• Share via AddThis

DESCRIPCIÓN GENERAL DE LA SOLUCIÓN

Identity Aware Proxy (IAP) de F5 BIG-IP APM: la puerta de entrada a una arquitectura de Zero Trust

Puerta de entrada del proxy de F5 a la arquitectura de Zero Trust

Proteger las redes privadas virtuales

A medida que el trabajo desde casa o a distancia se convierte en la norma, las organizaciones deben proporcionar un acceso seguro y autorizado a las aplicaciones y recursos, independientemente de dónde se encuentre la aplicación o el usuario. Muchas organizaciones confían en las redes privadas virtuales (VPN) para asegurar el acceso de los usuarios remotos a las aplicaciones y recursos. Pero aunque las VPN permiten un acceso seguro de los usuarios, también pueden ser poco manejables.

Si un usuario accede a una aplicación en su red a través de una VPN y luego accede a una nube pública o a una aplicación de software como servicio (SaaS), los datos y el código de la nube nativa o de la aplicación SaaS pasan por su red y luego al usuario. Esto puede crear un cuello de botella dentro de la VPN. Y eso puede aumentar la latencia, afectando negativamente a la experiencia del usuario y a la productividad. Además, las VPN pueden ser hackeadas. Ha habido muchos casos en los que una VPN ha sido víctima de un ataque de intermediario (MitM), sobre todo si el usuario accede a recursos y aplicaciones en una ubicación remota a través de una red wifi pública. Puede ocurrirles incluso a las personas que trabajan desde casa, ya que su router doméstico puede estar infectado, permitiendo ataques MitM y el robo de datos. El acceso a la VPN también utiliza el ya anticuado enfoque de seguridad de "castillo y foso": si el usuario tiene las credenciales correctas, puede acceder a cualquier aplicación y recurso al que esté autorizado dentro de su red. Aunque es conveniente, este tipo de acceso puede ser desastroso para su organización. Incluso un usuario conocido y de confianza puede convertirse, sin saberlo y sin quererlo, en una amenaza interna.

Los atacantes pueden iniciar ataques de relleno de credenciales al inicio de la sesión de la VPN de su organización para obtener acceso a su red, aplicaciones y datos. Pueden robar datos, soltar malware en su red y tomar el control de la cuenta de un usuario para lanzar ataques contra las cuentas de correo electrónico empresariales (BEC). Incluso pueden moverse horizontalmente dentro de su red para infectar a otros usuarios o robar más datos. Y, lo que es peor, pueden desplazarse en sentido ascendente o descendente por la red para atacar a su cadena de suministro. Todo esto puede ser perjudicial para su organización, sus usuarios e incluso sus socios y proveedores.



El avance de una arquitectura de Zero Trust

Muchas organizaciones como la suya están adoptando una arquitectura de Zero Trust. La confianza cero anima a enfocar la seguridad como si los atacantes ya se hubieran infiltrado en su red y estuvieran al acecho, esperando la oportunidad de lanzar su ataque. Un enfoque de seguridad basado en la confianza cero acaba con la idea de una persona de confianza dentro del perímetro definido de una red. Asume que hay un perímetro de red seguro limitado, o que no lo hay, a diferencia del enfoque de seguridad de «castillo y foso» empleado durante décadas. Con la migración de muchas aplicaciones a las nubes públicas o su sustitución por aplicaciones SaaS y la usurpación de recursos de red por parte de los que están en las nubes, un enfoque de confianza cero es más relevante y aplicable que nunca.

El axioma de Zero Trust es «nunca confíes, siempre verifica». Nunca confíes en los usuarios, incluso aunque ya hayan sido autenticados, autorizados y se les haya concedido acceso a las aplicaciones y recursos. Siempre hay que verificar y escudriñar la identidad del usuario, el tipo de dispositivo y su integridad, su ubicación, las aplicaciones y recursos a los que solicita acceso, etc. Y no solo es necesario verificarlo en el momento en que un usuario solicite el acceso, sino durante todo el tiempo que tenga acceso a la aplicación o recurso, y en cada solicitud e intento de acceso posterior. Un enfoque de Zero Trust significa aplicar los derechos de privilegio mínimo al acceso de los usuarios; es decir, permitir a los usuarios acceder únicamente a las aplicaciones y recursos para los que estén autorizados y restringir su acceso a una única aplicación o recurso a la vez.

