Ruoting Sun, de Duo Security, revela cómo Duo Beyond pone a disposición de cualquier empresa el acceso web de confianza de BeyondCorp al estilo de Google, desafiando el enfoque tradicional de la seguridad.
El enfoque empresarial tradicional de la seguridad se basa en un perímetro de red. Los empleados ajenos a la empresa acceden a la red a través de una VPN. Una vez autenticado y dentro de la red, el nivel de confianza tiende a aumentar.
Más información sobre ciberseguridad
Pero el enfoque de BeyondCorp, iniciado por Google, ofrece un nuevo y audaz enfoque para la seguridad de las aplicaciones web empresariales. Todas las aplicaciones requieren autenticación, con diferentes niveles de verificación requeridos para cada usuario, aplicación, dispositivo y/o cuenta. (Para detalles de fondo, véase: BeyondCorp: Seguridad sin fronteras para la fuerza de trabajo móvil actual)
En febrero de 2019, Duo Security anunció la primera disponibilidad comercial de Duo Beyond, una oferta de seguridad como servicio al estilo de BeyondCorp. Antes del lanzamiento, alrededor de 100 clientes de los sectores de tecnología, venta al por menor, comercio electrónico y otros sectores habían participado en una prueba beta privada del servicio.
Ruoting Sun, el gerente de marketing de productos que lidera el lanzamiento de Duo Beyond, habló con el colaborador de ConsejoTecnologico.com Andy Wolber sobre el servicio y el enfoque.
ConsejoTecnologico.com: ¿Cómo describirías Dúo Más Allá y el enfoque de BeyondCorp?
Ruoting Sun: Google fue obviamente un pionero en decir que no es efectivo construir políticas de seguridad de acceso con este nivel inherente de confianza en que nuestra red corporativa -o cualquier cosa dentro de nuestros firewalls- es más segura que la Internet pública.
El desafío, obviamente, es que Google es una corporación multimillonaria con cientos de personas en seguridad. Entonces, ¿cómo se puede tomar lo que han hecho y hacerlo realidad para organizaciones tan pequeñas como 50-100 usuarios, así como para otras organizaciones con miles o cientos de miles de usuarios?
Desarrollamos Duo Beyond para que sea comercialmente factible para organizaciones de cualquier tamaño poder llegar a un modelo de seguridad al estilo Beyond-Corp.
ConsejoTecnologico.com: ¿Cómo funciona la experiencia de inicio de sesión para un empleado?
Ruoting Sun: Parte del modelo de BeyondCorp consiste en asegurarse de que haya una buena autenticación multifactorial y de que haya una experiencia de usuario coherente con un portal de inicio de sesión único.
Comprobaremos todas las cosas usuales: Autenticación de múltiples factores para verificar la identidad del usuario, así como todo tipo de comprobaciones de higiene del dispositivo: si el dispositivo está actualizado, si tiene aplicaciones maliciosas instaladas o si carece de configuraciones de seguridad, así como la capacidad de detectar si el dispositivo tiene o no un certificado en él. Y aplicaremos esas políticas, que pueden ser creadas por un administrador a nivel de aplicación, específicas para un rol o grupo en particular.
Todas las cosas de las que estamos hablando aquí son bastante transparentes para el usuario final. Si todas estas comprobaciones funcionan, inician sesión en su aplicación como cualquier proceso normal de inicio de sesión único. Sólo en el caso de que una de estas comprobaciones no funcione, o de que su dispositivo desencadene una cierta violación de la política, mostraremos advertencias al usuario final o tomaremos medidas para bloquearlas.
ConsejoTecnologico.com: ¿En qué se diferencia del modelo de acceso VPN tradicional?
Ruoting Sun: Vemos esto como un mejor modelo para la seguridad de acceso. Elimina la fricción de tener que hacer segmentación de red tradicional, que se pone muy fea con diferentes políticas para diferentes VLANs, enrutamiento de firewall, etc. Todo eso se resuelve con este enfoque. Nos deshacemos de este concepto del perímetro de la red. Accedes a la aplicación a través de Duo y puedes crear estas políticas a nivel de aplicación, en lugar de a nivel de red.
Lo que es nuevo en la edición Duo Beyond son realmente dos capacidades: La capacidad de detectar si un dispositivo se gestiona o no a través de la disponibilidad de un certificado Duo en ese dispositivo, y la capacidad de tratar las aplicaciones internas de la misma manera que trataría una aplicación en la nube.
ConsejoTecnologico.com: ¿Y qué cambia con Duo Beyond para un administrador?
