Llegamos a ustedes gracias a:



Noticias

Google entra en el mercado de confianza cero

Con la oferta de acceso remoto de BeyondCorp

[20/04/2020] Google está lanzando un servicio comercial de acceso remoto de confianza cero que permitirá a las empresas permitir que sus empleados que trabajan desde casa accedan a aplicaciones internas basadas en la web sin necesidad de redes privadas virtuales (VPN). Llamado BeyondCorp Remote Access, el servicio por suscripción formará parte del portafolio de Google Cloud y costará seis dólares por usuario al mes, pero no requerirá que los clientes sean ya usuarios de los servicios existentes de Google basados en la nube o de las herramientas de colaboración empresarial.

Google ha sido uno de los primeros en adoptar la arquitectura de red de confianza cero para su propia red corporativa, un proceso que comenzó hace una década y que se ha documentado a lo largo de los años en una serie de documentos y entradas de blog. La empresa denomina a su enfoque BeyondCorp, y se centra en la idea de que el acceso a las aplicaciones y servicios se conceda en función de la identidad y la postura de seguridad del usuario y el dispositivo, independientemente de su ubicación con respecto al perímetro tradicional de la red corporativa.

Con una gran cantidad de infraestructura de tecnología de la información que se está trasladando a la nube y las empresas que tienen que acomodar a contratistas externos además de sus propios empleados remotos, disponer de políticas de seguridad vinculadas a un perímetro de red estrictamente definido se ha vuelto cada vez más difícil. Con BeyondCorp y el acceso de confianza cero en general, no hay perímetro de red. Todos los usuarios son tratados como usuarios externos y están sujetos a los mismos controles de identidad y seguridad antes de que se les conceda acceso a los recursos.

La pandemia de COVID-19 ha obligado a muchas organizaciones a adaptarse a una nueva realidad en la que gran parte de su personal tiene que trabajar desde casa. Esto plantea importantes desafíos porque las redes privadas virtuales existentes que tenían las empresas no estaban diseñadas para manejar una explosión repentina de trabajadores remotos. Debido a que la infraestructura es difícil y costosa de escalar, los expertos creen que esta es una buena oportunidad para probar la red de confianza cero, ya que es más eficiente en cuanto a costos y a prueba de futuro.

"Hemos estado trabajando activamente durante los últimos años para llevar a la empresa una versión de la tecnología BeyondCorp, de la que fuimos pioneros hace muchos años", señala Sunil Potti, vicepresidente y director general de Google Cloud. Con la llegada de COVID-19, algunos de los elementos centrales y tecnologías detrás de ese enfoque se han acelerado en un producto que permite a las empresas utilizar básicamente la misma infraestructura que permite a más de 100 mil empleados de Google trabajar desde casa, anota.

¿Cómo funciona el acceso remoto de BeyondCorp?

Por ahora la plataforma solo puede hacer cumplir los controles de acceso para las aplicaciones basadas en la web, lo que significa que las empresas conectan sus aplicaciones previamente internas basadas en la web a Google Cloud. El plano de control y el plano de datos relacionados con el control de acceso se hace entonces en la nube. Google planea expandir la tecnología en el futuro para cubrir servicios y aplicaciones no basadas en HTTP.

La plataforma utiliza señales y metadatos recogidos a través del navegador o mediante un agente opcional de punto final con una huella pequeña para establecer la identidad del usuario y determinar el estado de seguridad del dispositivo. Los clientes pueden optar por utilizar únicamente las señales que tienen en cuenta el contexto y que se recogen a través del navegador, pero para un mayor grado de precisión y seguridad, pueden pedir a los empleados que instalen el agente. Esto es particularmente útil cuando se trata de empleados que trabajan con dispositivos personales no gestionados por la empresa.

No es solo la información de los encabezados de los navegadores, señala Potti. "Sabemos de dónde vienes. Sabemos que ha usado su sesión en el pasado. Hay un montón de tecnología de aprendizaje automático detrás de las escenas que se aplica para proporcionar ese control de acceso consciente del contexto. Diría que entre el 60% y el 70% del valor central está fuera del punto final".

"Ese es el aspecto único de esta solución particular: Hay tantos metadatos y señales y aprendizaje que podríamos estar haciendo entre bastidores para proporcionar un grado muy alto de control de acceso contextual. Entonces ese 60% a 70% sube a 80%, 90% y 100% dependiendo de cuánto nos permitas controlar tu entrada."

Los diferenciadores de confianza cero de Google

Aunque existen soluciones de acceso de confianza cero de otras empresas, Potti cree que algunos diferenciadores hacen que la solución de Google se destaque del resto. Por un lado, el producto utiliza la red de Google, por lo que se beneficia de su escala global, baja latencia y fiabilidad. La compañía incluso está desplegando sus propios cables de fibra óptica submarinos intercontinentales.

No se trata sólo de la conectividad. Los clústeres de computación y los servidores que procesan la información utilizan todas las tecnologías de seguridad y las defensas que Google ha desarrollado para sí mismo, desde los chips criptográficos hechos a medida como el Titán en la parte trasera, hasta las implementaciones TLS altamente optimizadas y una visibilidad global de las amenazas y los ataques con los que Google tiene que lidiar cada día para proteger sus otros servicios.

Muchas empresas tienen miles o decenas de miles de empleados que de repente trabajan desde casa y lo afrontan aumentando la VPN, pero esta es una forma de conseguir una solución táctica que puede escalar dos o tres órdenes de magnitud más de lo que están acostumbrados y, al mismo tiempo, darles una mejor postura de seguridad, añade Potti. "Lo más importante que Google siempre ha hecho es que usamos varias señales de los puntos finales, de la red, de la ubicación del usuario, y un montón de otras cosas para esencialmente proteger a nuestros propios empleados de las amenazas, ya sean internas o externas".

"Esto no es sólo algo que se puede hacer a corto plazo, sino que es la arquitectura adecuada a largo plazo", indica Potti. "Si añades más VPN, en algún momento, tendrás que desmontarla mientras te mueves a un mundo de aplicaciones web o aplicaciones SaaS y así sucesivamente".