Más allá de la seguridad perimetral, 8 fases para trabajar en un entorno seguro
- Opinión
Enric Mañez, director de Alianzas Estratégicas de Akamai, propone en este artículo los pasos para construir una arquitectura Zero Trust.
Históricamente dentro de las organizaciones se tendía a tener la creencia de que las redes internas eran las seguras y las externas no eran fiables. Sin embargo, esto no era del todo cierto. Pero en ese momento parecía un hecho irrefutable que cualquier ataque a una organización se iniciaría desde fuera de ésta. Esta premisa permitía, y en muchos casos sigue permitiendo, que un usuario cualquiera de la compañía tuviese unos privilegios de acceso heredados simplemente por el hecho de estar conectado a una interfaz de red concreta
Sin embargo, la rápida evolución de la tecnología de consumo produjo un gran cambio en los modelos de seguridad, fundamentalmente causado por el creciente número de dispositivos móviles que se conectan cada día a las redes corporativas. Esto es una realidad especialmente con la llegada, a empresas de todo el mundo, del ya conocido BYOD (Bring Your Own Device).
Esta tendencia, BYOD, consiste en que desde las propias organizaciones se anima a los empleados a llevar y utilizar sus propios dispositivos (tabletas, smartphones, ordenadores portátiles) para conectarse a los recursos de la empresa, lo que conlleva múltiples implicaciones para los procesos de trabajo y la organización, que deben redefinir gran parte de sus procesos y métodos de trabajo y revisar los protocolos de seguridad en las redes empresariales ya que, como decíamos, dada la evolución de aplicaciones, usuarios y dispositivos, el perímetro ,considerando este último la red corporativa y los dispositivos bajo control y supervisión corporativa, ha dejado de ser un sistema de seguridad empresarial de confianza.
Por este motivo, surge el modelo de seguridad alternativo llamado zero-trust introducido en 2010 por John Kindervag, principal analista de Forrester en el que se aplica el concepto “Verify and Never trust” y en el que por defecto se trata a todo el tráfico por igual sin tener en cuenta su ubicación o el dispositivo o usuario que lo genere, y por ello, estaría sujeto a controles de seguridad similares. En definitiva, lo que todo departamento de seguridad empresarial quiere, y es garantizar un acceso seguro a todos los recursos y protegerse de los ataques.
Para construir una arquitectura Zero Trust amplia e integral que permita ofrecer un acceso seguro a las aplicaciones en un entorno de nube nativa se pueden establecer ocho fases:
Fase de comprobación previa de la aplicación: En primer lugar, hay que asegurarse de que la aplicación cumple los requisitos de acceso proxy que se hayan implementado.
Fase de preparación del acceso: A continuación, se configura el servicio de acceso para que reconozca la aplicación, así como sus derechos de seguridad y acceso específicos teniendo en cuenta el entorno en el que se configurará el proxy de acceso (en la nube o local) y cómo se distribuirá a los usuarios finales.
Fase de verificación en laboratorio de pruebas: Ya se puede empezar a incorporar usuarios, pero es aconsejable designar previamente un grupo de laboratorio de pruebas que serán los responsables de verificar la integridad funcional de la aplicación y confirmar que la autenticación funciona correctamente, que la autenticación multifactorial está bien configurada y que el inicio de sesión único está operativo en todas las demás aplicaciones previamente conectadas.
Fase de actualización de seguridad: Una vez que los usuarios del laboratorio de pruebas puedan acceder a la aplicación, debe plantearse la posibilidad de implantar funciones de seguridad avanzadas que antes, en el modelo perimetral tradicional, no se podían implementar. Tales como: firewall de aplicaciones web (WAF) contra inyección SQL, scripts de sitios (XSS) y ataques de inyección comunes; protección avanzada contra amenazas; control del navegador y del sistema operativo; restricciones para dispositivos gestionados y no gestionados; bloqueo geográfico y limitaciones basadas en IP. Independientemente de las funciones que decida implantar, los miembros del laboratorio de pruebas deben asegurarse de que las opciones de seguridad, además de poder usarse sin problemas, no afecten negativamente al correcto funcionamiento de la aplicación.
Fase de verificación de rendimiento: Llegado este momento, se debe examinar la degradación del rendimiento. En los modelos de acceso y seguridad tradicionales, las empresas suelen ver limitado su rendimiento debido a la centralización del servidor de aplicaciones y a las redes desplegadas en las oficinas remotas. Algunas de las funciones recomendables para mitigar estos problemas son: almacenamiento en caché, red de distribución de contenido (CDN), optimización de rutas, corrección de errores de reenvío (FEC) y replicación de paquetes. En cualquier caso, se debe implantar un proceso de instrumentación del rendimiento en esta fase, así como antes de la fase de registro de aplicaciones, con el objetivo de evaluar con exactitud los beneficios.
Fase de inscripción de usuarios externos: Y es entonces cuando se debe desplegar la aplicación para los usuarios externos, estos suelen ser los primeros en el despliegue porque el acceso no tradicional implica prescindir de la VPN para este grupo. Al situarse en los entornos más con menor o ningún control corporativo, su ubicación puede suponer un mayor riesgo para las aplicaciones y los datos. Si bien la transición apenas debe notarse (aparte de un mejor rendimiento), se recomienda notificar a los usuarios previamente para que presten especial atención a que el funcionamiento sea correcto.
Fase de inscripción de usuarios internos: En esta fase, se puede agregar la aplicación como una entrada CNAME (nombre canónico) a la vista común. Si se hace correctamente, todos los usuarios podrán empezar a acceder a esta aplicación a través del nuevo servicio de acceso. Es de esperar que, a lo largo de las seis fases anteriores, se hayan detectado y solucionado todos los fallos de configuración y otros errores, por lo que todos los usuarios deberían poder disfrutar de las ventajas de un acceso más fácil, rápido y seguro.
Fase de migración a VLAN: Cuando haya trascurrido el tiempo pertinente, puede cambiar la aplicación a la VLAN aislada de servicios internos, por ejemplo, sin que este servidor de aplicaciones pueda ser accesible directamente a través de su dirección IP y, por lo tanto, vulnerable a malware dentro del perímetro de red. Esta última fase elimina todo acceso directo a través de IP para proteger a la aplicación de todas las amenazas, y solo permite el paso a través del proxy de acceso.
En definitiva, con estas ocho fases podremos, por tanto, migrar fácilmente a un entorno sin perímetro, probando las aplicaciones una a una y reduciendo su perfil de riesgo de migración proporcionando un entorno cada vez más seguro a nuestras empresas.
Ayúdanos a conocer cuáles son las tendencias tecnológicas que se impondrán en la empresa el próximo año y más allá, y cómo se está construyendo el futuro digital.