Muchas organizaciones como la suya están adoptando una arquitectura de Confianza Cero . Zero Trust fomenta abordar la seguridad como si los atacantes ya se hubieran infiltrado en la red y estuvieran al acecho, esperando la oportunidad para lanzar su ataque. Un enfoque de confianza cero en materia de seguridad elimina la idea de que exista un infiltrado confiable dentro de un perímetro de red definido. Se supone que existe un perímetro de red seguro limitado, o incluso nulo, a diferencia del enfoque de seguridad de “castillo y foso” que se ha empleado durante décadas. Y con muchas aplicações migrando a nubes públicas o siendo reemplazadas por aplicações SaaS , y recursos de red siendo usurpados por aquellos en las nubes, un enfoque de Confianza Cero es más relevante y aplicable que nunca.

El axioma de Zero Trust es «nunca confíes, siempre verifica». Nunca confíes en los usuarios, incluso aunque ya hayan sido autenticados, autorizados y se les haya concedido acceso a las aplicaciones y recursos. Siempre hay que verificar y escudriñar la identidad del usuario, el tipo de dispositivo y su integridad, su ubicación, las aplicaciones y recursos a los que solicita acceso, etc. Y no solo es necesario verificarlo en el momento en que un usuario solicite el acceso, sino durante todo el tiempo que tenga acceso a la aplicación o recurso, y en cada solicitud e intento de acceso posterior. Un enfoque de Zero Trust significa aplicar los derechos de privilegio mínimo al acceso de los usuarios; es decir, permitir a los usuarios acceder únicamente a las aplicaciones y recursos para los que estén autorizados y restringir su acceso a una única aplicación o recurso a la vez.

Los principios básicos de una arquitectura de Zero Trust son la identidad y el contexto. Asegúrese siempre de que un usuario sea quien dice ser aprovechando una fuente de identidad fiable y verificable. Y asegúrese de que solo el usuario correcto accede de forma segura a la aplicación correcta, en el momento adecuado, con el dispositivo pertinente, con la configuración correcta y desde el lugar correcto.

El conocimiento de la identidad y el contexto es también lo que permite y lo que ofrece Identity Aware Proxy (IAP). Identity Aware Proxy proporciona un acceso seguro a aplicaciones específicas aprovechando un enfoque de grano fino para la autenticación y autorización del usuario. IAP solo permite el acceso a aplicaciones a través de solicitudes, muy diferente del enfoque de acceso amplio de las VPN, que aplican el acceso basado en la sesión. La diferencia estriba en limitar el acceso de los usuarios a una aplicación o recurso específicos al que están autorizados, frente a permitirles acceder a todas las aplicaciones o recursos a los que están autorizados. Centralizar la autorización permite crear controles de acceso a nivel de aplicación.

El contexto es vital dentro de IAP. Permite la creación y aplicación de políticas de acceso a aplicaciones granulares basadas en atributos contextuales, como la identidad del usuario, la integridad del dispositivo y la ubicación del usuario, por nombrar solo algunos. IAP se basa en controles de acceso a nivel de aplicación, no en reglas impuestas por la capa de red. Las políticas configuradas reflejan la intención y el contexto del usuario y la aplicación, no los puertos y las direcciones IP. Por último, IAP requiere una sólida raíz de identidad de confianza para verificar a los usuarios y sus dispositivos, y para hacer cumplir estrictamente lo que se les autoriza.

Identity Aware Proxy es central en F5 BIG-IP Access Policy Manager (APM). BIG-IP APM y F5 Access Guard ofrecen Identity Aware Proxy, utilizando una validación del modelo de confianza cero para cada solicitud de acceso. Proporcionando acceso seguro autenticado y autorizado a aplicaciones específicas, aprovecha el mejor proxy de acceso de F5. BIG-IP APM centraliza la identidad y la autorización del usuario. La autorización se basa en los principios del acceso con menos privilegios. Con su enfoque IAP, BIG-IP APM es capaz de examinar, terminar y autorizar las solicitudes de acceso a las aplicaciones. El conocimiento del contexto necesario para Zero Trust obliga a desarrollar y aplicar políticas de autorización extremadamente granulares. BIG-IP APM, a través de su compatibilidad con IAP, ofrece precisamente eso. Se pueden crear políticas dentro de BIG-IP APM para verificar la identidad del usuario, comprobar la idoneidad y la postura del dispositivo y validar la autorización del usuario.

