¿Qué es el NAC y por qué es importante para la seguridad de la red?

[01/04/2022] El control de acceso a la red (NAC, por sus siglas en inglés) es una técnica de ciberseguridad que impide que usuarios y dispositivos no autorizados entren en redes privadas y accedan a recursos sensibles. También conocido como Control de Admisión a la Red, el NAC se impuso por primera vez en la empresa a mediados y finales de la década del 2000 como una forma de gestionar los puntos finales mediante técnicas básicas de escaneo y bloqueo.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

A medida que los trabajadores del conocimiento se volvieron cada vez más móviles, y que las iniciativas BYOD se extendieron por las organizaciones, las soluciones NAC evolucionaron no solo para autenticar a los usuarios, sino también para gestionar los puntos finales y aplicar las políticas.

Cómo funciona el NAC

Las herramientas de NAC detectan todos los dispositivos de la red y proporcionan visibilidad de los mismos. El software NAC evita que los usuarios no autorizados entren en la red, y aplica las políticas en los puntos finales para garantizar que los dispositivos cumplen con las políticas de seguridad de la red. Las soluciones NAC, por ejemplo, se aseguran de que el punto final tenga protecciones antivirus y antimalware actualizadas.

Los dispositivos que no cumplen las normas pueden ser bloqueados de la red, puestos en cuarentena o se les conceden derechos de acceso limitados.

El NAC funciona en dos etapas. La primera etapa, la autenticación, identifica a los usuarios y verifica sus credenciales. La mayoría de las herramientas de NAC admiten diversos métodos de autenticación, como contraseñas, pines de un solo uso y biometría.

En la segunda etapa, el NAC aplica una serie de factores de política, como el estado del dispositivo, la ubicación y la función del usuario. La mayoría de los dispositivos NAC también tienen la capacidad de limitar el acceso por función, concediendo a los usuarios el acceso solo a los recursos que son necesarios para hacer su trabajo.

Si un usuario o dispositivo falla en la etapa de autenticación o autorización, la herramienta NAC bloquea o pone en cuarentena el dispositivo y/o el usuario.

¿Cuáles son los diferentes tipos de enfoques NAC?

Los enfoques de NAC pueden diferir de varias maneras, pero hay dos diferencias comunes que tienen que ver con el momento en que se inspeccionan los dispositivos y la forma en que el sistema recopila la información de la red.

Pre-admisión vs. post-admisión: Hay dos formas en que el NAC autoriza el acceso a los dispositivos finales. En los diseños de preadmisión, se inspeccionan los dispositivos y se aplican las políticas antes de concederles acceso a la red. Este enfoque es el más adecuado para los casos de uso en los que los dispositivos pueden no tener antivirus y antimalware actualizados.

Por otro lado, los diseños posteriores a la admisión se centran menos en las posturas de los dispositivos y más en los usuarios, aplicando la política en función de los comportamientos. Este enfoque tiene sentido para casos de uso como el acceso de invitados, donde las actividades en línea tienden a limitarse a cosas como la navegación por la web y la comprobación del correo electrónico.

Muchas ofertas de NAC ofrecen una combinación de estos enfoques, que pueden variar según la ubicación, el tipo de dispositivo o los grupos de usuarios.

Diseño basado en agentes o sin agentes: Otra diferencia arquitectónica es la recopilación de información basada en agentes o sin ellos. Algunos proveedores de NAC exigen a los usuarios que descarguen un software de agente en sus dispositivos cliente. Los agentes informan entonces de las características del dispositivo al sistema NAC.

Por otro lado, las soluciones NAC sin agente escanean constantemente la red y hacen un inventario de los dispositivos, basándose en los comportamientos de los dispositivos y los usuarios para tomar decisiones de aplicación.

Capacidades básicas de un sistema NAC

El NAC asegura las redes a través de varias capacidades básicas. Estas incluyen:

