Cómo empezar con Zero Belief en un entorno SaaS



El panorama de TI ha cambiado mucho en los últimos 18 meses, lo que brinda a la administración corporativa y a los usuarios finales información sobre por qué los límites sólidos y centrados en la identidad en torno a los datos son esenciales para el entorno empresarial moderno. Como resultado de este soporte creciente y la prevalencia de las tecnologías de software program como servicio (SaaS), implementar la seguridad de confianza cero es más fácil en estos días, por lo que ahora es un buen momento para considerar tales estrategias.

Si bien las opiniones varían sobre lo que es y no es la confianza cero, este modelo de seguridad generalmente considera la identidad del usuario como la raíz de la toma de decisiones a la hora de determinar si se permite el acceso a un recurso de información. Esto contrasta con los enfoques anteriores que tomaban decisiones basadas en la red desde la que se conectaba la persona. Por ejemplo, a menudo asumimos que los trabajadores de la oficina se conectaban directamente a la crimson de la organización y, por lo tanto, se podía confiar en que accederían a los datos de la empresa.

Hoy, sin embargo, las organizaciones ya no pueden otorgar privilegios especiales basándose en el supuesto de que la solicitud proviene de una red confiable. Con la gran cantidad de empleados remotos y geográficamente dispersos, es muy possible que las conexiones se originen en una purple que la empresa no controla. Esta tendencia continuará. Los tomadores de decisiones de TI y seguridad esperan que los usuarios finales remotos representen el 40% de su fuerza laboral después de que se controle el brote de COVID-19, un aumento del 74% en relación con los niveles prepandémicos, según «El estado real de la brecha de visibilidad de los activos de TI y la preparación pospandémica,«con una investigación realizada por Organization System Group para Axonius.

Aunque la strategy de implementar un enfoque de confianza cero puede parecer imposible al principio, hay formas de avanzar hacia la arquitectura deseada paso a paso sin intentar revisar por completo todos los componentes de seguridad a la vez. Al diseñar un viaje de confianza cero, los líderes de seguridad pueden comenzar aumentando la función que desempeña el inicio de sesión único (SSO) en su entorno y cómo se pueden proteger y validar los puntos finales de los usuarios antes de otorgar acceso.

Gestión de identidades dinámicas con un enfoque de confianza cero
En el mundo de la confianza cero, las políticas de acceso a menudo comienzan preguntando: ¿Quién es esta persona? ¿Se les debería permitir acceder a la aplicación? ¿Qué privilegios deberían tener? Estas preguntas están ligadas a la identidad de la persona y su rol en la organización para que su acceso esté alineado con lo que necesita para su trabajo. Por ejemplo, un vendedor necesita acceder a sus cuentas en el sistema de gestión de relaciones con el cliente y otra información relevante para la función de ventas. Los privilegios otorgados a un ingeniero de application serían muy diferentes.

Una forma práctica de establecer tales medidas de seguridad centradas en la identidad es a través de funciones de SSO. En este contexto, SSO describe una forma de mantener las identidades de los empleados de la empresa en un solo servicio y delegar el acceso y las decisiones relacionadas con los privilegios a ese servicio.

La mayoría de los proveedores de SaaS admiten hoy la integración de SSO, de modo que en lugar de crear otro repositorio de información de identidad, las organizaciones pueden centralizar la gestión de identidades. Al seleccionar productos SaaS, confirme que sean compatibles con SSO de una manera que funcione con su sistema de gestión de identidad. Algunos proveedores de SaaS cobran por la integración de SSO o requieren una costosa actualización del paquete para habilitar la funcionalidad.

Para que el sistema de gestión de identidad sea útil, debe mantenerse al día con la naturaleza dinámica de las empresas. Las personas van y vienen, y los requisitos de acceso de los empleados cambian cuando cambian de función. Por ejemplo, un vendedor ascendido a un puesto ejecutivo puede requerir acceso a información sobre un conjunto más amplio de clientes.

Una forma de gestionar este desafío es conectar su sistema de gestión de identidades con una fuente autorizada de información sobre las funciones y responsabilidades de los empleados: el sistema de recursos humanos. Cuando los dos sistemas están vinculados, los cambios de personalized en los sistemas de recursos humanos se pueden propagar automáticamente al proveedor de SSO, que los aplicará en las aplicaciones SaaS integradas para las decisiones de autenticación y autorización.

Validación del endpoint para fortalecer la arquitectura de confianza cero
Otro elemento importante de una arquitectura de confianza cero es determinar si se debe otorgar acceso basándose, en parte, en el estado del punto closing de la persona que se conecta. Más allá de cuestionar la identidad, los equipos de seguridad también deben considerar el estado del dispositivo. ¿Su postura de seguridad es apropiada para el tipo de datos a los que accede la persona o el tipo de acción que está tomando? Una forma de lograrlo es integrar el proveedor de SSO con el agente de seguridad o de TI del punto closing. Cuando un usuario intenta iniciar sesión en una aplicación, el proveedor autentica al usuario y verifica el nivel de privilegios que tiene. Luego le preguntará al agente de punto final si el estado del dispositivo es aceptable antes de otorgar acceso.

Las organizaciones avanzan hacia la confianza cero en diferentes plazos. Es posible que una empresa más joven ya tenga una arquitectura moderna, lo que facilita la implementación de prácticas de seguridad y TI coherentes con la confianza cero. Las organizaciones establecidas requieren una planificación más cuidadosa a medida que pasan de confiar en la red a factores granulares como la identidad del usuario y el estado del punto closing. Independientemente, dadas las condiciones comerciales actuales y la prevalencia de las tecnologías SaaS, ahora es el momento de dar el paso hacia la confianza cero.



Enlace a la noticia original