Los principios básicos de una arquitectura de Zero Trust son la identidad y el contexto. Asegúrese siempre de que un usuario sea quien dice ser aprovechando una fuente de identidad fiable y verificable. Y asegúrese de que solo el usuario correcto accede de forma segura a la aplicación correcta, en el momento adecuado, con el dispositivo pertinente, con la configuración correcta y desde el lugar correcto.

Identity-Aware Proxy: la puerta de entrada a la confianza cero

El conocimiento de la identidad y el contexto es también lo que permite y lo que ofrece Identity Aware Proxy (IAP). Identity Aware Proxy proporciona un acceso seguro a aplicaciones específicas aprovechando un enfoque de grano fino para la autenticación y autorización del usuario. IAP solo permite el acceso a aplicaciones a través de solicitudes, muy diferente del enfoque de acceso amplio de las VPN, que aplican el acceso basado en la sesión. La diferencia estriba en limitar el acceso de los usuarios a una aplicación o recurso específicos al que están autorizados, frente a permitirles acceder a todas las aplicaciones o recursos a los que están autorizados. Centralizar la autorización permite crear controles de acceso a nivel de aplicación.

El contexto es vital dentro de IAP. Permite la creación y aplicación de políticas de acceso a aplicaciones granulares basadas en atributos contextuales, como la identidad del usuario, la integridad del dispositivo y la ubicación del usuario, por nombrar solo algunos. IAP se basa en controles de acceso a nivel de aplicación, no en reglas impuestas por la capa de red. Las políticas configuradas reflejan la intención y el contexto del usuario y la aplicación, no los puertos y las direcciones IP. Por último, IAP requiere una sólida raíz de identidad de confianza para verificar a los usuarios y sus dispositivos, y para hacer cumplir estrictamente lo que se les autoriza.

¿Qué es Identity Aware Proxy?

Identity Aware Proxy es central en F5 BIG-IP Access Policy Manager (APM). BIG-IP APM y F5 Access Guard ofrecen Identity Aware Proxy, utilizando una validación del modelo de confianza cero para cada solicitud de acceso. Proporcionando acceso seguro autenticado y autorizado a aplicaciones específicas, aprovecha el mejor proxy de acceso de F5. BIG-IP APM centraliza la identidad y la autorización del usuario. La autorización se basa en los principios del acceso con menos privilegios. Con su enfoque IAP, BIG-IP APM es capaz de examinar, terminar y autorizar las solicitudes de acceso a las aplicaciones. El conocimiento del contexto necesario para Zero Trust obliga a desarrollar y aplicar políticas de autorización extremadamente granulares. BIG-IP APM, a través de su compatibilidad con IAP, ofrece precisamente eso. Se pueden crear políticas dentro de BIG-IP APM para verificar la identidad del usuario, comprobar la idoneidad y la postura del dispositivo y validar la autorización del usuario.

También puede crear políticas para:

  • Confirmar la integridad y la sensibilidad de la aplicación
  • Confirmar la accesibilidad de la hora y la fecha
  • Limitar o detener el acceso si la ubicación del usuario se considera incorrecta, inapropiada o insegura
  • Solicitar formas adicionales de autenticación, incluida la autenticación multifactor (MFA), en caso de que la ubicación del usuario o la naturaleza sensible del dispositivo, aplicación o archivo a los que se solicite acceso lo justifiquen
  • Integrar los datos del análisis del comportamiento de los usuarios y las entidades (UEBA) y otras fuentes de riesgo basadas en la API

Diagrama de F5 Identity Aware Proxy

Para garantizar que un dispositivo es apropiado y seguro, y antes de que el usuario pueda ser autenticado y su acceso a la aplicación autorizado, BIG-IP APM comprueba la postura de seguridad de su dispositivo a través de F5 Access Guard, que se incluye con BIG-IP APM. Sin embargo, BIG-IP APM y F5 Access Guard van más allá de la simple comprobación de la integridad del dispositivo en el momento de la autenticación. En su lugar, ofrecen comprobaciones continuas de la postura de los dispositivos, asegurando que los dispositivos de los usuarios no solo cumplen, sino que se adhieren continuamente a las políticas de seguridad de los puntos finales durante el acceso a las aplicaciones de los usuarios. Y, si BIG-IP APM detecta cualquier cambio en la integridad del dispositivo, puede limitar o detener el acceso del usuario a las aplicaciones, limitando o eliminando así los posibles ataques antes de que puedan producirse.