• Autenticación y autorización: Gestiona el acceso a los recursos tanto de los usuarios como de los dispositivos.
• Gestión centralizada del ciclo de vida de las políticas: Aplica las políticas para todos los usuarios y dispositivos, a la vez que gestiona los cambios de políticas en toda la organización.
• Detección, visibilidad y elaboración de perfiles: Encuentra dispositivos en la red, los identifica y los coloca en grupos con perfiles específicos, al tiempo que bloquea a los usuarios no autorizados y a los dispositivos que no cumplen con las normas.
• Acceso de invitados a la red: Gestiona a los invitados y proporciona a los que tienen dispositivos conformes un acceso temporal y a menudo restringido a través de un portal de autoservicio personalizable.
• Comprobación de la postura de seguridad: Evalúa el cumplimiento de las políticas de seguridad por tipo de usuario, tipo de dispositivo, ubicación, versión del sistema operativo y otros criterios de seguridad definidos por la organización.
• Respuesta a las incidencias: Bloquea automáticamente la actividad sospechosa, pone en cuarentena los dispositivos que no cumplen la normativa y, cuando es posible, actualiza los dispositivos para que cumplan la normativa, todo ello sin la intervención de TI.
• Integración bidireccional: Integra NAC con otras herramientas de seguridad y soluciones de red a través de las API abiertas/RESTful que permiten a NAC compartir información contextual (direcciones IP y MAC, ID de usuario, rol de usuario, ubicaciones, etc.).

NAC y Zero Trust

Aunque el NAC es una tecnología que tiene casi 20 años, su adopción se ha limitado principalmente a las medianas y grandes empresas. Sin embargo, a medida que el borde de la red continúa extendiéndose más allá de los perímetros físicos de la empresa y que la pandemia de COVID-19 acelera la aceptación de los entornos de trabajo en casa, móviles e híbridos, NAC se ha convertido en una tecnología que permite los enfoques de seguridad de Confianza Cero.

A medida que las redes se vuelven más distribuidas y complejas, los equipos de ciberseguridad deben encontrar formas de mantener la visibilidad de los dispositivos que se conectan a los extremos de la red de la organización. NAC proporciona esta capacidad con la detección y visibilidad de todos los dispositivos que entran en la red, el control de acceso centralizado y la aplicación de políticas en todos los dispositivos. 

Principales casos de uso de NAC

El aumento de la movilidad de los empleados, el incremento del número de dispositivos BYOD y la necesidad de soportar entornos de trabajo híbridos debido a la pandemia han impulsado la necesidad de reforzar los controles de acceso a la red. Los casos de uso más comunes para NAC incluyen

Acceso de invitados y socios: Las soluciones NAC permiten a las organizaciones proporcionar acceso temporal y restringido a invitados, socios y contratistas. Las soluciones NAC examinan los dispositivos de los invitados para asegurarse de que cumplen con las políticas de seguridad de la organización.

BYOD y trabajo desde cualquier lugar: Dado que los trabajadores del conocimiento se han vuelto cada vez más móviles, el NAC se utiliza para autenticar a los usuarios que pueden estar en dispositivos desconocidos y en lugares desconocidos, al mismo tiempo que se aplican las políticas a esos usuarios y dispositivos. Si los empleados se llevan los dispositivos corporativos a casa, el NAC garantiza que no se infiltre malware externo en la red cuando los dispositivos vuelvan a entrar en la red de la organización. 

Los entornos de trabajo desde casa y de trabajo híbrido desde cualquier lugar que surgieron durante la pandemia de COVID-19 han seguido un patrón similar, con soluciones NAC que autentican a los usuarios, garantizan el cumplimiento de las políticas en los dispositivos y restringen el acceso a los recursos en función de factores como la ubicación y el rol del usuario.

IoT: La capacidad de NAC para proporcionar visibilidad, perfiles de dispositivos, aplicación de políticas y gestión de acceso ayuda a reducir los riesgos asociados con los dispositivos IoT que entran en las redes corporativas. Las herramientas de NAC pueden inventariar y etiquetar cada dispositivo a medida que entra en la red, clasificar los dispositivos IoT en un grupo con permisos limitados y supervisar constantemente los comportamientos de los dispositivos IoT. NAC aplicará automáticamente las reglas para garantizar que los dispositivos cumplan con las políticas empresariales, de seguridad y de cumplimiento.

Dispositivos médicos: Para los dispositivos IoT en entornos sanitarios altamente regulados, NAC no solo puede detectar y bloquear el acceso no autorizado a los dispositivos y a los registros médicos, sino también aplicar las políticas que garantizan que los dispositivos en las redes sanitarias sigan cumpliendo las normativas, como la HIPAA. El NAC también puede hacer cumplir las políticas cuando los profesionales médicos acceden a la red de forma remota.

Respuesta a incidentes: Una vez desplegado un sistema NAC, las organizaciones pueden utilizarlo para compartir información, como los ID de usuario, los tipos de dispositivos y la información contextual, con productos de puntos de seguridad de terceros. Esto permite una respuesta automatizada a los incidentes, ya que los sistemas NAC responden automáticamente a las advertencias de ciberseguridad bloqueando y/o poniendo en cuarentena los dispositivos potencialmente comprometidos, sin la intervención de TI.