También puede crear políticas para:

• Confirmar la integridad y la sensibilidad de la aplicación
• Confirmar la accesibilidad de la hora y la fecha
• Limitar o detener el acceso si la ubicación del usuario se considera incorrecta, inapropiada o insegura
• Solicitar formas adicionales de autenticación, incluida la autenticación multifactor (MFA), en caso de que la ubicación del usuario o la naturaleza sensible del dispositivo, aplicación o archivo a los que se solicite acceso lo justifiquen
• Integrar los datos del análisis del comportamiento de los usuarios y las entidades (UEBA) y otras fuentes de riesgo basadas en la API

Para garantizar que un dispositivo es apropiado y seguro, y antes de que el usuario pueda ser autenticado y su acceso a la aplicación autorizado, BIG-IP APM comprueba la postura de seguridad de su dispositivo a través de F5 Access Guard, que se incluye con BIG-IP APM. Sin embargo, BIG-IP APM y F5 Access Guard van más allá de la simple comprobación de la integridad del dispositivo en el momento de la autenticación. En su lugar, ofrecen comprobaciones continuas de la postura de los dispositivos, asegurando que los dispositivos de los usuarios no solo cumplen, sino que se adhieren continuamente a las políticas de seguridad de los puntos finales durante el acceso a las aplicaciones de los usuarios. Y, si BIG-IP APM detecta cualquier cambio en la integridad del dispositivo, puede limitar o detener el acceso del usuario a las aplicaciones, limitando o eliminando así los posibles ataques antes de que puedan producirse.

Identity Aware Proxy también simplifica el acceso a las aplicaciones para los trabajadores remotos o desde casa y permite y asegura mejor el acceso a las aplicaciones para su organización. Dado que el acceso VPN permite a los usuarios acceder a cualquier aplicación o recurso al que estén autorizados, no se adhiere a un modelo de Zero Trust. Sin embargo, Identity Aware Proxy permite a los usuarios solicitar el acceso a una aplicación específica directamente y contar con protección de cifrado. Esto reduce significativamente su necesidad de VPN, lo que le ahorra a su organización tiempo y dinero, a la vez que ofrece una alternativa más segura.

Sin embargo, un verdadero enfoque de seguridad de zero trust requiere que se asegure el acceso a todas las aplicaciones a las que un usuario pueda estar autorizado, incluidas las aplicaciones que no son nativas de la nube pública o que se ofrecen como software como servicio (SaaS). Esto debe incluir incluso las aplicaciones clásicas o personalizadas que pueden no funcionar con la identidad basada en la nube, como la identidad como servicio (IDaaS). Muchas de estas aplicaciones permanecen en las instalaciones, en un centro de datos o en una nube privada. La mayoría de estas aplicaciones también admiten métodos de autenticación clásicos, como Kerberos, basados en encabezados, u otros. No son compatibles con los protocolos modernos de autenticación y autorización, como Secure Assertion Markup Language (SAML), u OpenID Connect (OIDC) y OAuth. No son compatibles con la federación de identidades, el inicio de sesión único (SSO) o incluso la MFA.

BIG-IP APM resuelve este problema. BIG-IP APM, en estrecha colaboración con los proveedores de IDaaS, como Microsoft (Azure Active Directory), Okta y otros, llena el vacío de identidad que existe entre la autenticación moderna y la clásica. BIG-IP APM es capaz de garantizar que las aplicaciones clásicas y personalizadas puedan soportar la federación de identidades y el SSO. Esto no solo mejora la experiencia del usuario simplificando el acceso a las aplicaciones mediante la centralización del control de acceso, sino que también garantiza la existencia de una fuente de identidad segura y de confianza. Al habilitar la MFA para todas las aplicaciones, BIG-IP APM protege todas las aplicaciones contra el acceso inapropiado y permite otra capa de seguridad para garantizar el acceso adecuado a las aplicaciones. BIG-IP APM es un punto de control único y centralizado diseñado para gestionar y asegurar el acceso de los usuarios a las aplicaciones, independientemente de dónde estén alojadas.

F5 BIG-IP APM, a través de su compatibilidad con Identity Aware Proxy, permite el despliegue del acceso a aplicaciones de Zero Trust. BIG-IP APM ofrece un acceso a las aplicaciones por solicitud, a la vez que asegura y gestiona el acceso a todas las aplicaciones, independientemente de su ubicación y de los métodos de autenticación y autorización. Ofrece capacidad de ampliación y fiabilidad, sinónimos de F5, y aprovecha la arquitectura de proxy completo de F5, líder en el sector.

BIG-IP APM con Identity Aware Proxy reduce los costes de infraestructura, aumenta la seguridad de las aplicaciones y mejora la experiencia de los usuarios y los administradores.