Ruoting Sun: Vimos a muchas organizaciones organizando un hodge-podge de cuatro o cinco combinaciones diferentes de tecnologías para abordar este caso de uso. La gente estaba desplegando soluciones NAC complicadas para proteger su red corporativa, productos CASB para cubrir sus aplicaciones en la nube, y certificados de clientes para marcar los puntos finales; así que fue una implementación realmente fea. Se trata de tener que gestionar cuatro o cinco interfaces diferentes, desplegar cuatro o cinco cosas diferentes, pagar por cuatro o cinco productos diferentes, y simplemente no era escalable.
En primer lugar, queríamos resolver el problema de poner certificados en los dispositivos. La mayoría de los clientes tuvieron que desplegar su propia infraestructura clave para poder desplegar los certificados en los puntos finales. Hacemos esto más fácil al alojar una infraestructura de clave pública para nuestros clientes, para que puedan utilizar la infraestructura de certificados Duo. A continuación, pueden desplegar los certificados Duo a través de cualquier herramienta de gestión de activos empresariales que tengan.
Entonces, en el lado de la aplicación, todas esas políticas son configurables dentro del panel de administración de Duo. Así que no necesita comprar una solución de control de acceso a la red, o una solución separada para sus aplicaciones en la nube. Todas estas políticas se configuran directamente desde su interfaz Duo, independientemente de si la aplicación vive en las instalaciones o en la nube de otra persona.
ConsejoTecnologico.com: Desde una perspectiva técnica, ¿qué necesita hacer exactamente un administrador para que Duo Beyond funcione para una aplicación web interna?
Ruoting Sun: Básicamente, un cliente publicaría una aplicación web interna para ser accesible externamente. Hay algunos cambios en el DNS, obviamente, que necesitan hacerse para que esa aplicación esté disponible en Internet. Por ejemplo, usted iría a su wiki interno, como Confluencia, y lo haría accesible fuera de su red corporativa y VPN. Y entonces pondrías el Duo Network Gateway delante de eso, para que cualquier petición de acceso que golpee esas aplicaciones sea automáticamente redirigida y forzada a autenticarse a través del Duo Network Gateway.
ConsejoTecnologico.com: ¿Duo Beyond también autentica el acceso a aplicaciones instaladas tradicionalmente, como una aplicación de base de datos instalada en un servidor local?
Ruoting Sun: En este momento, somos capaces de soportar cualquier aplicación basada en web. En este momento, los certificados son certificados basados en navegador y están vinculados a nivel de usuario. Siempre y cuando nuestro indicador de autenticación pueda cargarse, podemos detectar la presencia del cert, sin importar si se trata de una aplicación en nube o de una aplicación alojada internamente. También estamos estudiando la posibilidad de dar soporte a aplicaciones no basadas en la web.
ConsejoTecnologico.com: ¿Existen otros riesgos o beneficios que los clientes puedan ver?
Ruoting Sun: Nuestros clientes pueden reducir significativamente su superficie de ataque. En el pasado, si tenías una organización de 5.000 personas y pagabas licencias VPN para todo el mundo, tenías básicamente una superficie de ataque de acceso remoto de 5.000 puntos finales que están ahí fuera. Todo lo que el atacante tendría que hacer sería robar las credenciales de cualquiera de ellos y poder acceder remotamente a su VPN y red. Su superficie de ataque es efectivamente cada cliente VPN que se ejecuta ahí fuera.
En este modelo, es completamente diferente, ya que se está eliminando el concepto de tener un montón de clientes VPN flotantes libres, y se está limitando el acceso a cada aplicación individual, y se están aplicando políticas para cada aplicación individual. Está eliminando entre el 75 y el 80% de la superficie de ataque y el número de licencias VPN.
Muchos clientes nos han dicho que el registro y la elaboración de informes que ofrecemos es beneficioso tanto desde la perspectiva de la auditoría interna como desde la perspectiva del cumplimiento. Tenemos clientes que utilizan nuestros registros de autenticación y datos de punto final para cumplir con los requisitos de la norma ISO 27002 sobre gestión de activos de la organización o para cumplir con los requisitos de PCI DSS.
¿Cómo gestiona el acceso de confianza a aplicaciones web internas y externas en su organización? Háganoslo saber en los comentarios o en Twitter.
Boletín semanal de Google
Descubre cómo sacar el máximo partido a Google Docs, Google Apps, Chrome, Chrome OS, Google Cloud Platform y todos los demás productos de Google utilizados en entornos empresariales. Viernes de entrega
mismo