Identity Aware Proxy también simplifica el acceso a las aplicaciones para los trabajadores remotos o desde casa y permite y asegura mejor el acceso a las aplicaciones para su organización. Dado que el acceso VPN permite a los usuarios acceder a cualquier aplicación o recurso al que estén autorizados, no se adhiere a un modelo de Zero Trust. Sin embargo, Identity Aware Proxy permite a los usuarios solicitar el acceso a una aplicación específica directamente y contar con protección de cifrado. Esto reduce significativamente su necesidad de VPN, lo que le ahorra a su organización tiempo y dinero, a la vez que ofrece una alternativa más segura.

Un puente de identidad para Zero Trust

Sin embargo, un verdadero enfoque de seguridad de zero trust requiere que se asegure el acceso a todas las aplicaciones a las que un usuario pueda estar autorizado, incluidas las aplicaciones que no son nativas de la nube pública o que se ofrecen como software como servicio (SaaS). Esto debe incluir incluso las aplicaciones clásicas o personalizadas que pueden no funcionar con la identidad basada en la nube, como la identidad como servicio (IDaaS). Muchas de estas aplicaciones permanecen en las instalaciones, en un centro de datos o en una nube privada. La mayoría de estas aplicaciones también admiten métodos de autenticación clásicos, como Kerberos, basados en encabezados, u otros. No son compatibles con los protocolos modernos de autenticación y autorización, como Secure Assertion Markup Language (SAML), u OpenID Connect (OIDC) y OAuth. No son compatibles con la federación de identidades, el inicio de sesión único (SSO) o incluso la MFA.

BIG-IP APM resuelve este problema. BIG-IP APM, en estrecha colaboración con los proveedores de IDaaS, como Microsoft (Azure Active Directory), Okta y otros, llena el vacío de identidad que existe entre la autenticación moderna y la clásica. BIG-IP APM es capaz de garantizar que las aplicaciones clásicas y personalizadas puedan soportar la federación de identidades y el SSO. Esto no solo mejora la experiencia del usuario simplificando el acceso a las aplicaciones mediante la centralización del control de acceso, sino que también garantiza la existencia de una fuente de identidad segura y de confianza. Al habilitar la MFA para todas las aplicaciones, BIG-IP APM protege todas las aplicaciones contra el acceso inapropiado y permite otra capa de seguridad para garantizar el acceso adecuado a las aplicaciones. BIG-IP APM es un punto de control único y centralizado diseñado para gestionar y asegurar el acceso de los usuarios a las aplicaciones, independientemente de dónde estén alojadas.

Conclusión

F5 BIG-IP APM, a través de su compatibilidad con Identity Aware Proxy, permite el despliegue del acceso a aplicaciones de Zero Trust. BIG-IP APM ofrece un acceso a las aplicaciones por solicitud, a la vez que asegura y gestiona el acceso a todas las aplicaciones, independientemente de su ubicación y de los métodos de autenticación y autorización. Ofrece capacidad de ampliación y fiabilidad, sinónimos de F5, y aprovecha la arquitectura de proxy completo de F5, líder en el sector.

BIG-IP APM con Identity Aware Proxy reduce los costes de infraestructura, aumenta la seguridad de las aplicaciones y mejora la experiencia de los usuarios y los administradores.

PROXIMOS PASOS

Iniciar una prueba

Vea cómo funciona F5 BIG-IP APM con una prueba gratuita.

Contáctenos

Descubra cómo los productos y las soluciones de F5 pueden permitirle alcanzar sus objetivos.