Fuera el antiguo perímetro, dentro de los nuevos perímetros



Una confluencia de tendencias y eventos ha hecho explotar toda la notion de «perímetro». Ahora hay muchos perímetros y las empresas deben adaptarse en consecuencia.

Cuando las empresas comenzaron a conectarse a World wide web, este punto de conexión se convirtió en el lugar all-natural para hacer cumplir los controles de seguridad, imitando los modelos de seguridad física existentes. Las empresas asumían que si alguien estaba dentro del edificio o dentro de cierto perímetro, esa persona tenía un nivel de confianza inherente más alto que los que estaban afuera.

Las mismas necesidades comerciales que requerían conectividad forzaron la erosión de este perímetro. Se tuvo que acceder a los sitios world wide web y servidores de correo electrónico desde fuera de las defensas. Se crearon perímetros adicionales para abordar esto, comenzando con las redes DMZ. Algunos usuarios y datos se trasladaron al lado no confiable de las paredes, y los ataques se originaron desde adentro (ya sea por phishing, credenciales comprometidas o personas internas). Se crearon más perímetros, incluidos firewalls de centros de datos y segmentación interna o incluso implementaciones de microsegmentación.

Con la pandemia, la erosión del perímetro se convirtió en colapso. En lugar de que algunos datos y algunos usuarios estuvieran fuera del perímetro, era casi de la noche a la mañana la necesidad de tener a todos los empleados fuera. Las nuevas demandas no fueron fáciles: acceso a todos los datos, desde todos los lugares, todo el tiempo, en todos los dispositivos. De forma segura.

Los nuevos perímetros

Identidad como perímetro
La identidad ha sido una parte clave de la seguridad desde siempre. La importancia de una identidad sólida ha aumentado exponencialmente con las transformaciones digitales: para una aplicación de program como seguridad (SaaS), puede ser el único regulate en manos de los propietarios de los datos.

El alcance de la «identidad» ha crecido desde quién es usted para incluir la ubicación física, el dispositivo desde el que se conecta y su estado, la hora del día y otros parámetros. La autenticación multifactor se ha convertido en un estándar mínimo, mientras que el acceso basado en roles basado en la identidad «extendida» impone la política una vez que se establece la conexión.

Existen limitaciones para el concepto de «identidad como perímetro» no todo está en aplicaciones SaaS, y es posible que se necesiten controles adicionales (como la prevención de fugas de datos) que deben estar en la propia aplicación.

Punto remaining como perímetro
Antes de los firewalls, la seguridad se controlaba en el punto closing, y lo antiguo vuelve a ser nuevo. Las soluciones de terminales modernas proporcionan inventario de activos de software program, prevención de amenazas y detección avanzada de ataques respaldados por aprendizaje automático e inteligencia artificial. El perímetro del punto final es mucho más robusto que en el pasado.

Los agentes en el punto ultimate también pueden proporcionar más beneficios, al igual que el perímetro tradicional. Funciones como la administración de activos, la administración de software package, la administración de vulnerabilidades y la prevención de fugas de datos son todas posibles extensiones del «perímetro del punto ultimate», aunque es posible que necesite muchos agentes para admitir muchas funciones.

Servicio de acceso seguro Edge
El borde del servicio de acceso seguro (SASE) es un marco que acerca los controles de seguridad al lugar donde el usuario se encuentra con los datos. Los datos se almacenan cada vez más en aplicaciones en la nube, por lo que los marcos SASE agregan controles de seguridad en el borde de la nube. El marco puede admitir una variedad de servicios para proteger datos y aplicaciones tanto en la nube como en las instalaciones.

Parte integral de este concepto es la identidad del usuario y los derechos de esa persona, así como la garantía de que el punto ultimate es «apropiadamente» seguro para el acceso que está obteniendo el usuario. Los marcos SASE deben incorporar elementos de identidad y de punto remaining para funcionar de la manera más eficaz.

Arquitectura de red de confianza cero
La culminación de la «purple sin perímetro» es una arquitectura de red de confianza cero (ZTNA). En un entorno de confianza cero, cada conexión se presume hostil hasta que se demuestre que es amigable: un modelo de «nunca confiar, siempre verificar» en el que las conexiones solo se permitirán con el mínimo de privilegios, se inspeccionarán de cerca y se registrarán todas las actividades y el tráfico. .

Como filosofía de diseño, ZTNA informa todas las opciones anteriores y las hace más efectivas, aunque hacerlo mientras se mantiene una experiencia del usuario ultimate relativamente sin fricciones no es una tarea fácil y no se vuelve más fácil con la escala.

… y el perímetro heredado
El perímetro de borde de Online heredado y los perímetros internos existentes aún no están completamente obsoletos. Algunos recursos y usuarios residen y seguirán residiendo en las instalaciones y necesitan protección. Es solo que no son el único handle que tenían antes. La defensa en profundidad es sumamente importante y probablemente incluirá controles «heredados» en el futuro previsible como parte de una estrategia integral de múltiples perímetros.

Entonces, ¿cuál es mi «nuevo perímetro»?
Este es el lugar perfecto para la respuesta favorita del ingeniero: «Depende». El nuevo perímetro dependerá del estado de la transformación digital, las ubicaciones de sus datos, su tolerancia al riesgo y el tipo de puntos finales que esté utilizando. Su solución tendrá que construirse y diseñarse para satisfacer sus necesidades, objetivos y riesgos únicos. Debe ser lo más suave posible para sus usuarios y, al mismo tiempo, minimizar la superficie de ataque. No es fácil, pero es posible.

Charlie Winckless es el director sénior de soluciones de ciberseguridad de Presidio, que establece la dirección estratégica tanto a nivel interno de Presidio como ayuda a los clientes a generar confianza digital. Es un veterano de la ciberseguridad con más de 20 años de experiencia en el campo y se puso a prueba en TI en … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary