BLOG

Confianza cero: preguntas que formular

Miniatura F5
F5
Publicado el 17 de enero de 2019

Tener una “Estrategia de Confianza Cero” es muy parecido a tener una “Estrategia de Nube”; carece de sentido sin el contexto de lo que intentas lograr y dónde te encuentras hoy. Incluso el nombre puede ser engañoso, ya que en algo hay que confiar. Una definición básica de Confianza Cero sería “no confiar en un usuario o dispositivo según su ubicación de red”, pero si fuera así de simple, ya habríamos terminado de implementarlo. Como arquitecto de soluciones globales en F5, tengo la oportunidad de analizar muchas arquitecturas de acceso y, si bien muchos tienen aspiraciones, pocos han logrado sus objetivos de Confianza Cero.

Una mejor definición parecería encontrarse al redefinir el límite de confianza para incluir la identidad, el dispositivo y la aplicação, en lugar de un perímetro de red. Ciertamente, esta no es una idea nueva y he visto a muchos clientes avanzar en esta dirección, pero está ganando más fuerza ahora que los proveedores abordan los desafíos centrales para hacer que realmente funcione en entornos sin su propio ejército de desarrolladores para crear una solución personalizada. Lo que aumenta la confusión es que hay una variedad de modelos para elegir, como proxies, microtúneles, microsegmentación, sin proxy, así como términos competitivos y conceptos relacionados como microsegmentación y perímetro definido por software (SDP). ¿Cómo se define el éxito en algo tan vago con tantas opciones y por dónde empezar a evaluar las soluciones? Primero debes saber cuáles son tus objetivos y requisitos. Entonces, comenzaría con algunas preguntas como estas...

¿Qué tipo de aplicações quieres proteger?

Los servidores proxy tienden a ser buenos para manejar aplicações web, brindar capacidades de SSO, buena experiencia de usuario y una implementación y administración relativamente fáciles. ¿Estás buscando proporcionar confianza cero también para el acceso al servidor? Algunas soluciones ofrecen proxies SSH y RDP. Para estos tres protocolos, también hay soluciones sin proxy que se integran directamente en el código de la aplicação o en los módulos de autenticación del servidor disponibles, pero tenga en cuenta que esto significa que no puede detener el tráfico antes de que llegue al servidor o la aplicação , por lo que está asumiendo un mayor riesgo.

Si los objetivos de su aplicação incluyen más que estos, es probable que necesite ampliarlo a una solución basada en túnel. No todas las soluciones de túneles son iguales. Algunos utilizan VPN tradicionales, que limitan su conectividad a una única puerta de enlace. Los microtúneles tienden a ser un mejor enfoque, ya que le permiten establecer muchos túneles hacia diferentes puntos finales para ayudarlo a abordar los requisitos de acceso donde sea que se encuentren sus aplicaciones.

¿Qué tipos de protecciones deben implementarse?

Esta es una gran oportunidad para asegurarse de tener multifactor frente a cada aplicação, algún tipo de credential stuffing y protección contra fuerza bruta, protección contra bots, visibilidad del tráfico con integración de servicios de seguridad como prevención de pérdida de datos y sistemas de prevención de intrusiones, y un firewall de aplicaciones web para sus aplicaciones web. Al implementar un modelo de acceso consistente, también estás creando un lugar consistente para insertar todos estos servicios. Tenga cuidado con las soluciones de confidencialidad de extremo a extremo. Suena atractivo hasta que te das cuenta de que significa que tienes que pasar por alto todos tus servicios de seguridad. Zero Trust nunca debería reducir su postura de seguridad. Terminar los túneles en una puerta de enlace y luego enrutar el tráfico a través de dispositivos de visibilidad y seguridad es una buena estrategia.

¿Necesita inicio de sesión único (SSO)?

Las soluciones de túnel generalmente no pueden entregar la identidad a la aplicação y a veces dependen de que el entorno tenga otra autenticación perfecta implementada. Es posible que necesite servidores proxy o integración de código directa para proporcionar el SSO que está buscando. Cumplir con esto es probablemente la clave del éxito con muchas de sus partes interesadas. La solución correcta bien implementada puede mejorar la experiencia del usuario al mismo tiempo que la seguridad.

¿Cuál es su estrategia de análisis?

Deberías tener grandes expectativas aquí. Al implementar un marco de políticas consistente para el acceso en toda la organización, un beneficio clave debe ser comprender quién accede a qué recurso, desde qué dispositivo, desde dónde y cuándo. Esta recopilación de datos debe utilizarse y analizarse junto con los datos de otras herramientas de seguridad para identificar y mitigar amenazas. Esta es una oportunidad para abordar el riesgo dentro de la organización mejorando su cadena de ataque en cada paso, incluida la visibilidad, la identificación de amenazas y la mitigación. Los proveedores en este espacio aún no ofrecen el paquete completo, así que asegúrese de buscar formas de integrar análisis de terceros en la solución para mejorarla. Una buena táctica en este caso es buscar proveedores que se centren en las integraciones de socios además de su propia solución (en lugar de intentar ofrecer todo en una única plataforma).

¿Qué tipo de experiencia de usuario debería esperar?

Los servidores proxy tienden a proporcionar una experiencia de usuario superior para las aplicações web porque no requieren ningún cambio en el comportamiento del usuario en su navegador y también se necesitan menos componentes en el lado del cliente. Sin embargo, otras soluciones pueden requerir clientes de túnel. Es razonable esperar que el usuario final desconozca total o casi totalmente la existencia de los túneles. Las VPN tradicionales tienden a tener una experiencia de usuario negativa en comparación con los microtúneles y tienen otras limitaciones como las discutidas anteriormente.

¿Qué plataformas necesitas soportar?

Algunas soluciones ofrecen una plataforma excelente para computadoras de escritorio, pero no para dispositivos móviles. Asegúrese de evaluar la solución y determinar si puede satisfacer las necesidades de los usuarios en los principales sistemas operativos de escritorio, dispositivos móviles y aplicaciones móviles nativas según sea necesario y que exista una experiencia de usuario y un conjunto de capacidades consistentes.

Próximos pasos

Define tus objetivos, que probablemente deberían incluir una mejor experiencia del usuario, una mejor integración de los servicios de seguridad, múltiples factores por delante de todo y una estrategia de integración de análisis para empezar. Esto ayudará a determinar con qué proveedores y arquitecturas vale la pena invertir tiempo para una evaluación más profunda. A continuación, céntrese en los proveedores con buenas estrategias de asociación. Ningún proveedor va a ofrecer todo lo que usted espera de esta arquitectura y usted quiere una plataforma sobre la que pueda construir. ¡Serás más feliz a largo plazo, confía en mí!