Gestión de identidades y acceso seguro a la nube: Una cuestión de confianza

Portavoces de Zscaler y Okta dejan claro que el nuevo perímetro de seguridad en la era ‘multicloud’ es la identidad del usuario.

La nube tiene sus ventajas, pero también plantea ciertos quebraderos de cabeza. La adopción masiva de los servicios cloud en sus distintas modalidades, nube privada, pública e híbrida, pone en jaque a la seguridad. Sobre todo, teniendo en cuenta las formas de interacción que las empresas están desplegando con clientes, colaboradores y empleados.

Cada vez es más habitual acceder a múltiples aplicaciones desde distintos dispositivos. La información viaja por internet a través de muchas pasarelas, lo que obliga a las organizaciones a desplegar una nueva estrategia que afiance la confianza en materia de identidades, control de accesos e integración de los servicios.

Para hablar del reto que supone gestionar todo esto, NetMediaEurope ha reunido a dos expertos de la industria: Carlos Vázquez, Solutions Architect para el sur de Europa de Zscaler, y Juan Per Muñoz, Channel Account Manager para el sur de la región EMEA en Okta.

Estos profesionales son los dos protagonistas del encuentro onlineGestión de identidades y acceso seguro a la nube: Una cuestión de confianza”. En su conversación, moderada por Mónica Valle, periodista especializada en TI, explican cómo la realidad empresarial ha ido cambiando durante los últimos tiempos y por qué la identidad del usuario es el nuevo perímetro de seguridad.

El gran reto

“En el nuevo mundo de la transformación digital”, que trae “nuevas aplicaciones”, “tecnologías” y “soluciones que necesitan una rápida implementación” y gozan de “un amplio consumo”, existe el problema de “combinar esta parte tan móvil” y “flexible con todo lo que son las tradicionales infraestructuras on-premise, el tradicional legacy, el famoso mainframe…”, relata Juan Per Muñoz, Channel Account Manager para el sur de EMEA de Okta.

Esta problemática se materializa especialmente en “la parte de seguridad”, por el hecho de que las organizaciones tienen que gestionarlo todo “de una manera rápida y segura”.

Carlos Vázquez, Solutions Architect para el sur de Europa de Zscaler, cree que el gran desafío es el propio “cambio”, dado que las empresas “no parten de cero”. En su viaje de transformación digital acumulan “mucha inercia de antiguos años”, “con arquitecturas de seguridad y de comunicaciones” heredadas en las que “el centro de gravedad es el centro de datos”.

“El cloud y la movilidad” provocan que la información salga del CPD. “Los usuarios que tradicionalmente estaban sentados en su oficina, con el fenómeno de la movilidad ya están en cualquier sitio”: “en casa”, “haciendo teletrabajo”, “viajando”… describe Vázquez, que insiste en que “el reto mayor” hoy por hoy es “el cambio, la transformación”.

La solución

Para afrontar esta nueva situación y evitar las amenazas, el directivo de Zscaler propone “implementar los mismos servicios de seguridad que tradicionalmente estaban en el data center” (“la pila de seguridad”), pero “en el cloud, de manera que sea mucho más flexible y mucho más rápido desplegar”.  Para el tema del “acceso privado”, dice que “es muy importante dar una conectividad con cifrado de extremo a extremo” y “hacer invisibles las aplicaciones a internet”.

Si las empresas se desentienden del cloud computing y la movilidad, se incrementa “la superficie de ataque”, advierte Carlos Vázquez”, con “equipos que están presentes en internet y que son escaneables”. La solución pasaría por ponerse “en medio de los usuarios y las aplicaciones mediante un bróker” y “conectores que establecen conexiones salientes”. Esto ayuda a minimizar la superficie. Y, bien planteado, puede “incluso reducirla a cero”. Un proyecto tipo aquí es el de las VPN.

El Solutions Architect de Zscaler explica que gran parte de los ataques “viene precisamente por exponernos. Entonces”, aplicando ciertos mecanismos de seguridad, “el primer beneficio” que se nota “es que dejamos de hacernos tan visibles a internet”. El segundo es “la reducción de hardware y de mantenimiento de este tipo de equipos. Y luego, por otro lado”, el “acceso remoto lo que trata es de que no haya diferencia en la experiencia de usuario de cuando tú estás dentro de la red y cuando estás fueras”, esto es, en la oficina o fuera.

“La identidad como elemento securizador, dinamizador y transformador” es clave para Juan Per Muñoz.  Por ejemplo, aplicando “un segundo” o “un múltiple factor de autenticación” que, a mayores, con “normativas tan recientes como el PSD2 son incluso obligatorios”. Esta clase de autenticación “afecta a la parte interna” de los “empleados, pero también” a la “externa”.

Para gestionar con seguridad los “usuarios privilegiados que tienen acceso a servidores o a datos críticos”, Per Muñoz, apunta a las “credenciales efímeras”, los “certificados efímeros” y a controlar “cuánto tiempo pueden acceder”. En el caso de grandes empresas también hay que estar pendiente del “provisionamiento de usuarios con aplicaciones”.

