Hoy en día ya no es posible cavar un foso seguro alrededor del castillo. Existe un amplio consenso en que el modelo de seguridad del perímetro de la red de “castillo y foso” no es eficaz. Probablemente hayas oído hablar del perímetro de identidad y la confianza cero, pero ¿qué significan realmente aquí en el mundo real? También nos enfrentamos a otros desafíos, como autorizar el acceso a las API de una manera consistente y segura que los profesionales de seguridad puedan probar y auditar.
El perímetro de identidad trata de proteger quién puede acceder a qué y tiene tres partes clave. En primer lugar, necesitamos la capacidad de identificar de forma segura a nuestros usuarios: aquí es donde Multifactor resulta útil. En segundo lugar, necesitamos extender esa identidad a las aplicações : aquí es donde utilizamos la federación. En tercer lugar, también debemos exigir que se utilice esa identidad para acceder a todo, de modo que tengamos un único punto de control y la capacidad de inspeccionar el dispositivo: aquí es donde un proxy de acceso resulta útil. El informe de F5 Labs "Lecciones aprendidas de una década de violaciones de datos" nos mostró que el 33 % de las violaciones se dirigieron inicialmente a las identidades. Está claro que tenemos trabajo por hacer.
La metodología BeyondCorp de Google identifica un proxy de acceso como la función que refuerza el punto único de control. Esto lo convierte en una parte fundamental de una arquitectura de confianza cero. Si bien algunos proveedores tienen soluciones de proxy de acceso, la mayoría están limitados en qué nubes pueden implementarse, qué proveedores de identidad pueden consumir o qué controles pueden aplicar.
La autenticación rota y el control de acceso roto son problemas comunes y lo suficientemente graves en las aplicações web como para figurar en el Top 10 de OWASP. Las amenazas son tan comunes que la omisión de autenticación ocupa un lugar destacado en las bibliotecas de scripts de ataque, como lo muestra el informe de Protección de aplicação de 2018 de F5 Labs . Los servidores proxy de acceso proporcionan un método consistente para implementar los controles de acceso y los requisitos de autenticación necesarios frente a las aplicações. Esto elimina la necesidad de confiar en que cada desarrollador de aplicaciones es un experto en autenticación (poco probable). Pasamos mucho tiempo hablando del “tiempo de comercialización”, pero el “tiempo de obtención” es igualmente importante.
Al implementar controles de autorización de API directamente en su aplicação, cada lenguaje y marco debe implementarse de forma ligeramente diferente. Esto hace que sea muy difícil evaluar y determinar la eficacia de los controles y aumenta significativamente la cantidad de controles de seguridad que necesitan parchearse, probarse y mantenerse. Una única solución que funcione en todas las nubes y se implemente de la misma manera independientemente del lenguaje de la aplicação es fundamental para proteger con éxito las API.
F5 está lanzando Access Manager para ayudar a los clientes a resolver estos problemas. Algunas características clave son:
Integración de IDaaS y federación : la compatibilidad con SAML, OAuth y OpenID Connect permite que Access Manager amplíe su identidad para proteger más aplicações y mantener un único punto de control. Los principales proveedores de IDaaS, como Okta y Azure AD, reciben soporte a través de una configuración guiada. Access Manager también puede actuar como proveedor de identidad o servidor de autorización, proporcionando una solución completa.
Autorización de API : Access Manager proporciona una forma segura y consistente de implementar controles de autorización para su API con soporte para OAuth, OpenID Connect, autenticación de certificados y más.
Protección de credenciales : los ataques a la identidad no se detienen en el borde del centro de datos, por lo que su protección tampoco debería detenerse. Access Manager extiende la protección de la identidad al navegador del usuario al cifrar las credenciales a medida que el usuario las ingresa, incluso antes de enviarlas con F5 DataSafe.
Controles de políticas granulares : Access Manager incluye un generador de políticas visual que lo ayuda a controlar el riesgo mediante la creación de controles granulares por aplicação, usuario o dispositivo.
Configuración guiada : convierta tareas complejas en pasos sencillos con una guía clara. Esto permite a los equipos de seguridad implementar rápidamente una arquitectura de confianza cero, proteger una API, ampliar el alcance de su solución IDaaS o otorgar acceso a una aplicação.
A medida que F5 mira hacia el futuro, podemos ver que se requieren nuevos modelos de autenticación de usuarios basados en riesgos para proteger la identidad de maneras que eran imposibles hace apenas unos años. Está claro que la integración de un proxy y métodos consistentes para proteger la autenticación y la autorización son fundamentales. Esperamos pronto nuevas formas de proteger el perímetro de identidad.