Llegamos a ustedes gracias a:



Reportajes y análisis

La VPN está muriendo, larga vida a la confianza cero

[27/01/2020] La venerable VPN, que durante décadas ha brindado a los trabajadores remotos un túnel seguro en la red empresarial, se enfrenta a la extinción a medida que las empresas migran a un marco de seguridad más ágil y detallado, llamado confianza cero, que se adapta mejor al mundo actual de los negocios digitales.

Las VPN son parte de una estrategia de seguridad basada en la noción de un perímetro de red; los empleados de confianza están adentro y los empleados no confiables están afuera. Pero ese modelo ya no funciona en un ambiente empresarial moderno, donde los empleados móviles acceden a la red desde una variedad de ubicaciones internas o externas, y donde los activos corporativos no residen detrás de las paredes de un centro de datos empresarial, sino en ambientes multinube.

Gartner pronostica que para el año 2023, el 60% de las empresas eliminarán gradualmente la mayoría de sus VPN a favor de un acceso a la red de confianza cero, que puede tomar la forma de una puerta de enlace o corredor que autentica tanto al dispositivo como al usuario antes de permitir un acceso basado en roles y en el contexto.

Existe varios tipos de fallas asociadas con el enfoque perimetral de la seguridad. No aborda los ataques internos. No hace un buen trabajo considerando a los contratistas, terceros y socios de la cadena de abastecimiento. Si un atacante roba las credenciales VPN de alguien, este puede acceder a la red y moverse libremente. Además, con el tiempo, las VPN se han vuelto complejas y difíciles de administrar. "Existe muchos problemas en torno a las VPN", afirma Matt Sullivan, arquitecto de seguridad senior en Workiva, una empresa de software empresarial con sede en Ames, Iowa. "Son anticuadas, obsoletas, hay mucho que gestionar y, francamente, son un poco peligrosas".

Actualmente, en un nivel aún más fundamental, cualquiera que esté mirando el estado de la seguridad empresarial comprende que lo que estamos haciendo ahora no está funcionando. "El modelo de seguridad basado en el perímetro ha fallado categóricamente", afirma Chase Cunningham, analista principal de Forrester. "Y no por falta de esfuerzo o falta de inversión, sino solo porque está construido sobre un castillo de naipes. Si una cosa falla, todo se convierte en una víctima. Todos con los que hablo creen eso.

Cunningham asumió la responsabilidad de dirigir la unidad de confianza cero en Forrester, donde el analista Jon Kindervag -ahora en Palo Alto Networks- desarrolló un marco de seguridad de confianza cero en el 2009. La idea es simple: no confiar en nadie. Verifica a todos. Aplique políticas estrictas de control de acceso y gestión de identidad, que restrinjan el acceso de los empleados a los recursos que necesitan para hacer su trabajo.

Garrett Bekker, analista principal de 451 Group, afirma que la confianza cero no es un producto o una tecnología: es una forma diferente de pensar la seguridad. "Las personas todavía están pensando en lo que significa. Los clientes están confundidos y los proveedores son inconsistentes en lo que significa confianza cero. Pero creo que tiene el potencial de alterar radicalmente la forma en que se hace la seguridad.

Los proveedores de seguridad adoptan la confianza cero

A pesar del hecho de que el marco de confianza cero ha existido durante una década y ha generado bastante interés, su adopción en la industria ha comenzado a despegar aproximadamente desde hace un año. Según una encuesta reciente de 451 Group, solo alrededor del 13% de las empresas han comenzado el camino hacia la confianza cero. Una razón clave es que los proveedores han tardado en participar.

La historia modelo del éxito para la confianza cero se remonta al 2014, cuando Google anunció su iniciativa BeyondCorp. Google invirtió cantidades incalculables de tiempo y dinero para desarrollar su propia implementación de confianza cero, pero las empresas no pudieron seguir su ejemplo porque, bueno, no eran Google.

Pero la confianza cero ahora está ganando terreno. "La tecnología finalmente es visible", afirma Cunningham. "Hace cinco o siete años no teníamos las capacidades que podrían permitir este tipo de enfoques. Estamos empezando a ver que es posible".

Hoy, los proveedores están llegando a la confianza cero desde todos los ángulos. Por ejemplo, el último Forrester Wave para lo que ahora llama el zero-trust eXtended Ecosystem (ZTX) incluye al proveedor de firewalls de siguiente generación, Palo Alto Networks; al proveedor de servicios administrados, Akamai Technologies; al proveedor de administración de identidad, Okta; al proveedor de software de seguridad, Symantec; al especialista en microsegmentación, Illumio; y al proveedor de administración de acceso privilegiado, Centrify.

Para no quedarse afuera, Cisco, Microsoft y VMware tienen ofertas de confianza cero. Según Forrester Wave, Cisco y Microsoft están clasificados como de alto rendimiento y VMware es un competidor.

Entonces, ¿cómo una empresa, que ha dedicado millones de dólares a construir y reforzar sus defensas perimetrales, de repente cambia de marcha y adopta un modelo que trata a todos -ya sea un ejecutivo que trabaja dentro de la sede corporativa o un contratista que trabaja desde un Starbucks- con confianza cero?

Cómo comenzar con un modelo de seguridad de confianza cero

La primera y más obvia recomendación es comenzar poco a poco, o como afirma Cunningham, "tratar de hervir un dedo de agua y no todo el océano". Y agrega: "Para mí, lo primero sería ocuparme de los proveedores y terceros", encontrando una manera de aislarlos del resto de la red.

