Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Arquitectura de seguridad corporativa centrada en usuarios y aplicaciones

Hoy se debe planear la arquitectura general de seguridad de la empresa, con un enfoque centrado en el usuario y en las aplicaciones.

Ya no tiene sentido pensar en la seguridad en términos de un perímetro corporativo estático, al cual acceden dispositivos conocidos y controlados. Hoy, a medida que planificamos la arquitectura general de seguridad de la empresa, nuestro pensamiento debe estar centrado en el usuario y en las aplicaciones.

El cambiante perímetro de la red corporativa ha evolucionado por muchas razones. Una de ellas es el impulso de implementar aplicaciones en la nube, y hacer que sean rápidas, estén disponibles y sean seguras. Otra razón es que los usuarios tienen más control de su destino que nunca antes; la consumerización de las TI le ha dado al usuario la capacidad de elección: elegir el sistema operativo, elegir su dispositivo, elegir el acceso.

Adicionalmente, los usuarios tienen acceso a más aplicaciones, y desde muchísimas más ubicaciones. Piense en cuántas aplicaciones tiene ahora, en sus (probablemente) múltiples dispositivos, en comparación con la única computadora de escritorio corporativa a la que accedía hace una década.

Como resultado, hay un nuevo conjunto de desafíos en el panorama de seguridad.

Las áreas de jurisdicción se expanden al crecer el acceso a la red

Todo entre el usuario y la aplicación ha sido tradicionalmente la preocupación del área de TI; aún lo sigue siendo, hasta cierto punto. Pero los cambios drásticos tanto en el consumo como en el acceso significan que ahora las TI tienen uno mucho mayor área de jurisdicción. La red ya no es privada. Las aplicaciones ya no viven solo en los centros de datos de la compañía.

Los usuarios trabajan desde su casa. Los usuarios trabajan en las cafeterías. Los usuarios trabajan desde el aire. Muy a menudo, trabajan desde todos esos lugares en un día determinado, probablemente a través de un dispositivo que no fue facilitado o gestionado por el departamento de TI.

Esto crea mucho riesgo, un riesgo complicado por la aparición de aplicaciones fuera de su jardín amurallado tradicional. Una encuesta, realizada a principios de este año por el proveedor de gestión de la nube RightScale, encontró que 77% de todas las grandes organizaciones –aquellas con más de mil empleados– están optando por implementaciones híbridas, de múltiples nubes.

Teniendo en cuenta la contextualizacion, el orea de TI puede modular, o determinar, el tipo de acceso que se le permite a los usuarios.

Esto significa que las cargas de trabajo se están moviendo hacia la nube a un ritmo cada vez mayor. La mayoría de las aplicaciones web han sido construidas en los frameworks de la web 2.0, generando en el proceso tráfico HTTP y HTTPS. Este último está cifrado, por lo que las sesiones que están fluyendo desde el usuario hasta la aplicación son muy difíciles de analizar para los dispositivos de red. Todo esto contribuye a un entorno en el cual TI tiene mucha complejidad nueva, para la que necesita establecer protección. Y no hay escasez de amenazas, desde los ataques distribuidos de denegación de servicio, hasta la inyección SQL, toda la gama de seguridad de Capa 2 a Capa 7.

En una reciente encuesta realizada por Frost & Sullivan, preguntando a unos 12 mil profesionales de TI, el 69% dijo que la vulnerabilidad Nº 1 corresponde a los ataques a las aplicaciones dentro del entorno. Los fabricantes de seguridad web y pruebas de penetración Cenzic Inc. y WhiteHat Security afirman que 86% a  89% de todas las aplicaciones web tienen vulnerabilidades graves.

Esta complejidad, como era de esperarse, ha llevado hacia los retos. En consecuencia, las organizaciones no están adoptando los servicios basados ​​en la nube, o los servicios de productividad y movilidad, a la velocidad que preferirían.

Entender a los usuarios y a las aplicaciones en la arquitectura actual de seguridad de la empresa

Lo que realmente se necesita es más contextualización, o para decirlo de otra manera, una mayor comprensión de los usuarios y de las aplicaciones a las que están accediendo.

Por lo general, los usuarios tienen acceso sin restricciones a la red corporativa cuando están dentro del perímetro. Cuando se van, se conectan a una red privada virtual (VPN), lo que es casi idéntico a estar en la red corporativa. Pero en este último caso, pueden estarse conectando desde ubicaciones o dispositivos que pueden no ser seguros.

Teniendo en cuenta la contextualización, TI puede modular, o determinar, el tipo de acceso que se le permite a los usuarios. Digamos que un usuario tiene un dispositivo Android, y se conecta desde un lugar considerado inseguro. Una respuesta "segura" podría ser permitirle una conexión solo para el correo electrónico o para una infraestructura de escritorio virtual. Si el empleado se conecta pocas horas después desde una computadora portátil corporativo, en una ubicación confiable, entonces la red puede proporcionarle un acceso completo a la VPN.

La modulación depende de una combinación de factores, incluyendo la inspección del endpoint, la conciencia geográfica y las contraseñas de una sola vez.

La segunda pieza del rompecabezas se refiere a las aplicaciones mismas. La nube ha dado a las compañías la posibilidad de elegir donde viven sus aplicaciones de misión crítica. Las políticas que aplican a esas aplicaciones dentro del centro de datos corporativo podrían ser difíciles de aplicar al software servido por un proveedor de nube externo. Irónicamente, aprovechar la flexibilidad de la nube sirve como un gran ejemplo de cómo algunas organizaciones que tratan de ser ágiles crean suficientes problemas en protección, disponibilidad y acceso como para que puedan terminar empeorando su situación. Las aplicaciones alojadas en la nube deben tener servicios de seguridad y acceso ligados a ellos con el fin de cumplir con los estándares de entrega de aplicaciones de TI.

Saber cómo sus usuarios acceden a las aplicaciones, y a través de qué dispositivos, será la siguiente etapa en el nexo entre la entrega de aplicaciones y la seguridad. Unir ese entendimiento con la capacidad de aplicar políticas de seguridad específicas para la aplicación, es crítico.

Sobre el autor: Nathan Pearce es gerente senior de marketing técnico en F5 Networks Inc. Pearce tiene una certificación VCP4 de VMware, y es un bloguero activo en virtualización, infraestructura dinámica y entrega de aplicaciones. 

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close