Deja de proteger credenciales privilegiadas.
Deja de crearlas.
Identidades reales. Cero acceso permanente.
Un modelo de acceso fundamentalmente diferente
El PAM tradicional guarda credenciales privilegiadas en una bóveda. Cloud ZSP no las crea hasta el momento en que las necesitas — y solo durante el tiempo que las necesitas.
Rol de Matriz — Acceso Base Sin Fricción
Cada usuario tiene un rol por defecto al iniciar sesión — sin aprobación, sin espera, sin fricción. Se provisiona una identidad efímera real en el CSP y se destruye al cerrar la sesión. Acceso mínimo, instantáneo y automático.
Identidades Reales en el CSP
Cloud ZSP no es un proxy. Crea usuarios IAM reales (AWS), App Registrations (Azure), Service Accounts (GCP) y usuarios AD — con exactamente los permisos del rol solicitado, nada más.
Acceso Efímero Acotado a tu Red
Declaras desde dónde te conectas. Ese rango de IPs se embebe directamente en la identidad efímera en el CSP. Si alguien roba esa credencial y la usa desde otra IP, el proveedor cloud la rechaza.
Catálogo de Roles con Riesgo Pre-Calculado
Cada rol del catálogo tiene una puntuación de riesgo base asignada en el momento de su creación. Riesgo bajo significa acceso inmediato. Riesgo alto activa un workflow de doble aprobación. La puntuación combina el riesgo estático del rol con tu contexto de red declarado.
Importa, Prueba y Publica Roles
Importa tus roles existentes de AWS, Azure y GCP directamente — sin perder el trabajo hecho. Antes de publicar en el catálogo, Cloud ZSP crea el rol en el CSP real, lo verifica y lo elimina. Sin sorpresas en producción.
Auditoría Inmutable
Cada evento — solicitud, contexto de red declarado, puntuación de riesgo, aprobación, emisión de credencial, fin de sesión — está firmado criptográficamente via Vault Transit. Listo para SOC2, ISO27001 y NIS2.
Acceso en tres pasos. Cero credenciales permanentes.
Cada sesión es un evento controlado y acotado en el tiempo. La identidad existe mientras dura. Luego desaparece.
Elige rol y declara tu red
Selecciona un rol del catálogo y declara desde dónde te conectas — VPN, oficina o un CIDR específico. Esto se convierte en una condición de IP embebida en la identidad que se provisiona en el cloud.
Riesgo evaluado. Acceso o aprobación.
El motor de riesgo combina la puntuación base del rol con tu contexto declarado. Riesgo bajo significa aprovisionamiento instantáneo. Riesgo alto activa un workflow de doble aprobación con trazabilidad completa.
Identidad real. TTL corriendo. Auto-destruida.
Se crea una identidad efímera real en el CSP con exactamente los permisos correctos, acotada a tu IP declarada. Cuando el TTL expira — o cierras la sesión — se destruye. Sin limpieza manual.
Elige un rol. Declara tu red. Acceso decidido.
Cada solicitud se evalúa en tiempo real. El riesgo del rol combinado con tu contexto de red declarado determina si el acceso es inmediato, requiere aprobación o activa autenticación reforzada.
Paso 1
Elige un rol
Paso 2
Declara tu red
Este rango de IPs se embebe directamente en la identidad efímera en el CSP. Si alguien roba esa credencial y la usa desde otra IP, el proveedor cloud la rechaza.
Rango IP embebido como aws:SourceIp en el Permission Boundary. Credencial inválida fuera de este rango.
Paso 3
Decisión de acceso
Acceso inmediato
Identidad aprovisionada al instante
Identidad efímera
Permisos
s3:GetObject
ec2:Describe*
cloudwatch:GetMetric*
Identidad destruida automáticamente al expirar el TTL. Sin limpieza manual. Sin cuentas huérfanas.