¿Qué es el cumplimiento de políticas?

El cumplimiento de políticas es el proceso de gestión de la conectividad, el acceso y el uso de la red y las aplicaciones de acuerdo con una o más políticas que determinan las condiciones en las que se permite el acceso.

En un contexto informático, el cumplimiento de políticas suele referirse a la creación, categorización, gestión, supervisión y ejecución automatizada de un conjunto específico de requisitos para el uso de un ordenador o una red de comunicaciones, es decir, no solo el cumplimiento de políticas, sino también la definición, aplicación y gestión de políticas en general.

Las políticas pueden abordar prácticamente cualquier parámetro de «quién, qué, dónde, cuándo, cómo o por qué», incluido quién puede acceder a los recursos, cuándo, desde dónde, utilizando qué dispositivos o programas informáticos, qué puede y no puede hacer el usuario una vez que se le concede el acceso, durante cuánto tiempo y con qué auditoría o supervisión. Las políticas también pueden abordar interacciones o requisitos más técnicos, como los protocolos que se deben aceptar, los puertos que se deben utilizar o los tiempos de espera de la conexión.

¿Por qué es importante el cumplimiento de políticas?

Las organizaciones crean políticas para controlar, gestionar y, a veces, monetizar sus activos y servicios. El cumplimiento de políticas de red ayuda a automatizar las medidas de seguridad de los datos y los activos, incluidos los requisitos de BYOD. Puede permitir a un proveedor de servicios, por ejemplo, cree tarifas diferenciales para servicios o momentos de uso específicos. También puede utilizarse para ayudar a hacer cumplir las normas éticas de las empresas (como el uso del equipo de la empresa y el tiempo para fines personales) y para entender y gestionar mejor el uso de la red.

¿Cómo funciona el cumplimiento de políticas?

El cumplimiento de las políticas suele estar a cargo de un software o hardware que sirve de puerta de enlace, proxy, cortafuegos u otro punto de control centralizado en la red. Las políticas deben definirse primero, junto con una o más acciones que se tomarán si se produce una violación. Una vez definidas las políticas, el software o el hardware se convierten en un punto de aplicación de políticas en la red, un nexo en el que la aplicación de políticas se lleva a cabo en tres partes:

Una evaluación de la conexión o solicitud.
Una comparación de la situación evaluada con las políticas conocidas para decidir si la conexión violaría una (o más) de ellas.
Una acción resultante, que va desde la entrega de la solicitud hasta la desconexión o la incorporación a la lista de denegación.

Por ejemplo, una política puede identificar las direcciones IP maliciosas conocidas y especificar que se rechace todo el tráfico de esas direcciones. Las políticas más complejas pueden permitir que un usuario específico se conecte a algunas aplicaciones pero no a otras, o que realice algunas acciones una vez conectado que supongan una tarifa más elevada que otras (como el uso de un servicio de streaming en un dispositivo de alta resolución). Por tanto, los sistemas de autenticación, autorización y contabilidad (AAA) son una forma de cumplimiento de las políticas.

El cumplimiento de políticas de redes puede requerir el cumplimiento de parámetros más sofisticados y granulares, como la presencia de certificados no caducados, el tipo o la versión de un dispositivo o navegador que se utiliza para conectarse, o la ausencia de patrones de comportamiento asociados a los ataques.

La supervisión o la documentación de todo el proceso de cumplimiento, en particular de los incidentes de incumplimiento, suele formar parte de una solución de cumplimiento de políticas.

Son varios los productos de F5 que pueden servir de puertas de enlace o proxies completos para permitir un control granular de la creación y el cumplimiento de políticas desde un punto de control único y centralizado. En particular, BIG-IP Policy Enforcement Manager (PEM) proporciona controles sofisticados para los proveedores de servicios que quieren monetizar los servicios y mejorar el rendimiento de la red. Para las empresas, BIG-IP Access Policy Manager (APM) ofrece una gestión basada en el contexto del acceso a las aplicaciones con una interfaz gráfica de usuario llamada Visual Policy Editor (VPE) que facilita la creación, edición y gestión de políticas basadas en el contexto y conscientes de la identidad.