BLOG

Replantee su estrategia de acceso, piense más allá de las corporaciones

Miniatura F5
F5
Publicado el 19 de julio de 2017

Hace años, Forrester declaró muerto el viejo mantra de seguridad, “confiar pero verificar”, y acuñó el término confianza cero. El argumento fue que confiamos en todo en función de una autenticación inicial exitosa, pero nunca verificamos realmente eso después. Como es habitual, palabras de moda como ésta pasan por su ciclo de exageración, comenzando con mucho entusiasmo y a menudo sin generar demasiada acción en el corto plazo. La confianza cero y sus consecuencias (la aplicação es el nuevo perímetro, etc.) ahora están ganando terreno en arquitecturas e implementaciones del mundo real. Google, un gran defensor de esta estrategia de seguridad, ha hecho grandes avances en su implementación e incluso ha sido tan amable de publicar su proceso para hacerlo. Lo llamaron BeyondCorp.

Google publicó recientemente una entrada de blog para promocionar su cuarto artículo de investigación sobre el tema, que describe cómo mantuvieron la productividad mientras atravesaban el largo proceso de migración. Para resumir la arquitectura de BeyondCorp, ya no existe una diferenciación entre acceso local y acceso remoto... es solo acceso. Todas las solicitudes de autenticación y acceso siguen la misma ruta a través de una puerta de enlace de acceso centralizada, independientemente de la ubicación o el dispositivo del usuario. Sin embargo, los desafíos de autenticación y las decisiones de acceso pueden diferir según una serie de factores de riesgo. La puerta de enlace proporciona solicitudes de autenticación, pero también permite un control de acceso detallado y basado en atributos según un perfil de riesgo. Esto proporciona consistencia y simplicidad para los usuarios, lo que es extremadamente valioso para reducir la probabilidad de ataques exitosos (como he descrito en escritos anteriores).

A modo de ejemplo, si un usuario intenta conectarse a la aplicación web de su empresa, que solo tiene anuncios de la empresa que también pueden ser públicos (riesgo bajo), e intenta conectarse desde su escritorio de la oficina o desde su computadora portátil proporcionada por la empresa (riesgo bajo), entonces tal vez, como administrador de seguridad, decida requerir solo nombre de usuario y contraseña para acceder. Pero supongamos que el usuario está intentando conectarse a una aplicação relacionada con finanzas (alto riesgo), desde algún lugar de Rusia (alto riesgo) y desde un dispositivo desconocido (alto riesgo). Yo, como administrador de seguridad, puedo tener una política en mi puerta de enlace de acceso que considere que esto es demasiado riesgoso y niegue el acceso o, al menos, solicite al usuario un segundo o incluso un tercer factor para verificar la identidad. Además, con un control de acceso basado en atributos y de granularidad fina, puedo decidir otorgar a las solicitudes de acceso que coincidan con ese nivel de riesgo una forma de acceso reducida… tal vez de solo lectura en lugar de lectura y escritura.

¿Algo de esto te suena familiar? Si utiliza un servicio IDaaS como los de los socios de F5, Microsoft Azure AD, Ping u Okta , ya está haciendo esto hasta cierto punto. Hay otros componentes que conforman el modelo BeyondCorp, sin embargo, la puerta de acceso es sin duda el eje de toda la arquitectura. Google ahora ofrece su «proxy con reconocimiento de identidad» (IAP) para que lo utilicen otras empresas, pero no está exento de limitaciones. Además de solo poder usar esto con aplicaciones en Google Compute Platform (GCP), algunos clientes notaron desafíos con la granularidad y flexibilidad del control de acceso, deseando una duración de sesión configurable, políticas por aplicação en lugar de por GCP y la capacidad de hacer una autenticación de segundo factor flexible y progresiva.

No es coincidencia que F5 ofrezca una solución de acceso que ofrece estas capacidades y más. Y funciona para TODOS sus entornos en lugar de solo para las aplicaciones que residen dentro de GCP. Ya sea completamente en la nube o de forma híbrida, F5 ofrece una solución de acceso segura, centralizada y escalable que se adapta a cualquier arquitectura. Para obtener más información, visite f5.com/apm .