Hay que estar pendiente de los empleados, pero también de los colaboradores, de aquellos socios que acceden a las aplicaciones empresariales en la nube y que hay que “securizar” igualmente. Esto se puede hacer con “una herramienta de doble autenticación”, permitiéndoles “acceder a las 2 o 3 aplicaciones que necesitan. Cuando esos colaboradores se van o cancelan su contrato”, resuelve el Channel Account Manager de Okta, “los deprovisionas”. También habría que añadir “un elemento dinámico” para actuar en consecuencia si “se detecta una IP maliciosa” o “‘viajes imposibles”.

Y, en caso de que surjan adquisiciones, “que es la manera que hoy en día tienen las empresas de crecer”, tal y como reconoce Carlos Vázquez, habrá que gestionar de manera ordenada los accesos que llegan de repente. “La empresa A tiene su red y la empresa B tiene también su red. Y muchas veces a nivel de red hay incompatibilidades, porque están utilizando rangos parecidos, con lo cual conectar las dos redes es complicado”, analiza Vázquez. “A nivel de seguridad también hay problemas, porque típicamente cada responsable de seguridad es muy celoso de los suyo”.

Lo que habría que hacer es “conectar usuarios con aplicaciones de una manera muy concreta” y mantener las aplicaciones visibles solamente para el usuario preciso “mediante una serie de conectores”. Esa es la propuesta de Zscaler. La de Okta sería “consolidar diferentes directorios” con “un metadirectorio” como “maestro de las identidades” y canalizador de los “privilegios” otorgados a “cada una de las subempresas”.

El concepto de Zero Trust

Últimamente se habla mucho de Zero Trust. Pero, ¿qué es? “El principio de confianza cero”, responde el portavoz de Okta. “El perímetro tradicional tal y como lo conocíamos ha desaparecido”, por el simple hecho de que “muchísimos de los empleados de las empresas” y también de los “colaboradores” pueden conectarse desde “sus dispositivos móviles personales”. Se abre opción a que haya incidencias si no se cambia el modelo. “Hay que hacer algo más. ¿Qué?”, se autopregunta Per Muñoz. “La identidad es el nuevo perímetro. Entonces, qué mejor manera de garantizar la seguridad que garantizando la identidad de los usuarios”.

“La idea es intentar dar acceso a las aplicaciones en base a algo de lo que te puedas fiar”, apunta Carlos Vázquez, que en nombre de Zscaler también sentencia que “el nuevo perímetro de seguridad es la identidad. Tradicionalmente, las arquitecturas tradicionales te daban acceso a unas aplicaciones u otras en base a cosas como, por ejemplo, la dirección IP que tuvieras. Y pensamos que ese no es un planteamiento correcto, porque precisamente lo que estás haciendo es dar mucha manga ancha a alguien que, por los mecanismos que sea, consiga tener una dirección IP en un determinado rango”.

Lo bueno de Zero Trust es que es un modelo “que aplica a cualquier organización”, porque es “muy global”, según Vázquez. Per Muñoz concuerda y cuenta que “viene embebido en el 100 % de nuestros clientes”. Más allá de las empresas, se extiende a “los consumidores o los usuarios finales”. En estos momentos, “para entrar a 14 o 15 aplicaciones” basta con “un clic”; mientras que, “para entrar a cada aplicación” o “web”, hace unos años “había que acordarse de unas contraseñas”.

Adiós a las contraseñas

“Estadísticamente, el 71 %” de “todas las problemáticas vienen por credenciales o débiles o hackeadas, desvela Per Muñoz. De ahí que se quieran superar las contraseñas tradicionales. “Estamos haciendo la transición a día de hoy a lo que sería un usuario y contraseña y que, a partir de ahí, ya entres a una sesión donde veas todos tus aplicativos” para ponerte a “trabajar”.

Desde “el ultimo año y medio” se está yendo a “un mecanismo de doble autenticación, con un push notification, con un token físico, con un token virtual”, enumera el mismo experto. “Ya incluso en los últimos meses hay muchos clientes” que reclaman “elementos biométricos: de biometría de voz, biometría facial, etc.”. “O sea, que con un elemento entres a todo tu portfolio o a tu base de trabajo. Esto enlazaría con un concepto que está ya en el mundo de manera teórica, que es el passwordless authentication”.

¿Y cómo se llega a la autenticación sin contraseña alguna? Puede ayudar el “machine learning”, aprendiendo de los comportamientos, guiándose por reglas y funcionando a partir de ahí.

El futuro

El futuro de esta gestión de los accesos y de las identidades de forma segura pasa, para Okta, por “poner una capa de inteligencia en todos” ellos, “una capa contextual (quién se conecta, desde dónde, desde qué dispositivo, si hay comportamientos anómalos)” para “redundar en una autenticación muy rápida pero muy segura”. Esto, sin olvidarse de “fortalecer” la parte de “los usuarios privilegiados”.

Zscaler considera que es posible ayudar a cualquier compañía inmersa “en un entorno de transformación digital”, con “algún proyecto SaaS tipo 365”, con “algún entorno de fusión y adquisición, de teletrabajo, de reemplazo de VPN, de acceso multicloud…”. El futuro está en sus manos también.