NAC y cumplimiento normativo

A medida que más sectores regulan la forma en que las empresas manejan los datos de los consumidores y protegen la privacidad, el cumplimiento de la normativa se ha convertido en un motor para la adopción de NAC. Los sistemas NAC pueden ayudar a las organizaciones a mantener el cumplimiento de una serie de normativas, entre las que se incluyen HIPPA, PCI-DSS, GLBA, SOX, GDRP y CCPA.

Los requisitos de estas protecciones de la privacidad se centran normalmente en comprender quién, qué, cuándo y dónde están los usuarios y los dispositivos en la red, al tiempo que se limita el acceso a los datos sensibles solo a aquellos con una necesidad legítima. Demostrar que se ha hecho todo esto mediante procesos repetibles y auditables es también esencial para el cumplimiento de la normativa.

El NAC puede cumplir varios requisitos normativos mediante el control de acceso, la aplicación de políticas entre usuarios y dispositivos, la visibilidad de la red y los registros de auditoría. Además, muchos proveedores de NAC han incorporado funciones para ayudar a las organizaciones a cumplir automáticamente con las normativas más comunes, como HIPPA, PCI-DSS y SOX.

¿Quiénes son los principales proveedores de NAC?

Basándose en su larga trayectoria y en las estimaciones de cuota de mercado de empresas de investigación como Gartner, Research and Markets y Global Market Insights, los siguientes proveedores son los principales proveedores de NAC del mercado actual:

• Aruba (HPE): ClearPass Policy Manager de Aruba proporciona un control de acceso a la red seguro basado en roles y dispositivos para IoT, BYOD y dispositivos corporativos, así como empleados, contratistas e invitados a través de infraestructuras cableadas, inalámbricas y VPN de múltiples proveedores.
• Cisco: Las capacidades de NAC de Identity Services Engine (ISE) de Cisco permiten un enfoque dinámico y automatizado para la aplicación de políticas y el control de acceso a la red segura. ISE permite el acceso definido por software y automatiza la segmentación de la red en entornos de TI y OT.
• Extreme Networks: ExtremeControl de Extreme Network proporciona un acceso dinámico basado en los roles de los usuarios y la información contextual de la identidad. ExtremeControl aplica políticas granulares y específicas a los usuarios y dispositivos para agilizar el cumplimiento.
• Forescout: Forescout NAC implementa controles de acceso en redes heterogéneas, identificando cada dispositivo de la red, evaluando su postura de seguridad y activando flujos de trabajo de corrección cuando es necesario. Supervisa continuamente todos los dispositivos conectados y automatiza las respuestas cuando se detectan incumplimientos o comportamientos inusuales.
• Fortinet: FortiNAC de Fortinet proporciona visibilidad, control y respuestas automatizadas para todo lo que se conecta a una red empresarial. FortiNAC protege contra las amenazas del IoT, extiende el control a los dispositivos de terceros y orquesta respuestas automáticas a una amplia gama de eventos de red y seguridad.
• Juniper: Juniper ha reforzado recientemente su oferta de NAC con la adquisición de la empresa WiteSand, que ofrece NAC nativo en la nube. La serie EX de conmutadores Ethernet de Juniper ofrece funciones de NAC que incluyen descubrimiento, visibilidad y gestión de acceso. La incorporación de WiteSand eliminará la necesidad de soluciones NAC locales para los clientes de Juniper y permitirá aún más la automatización a través de capacidades basadas en la IA.
• Portnox: Portnox CLEAR es una plataforma NAC nativa en la nube que proporciona visibilidad de los dispositivos y aplicación de políticas en redes heterogéneas. CLEAR identifica dónde se encuentran los dispositivos y los riesgos asociados con la ubicación y la postura del dispositivo. CLEAR supervisa continuamente los riesgos de IoT, BYOD, uso remoto y otros casos de uso comunes de NAC.

Basado en el artículo de Jeff Vance (Network World) y editado por CIO Perú

Puede ver también:

• 7 principales proveedores de firewalls de siguiente generación
• 3 tipos de proveedores de gateways de borde
• Cómo comprar puntos de acceso Wi-Fi 6
• 7 alternativas de VPN para proteger el acceso a la red remota
• Edge computing: La arquitectura del futuro
• Guía del comprador de SD-WAN
• Principales proveedores de SD-WAN y cómo han llegado ahí
• La reimaginación de la infraestructura
• La IA hace que el borde y la IoT sean más inteligentes
• BGP: ¿Qué es el Border Gateway Protocol y cómo funciona?