Asegurando su negocio sin fronteras
Es posible que hayas escuchado a mucha gente aquí en F5 decir: “La identidad es el nuevo firewall”. Puede que esto suene a frase hecha, pero hay mucho envuelto en esa simple declaración. Mucha seguridad y la cambiante forma en que abordamos las disrupciones digitales actuales.
Ya sea la nube o las amenazas que avanzan constantemente en la pila de aplicação , o la disolución de aplicaciones monolíticas en API y microservicios, la realidad es que estas disrupciones están teniendo un efecto dominó hacia afuera. El efecto ha sacudido el terreno sobre el que se construyen los centros de datos y está provocando cambios nada inesperados en las arquitecturas de los centros de datos . Estos cambios están siendo impulsados fuertemente en estos momentos por el surgimiento de un negocio sin fronteras. Una empresa que depende de aplicações, muchas de las cuales están implementadas allí (SaaS), unas pocas allí (IaaS) y algunas todavía aquí (en el centro de datos).
Los cambios son el resultado de reconocer que un negocio sin fronteras no puede protegerse eficazmente con arquitecturas tradicionales centradas en un firewall como punto estratégico de control dentro del negocio.
Ya no funciona de esa manera porque el perímetro que se quiere proteger ya no es el centro de datos. El perímetro es ahora esa aplicação, y esa aplicação, y esa otra aplicação. Los firewalls tradicionales basados en IP son ineficaces no sólo por su comprensión limitada de las aplicações sino también por su naturaleza atada. Los firewalls tradicionales basados en IP, que siguen siendo una necesidad en el centro de datos, son en gran medida ineficaces en entornos de red altamente volátiles como la nube, porque el espacio de direcciones de las aplicações que se supone que deben proteger suele cambiar rápidamente. La introducción de contenedores también ha incrementado el problema de la volatilidad en el control de acceso a las aplicações basado en red debido a su vida útil (a menudo mucho) más corta. Dado que la duración se mide en minutos en lugar de días o semanas (o meses), la presión sobre los firewalls tradicionales basados en IP es increíblemente alta.
Por otro lado, el control de acceso a aplicações basado en identidad se preocupa por hacer coincidir usuarios y aplicaciones, no direcciones IP, y proporciona una mejor manera de controlar el acceso a las aplicações en función del contexto en lugar de la configuración. Esto significa que, en lugar de limitarse a las direcciones IP, las solicitudes de acceso de los usuarios se pueden evaluar en función del cliente, la ubicación, el dispositivo, la hora del día, la velocidad de la red y la aplicação , además de la dirección IP, si realmente desea analizarlo. Ese acceso proporciona un mejor medio para determinar quién (o qué) debería (o no debería) tener acceso a una aplicação determinada. Y es mucho más fácil proporcionar ese servicio para las aplicações sin importar dónde estén implementadas. Un servicio de control de acceso basado en identidad puede viajar con una aplicação desde el centro de datos a la nube y viceversa si es necesario, porque su control se basa en comprender al cliente y a la aplicação y aplicar políticas en tiempo real independientemente de la red que transporte esas solicitudes y respuestas.
Una opción de control de acceso basada en identidad también significa proporcionar paridad entre entornos dispares. Si bien confiar en el firewall tradicional basado en IP para controlar el acceso a las aplicações significa usar un sistema en el centro de datos y otro en la nube, el mismo servicio de control de acceso basado en identidad se puede implementar en ambos entornos, lo que significa políticas basadas en consistencia que brindan un mejor cumplimiento de las políticas corporativas, así como una menor sobrecarga operativa en términos de administración y auditoría. Observamos que esa paridad seguirá siendo demandada por quienes operan en un entorno híbrido (multinube). En nuestro informe State of Aplicação Delivery 2016, casi la mitad (48%) de los encuestados mencionó la paridad de políticas y auditorías con las instalaciones locales como un factor de seguridad importante para la adopción de la nube.
Además, el aumento de las violaciones de seguridad causadas por credenciales robadas o fácilmente descubiertas indica que ya es hora de ir más allá de la autenticación básica basada en contraseñas y adoptar un medio más inteligente de permitir o denegar el acceso. PWC, en su última encuesta de seguridad global , señaló que el 91% de los encuestados utilizan “autenticación avanzada”. Citando tokens y métodos de autenticación de dos factores, señalan que la autenticación avanzada proporciona beneficios significativos no sólo en términos de confianza del cliente, sino también de confianza corporativa.
El control de acceso basado en contexto proporciona medidas similares al proporcionar múltiples “factores” sobre los cuales evaluar las solicitudes. La autenticación de dos factores se puede implementar mediante estas soluciones, pero las organizaciones también pueden desarrollar medidas de autenticación que se basen en pistas contextuales proporcionadas automáticamente para una experiencia de aplicação aún más fluida. Se podría argumentar que en la era en la que las "cosas" actúan como clientes, se requiere una política de autenticación más automática basada en "muchos factores", ya que la mayoría de las "cosas" no poseen teléfonos móviles propios y los propietarios podrían no apreciar estar involucrados en las frecuentes transacciones requeridas para que las cosas se sincronicen y "llamen a casa".
Independientemente de cuál sea la decisión de su organización sobre la autenticación y el control de acceso, es casi seguro que no dependerá únicamente (si es que lo hace) de firewalls basados en IP. Porque los firewalls basados en IP se basan en la noción de que existe una frontera corporativa bien definida. Y en el mundo nublado, móvil y casi efímero de la infraestructura de aplicaciones actual, esa frontera ya no existe.