El analista de Gartner, Neil MacDonald, está de acuerdo. Identifica tres casos de uso emergentes para la confianza cero: nuevas aplicaciones móviles para socios de la cadena de abastecimiento, contextos de migración a la nube, y control de acceso para desarrolladores de software.

El control de acceso para sus grupos de operaciones de DevOps y TI es exactamente lo que Sullivan implementó en Workiva, una compañía cuya infraestructura de TI está completamente basada en la nube. Sullivan estaba buscando una forma más efectiva de dar a sus equipos acceso de nube a instancias específicas de desarrollo y puesta en escena. Él abandonó su VPN tradicional a favor del control de acceso de confianza cero de ScaleFT, una startup que Okta adquirió recientemente.

Sullivan afirma que ahora, cuando un nuevo empleado tiene una laptop, ese dispositivo debe contar con la autorización explícita de un administrador. Para acceder a la red, el empleado se conecta a una puerta de enlace central que aplica las políticas apropiadas de gestión de acceso e identidad.

"La confianza cero debió concebirse como concepto hace mucho", afirma Sullivan. "Es claramente el camino correcto, pero nos llevó casi diez años de quejas antes de que salieran las soluciones aptas para la industria".

La confianza cero centrada en la red o centrada en la identidad

Bekker afirma que el panorama de los proveedores se está uniendo en torno a dos facciones: está el grupo centrado en la red, que se enfoca más en la segmentación de la red y los firewalls conscientes de las aplicaciones, y está la facción centrada en la identidad, que se inclina hacia el control de acceso a la red y la gestión de la identidad.

Robert LaMagna-Reiter está tomando la ruta que se centra en la red. Como CISO en FNTS, proveedor de servicios administrados con sede en Omaha, Nebraska, él revisó su infraestructura utilizando un stack de seguridad de confianza cero de Palo Alto. LaMagna-Reiter afirma que, hace un par de años, esencialmente tuvo la oportunidad única de comenzar con una pizarra en blanco y construir la próxima iteración de la plataforma de servicios en la nube de la compañía para que pueda extenderse a un mundo de múltiples nubes.

"La confianza cero nos ha permitido hacer cumplir de manera más detallada lo que las personas están haciendo día a día", afirma LaMagna-Reiter. Atribuye el éxito de su iniciativa de confianza cero al amplio trabajo preliminar que se realizó para comprender completamente los roles de los empleados, identificar qué activos y aplicaciones necesitan los empleados para hacer su trabajo, y monitorear el comportamiento de los empleados en la red.

Comenzó con una implementación limitada en una aplicación de soporte no crítica y se desarrolló lentamente, reuniendo el apoyo de los líderes de negocio de la empresa. "Estamos demostrándoles a las personas que no es una decisión tecnológica, es una estrategia de negocio", afirma.

Entegrus, compañía de distribución de energía en Ontario, Canadá, está igualmente comprometida con la confianza cero, pero su enfoque se centra en el control de acceso a la red. Con una fuerza laboral móvil de personal de mantenimiento y reparación, técnicos de medidores y representantes de servicio de campo repartidos en una amplia área geográfica, cada uno con múltiples dispositivos, Dave Cullen sabía que tenía una amplia superficie de ataque que necesitaba protección.

"Teníamos un requerimiento del negocio para comenzar a reconstruir nuestra red", afirma Cullen, gerente de sistemas de información de Entegrus. La necesidad de revisar la red le dio a Cullen la oportunidad de comenzar por el camino de la confianza cero. Decidió trabajar con PulseSecure para implementar sus herramientas de acceso remoto y control de acceso a la red, basadas en la confianza cero. Cullen afirma que era crucial que los productos se combinaran a la perfección para que pueda aplicar políticas cuando los empleados se conectaran a la red.

"Lo introdujimos lentamente", afirma Cullen, antes de su implementación en el campo, se utilizó un enfoque por fases que implicaba proyectos piloto y ajustes en un ambiente de laboratorio. La principal prioridad era asegurarse de que la infraestructura de confianza cero fuera perfecta para los empleados.

"La confianza cero para mí tiene que ver más con procesos de negocios inteligentes, flujos de datos y las necesidades del negocio. No se trata solo de usar un firewall y segmentar la red. En realidad, se trata más de responder dinámicamente a un ambiente en constante cambio, agrega Cullen.

Cunningham, de Forrester, reconoce que existe cierto nivel de dificultad involucrado en la transición a la confianza cero. Sin embargo, él describe las opciones de esta manera: "¿Usted prefiere sufrir un poco ahora y hacerlo bien, o sufrir a largo plazo y terminar con una futura notificación de una megafalla?"

Confianza cero: Prepárese para un viaje inexplorado e incesante

Para cualquiera que esté considerando la confianza cero, aquí hay dos conclusiones clave. Primero, no hay una hoja de ruta de implementación de confianza cero, no existen estándares de la industria y no hay alianzas de proveedores, al menos todavía no. Usted tiene que ingeniárselas

"No existe una estrategia singular. Hay cien formas de lograrlo. Se trata de lo que le dé el máximo control y la máxima visibilidad con la menor cantidad de resistencia", afirma Cunningham.

En segundo lugar, el viaje nunca termina. LaMagna-Reiter señala que "nunca hay un estado terminado. No existe una definición clara de éxito". La confianza cero es un proceso continuo que ayuda a las empresas a responder a las cambiantes condiciones del negocio.