BLOG

Protección del perímetro de identidad

Miniatura F5
F5
Publicado el 25 de julio de 2018

Hoy en día ya no es posible cavar un foso seguro alrededor del castillo. Existe un amplio consenso en que el modelo de seguridad del perímetro de la red de “castillo y foso” no es eficaz. Probablemente hayas oído hablar del perímetro de identidad y la confianza cero, pero ¿qué significan realmente aquí en el mundo real? También nos enfrentamos a otros desafíos, como autorizar el acceso a las API de una manera consistente y segura que los profesionales de seguridad puedan probar y auditar.  

¿Qué es el perímetro de identidad? 

El perímetro de identidad trata de proteger quién puede acceder a qué y tiene tres partes clave. En primer lugar, necesitamos la capacidad de identificar de forma segura a nuestros usuarios: aquí es donde Multifactor resulta útil. En segundo lugar, necesitamos extender esa identidad a las aplicações : aquí es donde utilizamos la federación. En tercer lugar, también debemos exigir que se utilice esa identidad para acceder a todo, de modo que tengamos un único punto de control y la capacidad de inspeccionar el dispositivo: aquí es donde un proxy de acceso resulta útil. El informe de F5 Labs "Lecciones aprendidas de una década de violaciones de datos" nos mostró que el 33 % de las violaciones se dirigieron inicialmente a las identidades. Está claro que tenemos trabajo por hacer. 

Por qué es fundamental el proxy de acceso 

La metodología BeyondCorp de Google identifica un proxy de acceso como la función que refuerza el punto único de control. Esto lo convierte en una parte fundamental de una arquitectura de confianza cero. Si bien algunos proveedores tienen soluciones de proxy de acceso, la mayoría están limitados en qué nubes pueden implementarse, qué proveedores de identidad pueden consumir o qué controles pueden aplicar.  

“Un proxy de acceso es una parte esencial de la adopción de una arquitectura de Confianza Cero y amplía los beneficios de la inversión en IDaaS. “La combinación de F5 y Okta mejora ambas ofertas para mejorar la seguridad y la experiencia del usuario dondequiera que se implementen sus aplicaciones”.
- Chuck Fontana, vicepresidente de Integración y Asociaciones Estratégicas de Okta

La autenticación rota y el control de acceso roto son problemas comunes y lo suficientemente graves en las aplicações web como para figurar en el Top 10 de OWASP. Las amenazas son tan comunes que la omisión de autenticación ocupa un lugar destacado en las bibliotecas de scripts de ataque, como lo muestra el informe de Protección de aplicação de 2018 de F5 Labs . Los servidores proxy de acceso proporcionan un método consistente para implementar los controles de acceso y los requisitos de autenticación necesarios frente a las aplicações. Esto elimina la necesidad de confiar en que cada desarrollador de aplicaciones es un experto en autenticación (poco probable). Pasamos mucho tiempo hablando del “tiempo de comercialización”, pero el “tiempo de obtención” es igualmente importante. 

API: la puerta de entrada a sus datos 

Al implementar controles de autorización de API directamente en su aplicação, cada lenguaje y marco debe implementarse de forma ligeramente diferente. Esto hace que sea muy difícil evaluar y determinar la eficacia de los controles y aumenta significativamente la cantidad de controles de seguridad que necesitan parchearse, probarse y mantenerse. Una única solución que funcione en todas las nubes y se implemente de la misma manera independientemente del lenguaje de la aplicação es fundamental para proteger con éxito las API. 

¿Cuál es el enfoque de F5? 

F5 está lanzando Access Manager para ayudar a los clientes a resolver estos problemas. Algunas características clave son: 

  • Integración de IDaaS y federación : la compatibilidad con SAML, OAuth y OpenID Connect permite que Access Manager amplíe su identidad para proteger más aplicações y mantener un único punto de control. Los principales proveedores de IDaaS, como Okta y Azure AD, reciben soporte a través de una configuración guiada. Access Manager también puede actuar como proveedor de identidad o servidor de autorización, proporcionando una solución completa.

  • Autorización de API : Access Manager proporciona una forma segura y consistente de implementar controles de autorización para su API con soporte para OAuth, OpenID Connect, autenticación de certificados y más.

  • Protección de credenciales : los ataques a la identidad no se detienen en el borde del centro de datos, por lo que su protección tampoco debería detenerse. Access Manager extiende la protección de la identidad al navegador del usuario al cifrar las credenciales a medida que el usuario las ingresa, incluso antes de enviarlas con F5 DataSafe.

  • Controles de políticas granulares : Access Manager incluye un generador de políticas visual que lo ayuda a controlar el riesgo mediante la creación de controles granulares por aplicação, usuario o dispositivo.

  • Configuración guiada : convierta tareas complejas en pasos sencillos con una guía clara. Esto permite a los equipos de seguridad implementar rápidamente una arquitectura de confianza cero, proteger una API, ampliar el alcance de su solución IDaaS o otorgar acceso a una aplicação. 

MIRANDO HACIA ADELANTE

A medida que F5 mira hacia el futuro, podemos ver que se requieren nuevos modelos de autenticación de usuarios basados en riesgos para proteger la identidad de maneras que eran imposibles hace apenas unos años. Está claro que la integración de un proxy y métodos consistentes para proteger la autenticación y la autorización son fundamentales. Esperamos pronto nuevas formas de proteger el perímetro de identidad.