Skip to content

Un desarrollador pide admin permanente en el clúster de producción «para depurar más rápido». ¿Qué le ofreces?

Respuesta breve

Mínimo privilegio más acceso justo-a-tiempo: concede los permisos mínimos necesarios, acotados en el tiempo y registrados, para que depurar sea posible sin un admin permanente que se convierte en un riesgo duradero y un punto ciego de auditoría. Un cluster-admin permanente viola el mínimo privilegio y amplía el radio de impacto de cualquier compromiso. Una negación total bloquea el trabajo legítimo e invita a apaños paralelos arriesgados. Compartir la credencial común de la cuenta de servicio admin destruye la rendición de cuentas — las acciones no se pueden atribuir a una persona.

Es una decisión de mínimo privilegio disfrazada de petición de ayuda. El candidato debe equilibrar desbloquear al desarrollador frente al riesgo permanente que crea el admin permanente — y encontrar la opción que haga ambas cosas.

Por qué el acceso justo-a-tiempo es la respuesta correcta

El privilegio permanente es el problema; el acceso bajo demanda es la solución. El acceso justo-a-tiempo (JIT) concede los permisos concretos que el desarrollador necesita, solo durante la ventana en que los necesita, con cada acción registrada. Cuando el temporizador expira, el acceso se evapora — no hay una súper-cuenta latente esperando a ser víctima de phishing, filtrada o abusada meses después. Combinado con el acotado (solo los namespaces, verbos o recursos relevantes para la tarea de depuración), satisface el mínimo privilegio sin dejar de desbloquear el trabajo. El desarrollador depura; la organización carga con casi ningún riesgo a largo plazo.

Por qué los distractores son incorrectos

  • Conceder cluster-admin permanente. Es la violación de manual del mínimo privilegio. Una credencial permanente en modo dios amplía drásticamente el radio de impacto: compromete esa única cuenta y el atacante posee producción. Además se pudre — concedida «temporalmente», olvidada para siempre.
  • Denegar todo acceso; ticket para todo. Teatro de seguridad que castiga el trabajo legítimo. Cuando la vía sancionada es demasiado lenta, la gente construye apaños paralelos — credenciales copiadas, canales alternativos, controles desactivados — menos seguros que un flujo JIT gobernado.
  • Compartir las credenciales de la cuenta de servicio admin. La peor opción para la forense. Las credenciales compartidas significan que las acciones no pueden atribuirse a un individuo: pierdes la rendición de cuentas, rompes los rastros de auditoría y no puedes revocar a una persona sin afectar a todas.

Qué está sondeando el entrevistador

Quiere ver que recurres por reflejo al mínimo privilegio y rechazas el admin permanente, pero también que eres pragmático — no solo dices «no», ofreces una vía viable. La señal es JIT más acotado más registro de auditoría, y el reconocimiento explícito de que las credenciales compartidas y las negaciones totales fallan cada una a su manera.

Posibles preguntas de seguimiento

  • ¿Cómo implementarías la aprobación de acceso justo-a-tiempo y la caducidad automática en la práctica?
  • ¿Cómo acotas los permisos a una tarea real de depuración sin conceder de más?
  • ¿Por qué una credencial de cuenta de servicio compartida es un problema de rendición de cuentas y forense?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.