VPN, MFA y la realidad del trabajo remoto



La era del trabajo desde casa está acelerando la adopción de servicios nativos de la nube.

Durante la mayor parte de 2020, las organizaciones se han visto obligadas a adaptarse a los desafíos operativos de los empleados que trabajan desde redes domésticas, a menudo en computadoras personales, mientras acceden a datos corporativos. Un dilema principal es el equilibrio entre seguridad y productividad. Por ejemplo, según el Informe de investigaciones de violación de datos de Verizon 2020, «El 45% de las infracciones incluyeron piratería y el 22% incluyeron ataques de ingeniería social. Es possible que los ataques continúen ocurriendo, especialmente con muchos trabajadores remotos que permanecen en casa, y se espera que las infracciones de datos se disparen.

Definitivamente hay una ventaja en el trabajo remoto. Los empleados ahorran tiempo al no tener que desplazarse, y muchos pueden concentrarse y adoptar herramientas de colaboración para aumentar la productividad. Una fuerza de trabajo remota también permite a las organizaciones reducir los costos operativos vinculados al espacio físico de oficina. Sin embargo, la compensación para los profesionales de la seguridad es que el perímetro corporativo ya no puede proteger a estos empleados, y las redes domésticas continúan presentan un riesgo de seguridad significativo.

A partir de mis propias conversaciones con los clientes, la mayoría de las organizaciones están implementando una combinación de redes privadas virtuales (VPN) y autenticación multifactor (MFA) para proteger las conexiones remotas. En menor medida, algunas organizaciones aún pueden estar esposadas a su infraestructura de escritorio virtual (VDI) existente, pero la experiencia del usuario y el rendimiento pueden degradarse, por lo que la mayoría de las organizaciones lo evitan. VDI es adecuado para el trabajo de oficina en typical, pero no es suficiente para los desarrolladores, diseñadores o cualquier persona que necesite mucha potencia de procesamiento porque todos los recursos informáticos se agrupan para una asignación compartida.

A medida que las organizaciones se han adaptado al trabajo remoto y han adoptado nuevas soluciones, es elementary que comprendan cómo ha cambiado su arquitectura para identificar la superficie de amenazas en evolución. Pero también es importante darse cuenta de que una arquitectura de TI es como una huella digital hay algunos tipos comunes, pero en última instancia, son únicos. La VPN es más eficaz para un entorno community, mientras que MFA es más eficaz para una configuración basada en la nube.

Tomemos las VPN como ejemplo. El caso de uso más sencillo de una VPN es establecer una conexión segura para acceder a la infraestructura corporativa. Estás en casa, en tu propia red inalámbrica, pero te conectas a través de una VPN. La VPN está protegida por un dispositivo de firewall para acceder a la crimson corporativa. Este modelo funciona bien para organizaciones que tienen un centro de datos y servidores de archivos en el sitio porque aún pueden aprovechar el perímetro de su red para protegerlo.

Sin embargo, el tráfico VPN puede volverse más desafiante si se considera la escala de organizaciones más grandes. Una vez que cientos de empleados remotos se conectan a través de VPN, la carga de mover datos a un punto en el que se pueden distribuir a través del tráfico de la purple puede volverse significativa. Esto es particularmente cierto si una organización tiene controles de protección contra la pérdida de datos muy estrictos por ejemplo, si un empleado que trabaja desde casa se conecta a través de una VPN pero make a decision navegar por Amazon durante una pausa para el café, ¿debería su organización monitorear y proteger ese tráfico? Algunas organizaciones que son sensibles al riesgo asumirán esa carga, pero un enfoque alternativo es utilizar el túnel dividido, en el que se enruta el tráfico de dispositivos o aplicaciones a través del túnel VPN cifrado mientras que otros dispositivos o aplicaciones acceden a World wide web directamente para proteger las conexiones esenciales mientras permitiendo el acceso directo a cosas como las redes sociales y las noticias.

Por otro lado, muchas empresas han adoptado un enfoque más nativo de la nube para su infraestructura de TI. Puede ver esto con servicios como Microsoft 365, Google Workspace, Salesforce y proveedores de servicios en la nube como Microsoft Azure y Amazon EC3. Una vez que una organización cambia a la nube, no hay mucha necesidad de una VPN porque estos proveedores de servicios en la nube han convertido en productos básicos muchos controles de seguridad tradicionales, como antivirus, puertas de enlace de correo electrónico y puertas de enlace de tráfico net. Además, realmente no hay necesidad de usar una VPN para ingresar a la pink corporativa si se está conectando a servicios en la nube porque ninguno de los datos corporativos está realmente dentro de la purple corporativa.

Superficie de amenaza
Sin embargo, los servicios en la nube aún representan una superficie de amenaza sustancial, porque si sus credenciales de acceso se ven comprometidas, entonces alguien puede iniciar sesión como usted, y el «Informe de investigaciones de violación de datos» de Verizon 2020 indica qué tan prevalente y exitoso es el phishing como vector de ataque. Es por eso que MFA es tan elementary para ayudar a proteger este tipo de arquitectura. Por lo basic, MFA requiere el uso de un mensaje de texto o una aplicación de autenticación para ingresar un segundo código de validación después de la contraseña.

Las soluciones MFA han evolucionado con la llegada de las soluciones de confianza cero centradas en el acceso condicional continuo. Este tipo de soluciones monitorean el comportamiento del usuario y requieren una nueva autenticación si se detecta una anomalía, por ejemplo, si sus credenciales se utilizan para iniciar sesión desde Europa cuando ha estado trabajando fuera de los Estados Unidos. Algo bueno de trabajar con un proveedor de servicios en la nube como Microsoft Azure es que puede integrar su MFA con Energetic Listing para ayudar a hacer cumplir este tipo de acceso condicional. Las soluciones de inicio de sesión único y los proveedores de administración de identidad y acceso también pueden ayudar a que este enfoque funcione sin problemas, pero nuevamente, cada arquitectura es única.

Desafortunadamente, hay problemas. Muchas organizaciones tuvieron que levantar la infraestructura de trabajo remoto muy rápidamente este año cuando la pandemia obligó al trabajo remoto, y eso significa que muchas de ellas implementaron muchas soluciones singulares que no necesariamente se integran muy bien. A pesar de eso, es posible que algunas organizaciones no puedan proteger los entornos locales con MFA porque no pueden integrarse con su VPN. Los primeros en adoptar los servicios en la nube han encontrado que la transición al trabajo remoto es más manejable porque ya habían trasladado los activos corporativos más allá del perímetro. En este sentido, la necesidad del trabajo remoto ciertamente ha acelerado la adopción de servicios nativos de la nube.

Petar Besalev es el vicepresidente senior de servicios de ciberseguridad y privacidad en A-LIGN. Es responsable de supervisar todos los servicios de privacidad y seguridad que ofrece A-LIGN, incluidos PCI DSS, pruebas de penetración, ISO 27001, HIPAA / HITECH, FISMA y FedRAMP. Petar tiene … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first