunta este detalle legal**: En el **Desprovisionamiento**, es vital el concepto de "Revocación inmediata" para evitar las **Cuentas Zombi** (empleados que se van pero su usuario sigue activo, siendo un coladero de seguridad).
|
|
|
|
# Bloque 4: La "Pregunta Trampa" (Cuidado aquí...)
|
|
|
|
6. Se implementamos un sistema de Single Sign-On (SSO) nunha organización, cal destas afirmacións é CORRECTA?
|
|
|
|
- a) O SSO aumenta a seguridade por si mesmo porque as contrinais son máis longas.
|
|
- b) O SSO permite que o usuario acceda a todos os recursos sen necesidade de estar autorizado previamente.
|
|
- c) O SSO mellora a experiencia de usuario, pero crea un "punto único de fallo" (Single Point of Failure).
|
|
- d) O SSO obriga ao usuario a introducir a súa contrinal cada vez que cambia de aplicación dentro da mesma sesión.
|
|
|
|
## Resposta
|
|
|
|
Mirándoo a pechas, au diría que a **c**.
|
|
|
|
- a) Non afecta a lonxitude das contrasinais por mor de seren políticas que se implementan, pero non son parte dos sistemas de acceso.
|
|
- b) O usuario queda permanentemente logueado, polo que non corresponde con esta liña.
|
|
- c) O usuario non ten que iniciar sesión por cada elemento distinto no que interactúa, axilizando a súa experiencia, pero por outra banda, a sesión non é máis que unha Cookie ou espazo reservado de memoria que identifica dita sesión. Se se rouba dito elemento, queda exposta a sesión, motivo do Single Point of Failure, a diferenza de estaren a loguearse constantemente en cada elemento.
|
|
- d) Esta liña describe un No-SSO.
|
|
|
|
## Correcto
|
|
|
|
- **¡CORRECTO!** (Matrícula de Honor en razonamiento)
|
|
- Efectivamente es la c.
|
|
- Tu análisis del **Single Point of Failure** es impecable. Si el servidor de autenticación central (el que da el "ticket" de entrada) se cae, nadie entra en ninguna aplicación. Y si roban las credenciales maestras, entran en todo. |