la defensa aruba adaptive trust™ para una movilidad empresarial

Anuncio
DOCUMENTO INFORMATIVO
LA DEFENSA ARUBA ADAPTIVE TRUST™
PARA UNA MOVILIDAD EMPRESARIAL SEGURA
APROVECHAMIENTO DEL CONTEXTO EN TIEMPO REAL
PARA MITIGAR LOS NUEVOS RIESGOS ACTUALES
TABLA DE CONTENIDO
EL NUEVO PERÍMETRO EMPRESARIAL
EL ESPECTRO DEL RIESGO MÓVIL
PRESENTACIÓN DE LA DEFENSA ARUBA ADAPTIVE TRUST™
ASPECTOS QUE DIFERENCIAN A ARUBA
3
3
4
5
USO DE ARUBA ADAPTIVE TRUST PARA
UNA MOVILIDAD EMPRESARIAL SEGURA
6
DISPOSITIVOS BYOD Y APORTADOS POR
EL DEPARTAMENTO DE TI EN EL MISMO SSID
6
AMPLIACIÓN DEL CONTROL DE TI A
LOS DISPOSITIVOS DOMÉSTICOS
7
PREVENCIÓN DE BYOD EN LAS REDES DE INVITADOS
AUTORIZACIÓN Y CIFRADO EN REDES ABIERTAS
RESUMEN
ACERCA DE ARUBA, UNA EMPRESA DE HEWLETT PACKARD
7
7
7
8
DOCUMENTO INFORMATIVO
LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA
EL NUEVO PERÍMETRO EMPRESARIAL
Más allá de la pérdida de datos, existen otras muchas
Se está produciendo un cambio radical en las redes
variables que también se deben tener en cuenta al intentar
empresariales de hoy en día. En lugar de ser redes por cable,
estáticas y fijas, se están convirtiendo en un entorno
dinámico y abierto en el que mandan la movilidad y los
usuarios (conocidos como #GenMobile) disfrutan de acceso
a los recursos empresariales en cualquier momento y lugar.
Estos #GenMobile, equipados con un número cada vez
mayor de aplicaciones y dispositivos personales, están
poniendo a prueba al personal de TI y los administradores
de seguridad, puesto que exigen más acceso a los recursos
empresariales mediante redes de telefonía móvil y Wi-Fi.
Mientras que las iniciativas BYOD siguen ganando fuerza,
muchas empresas tardan en responder debido a la falta de
gestión de políticas. Al mismo tiempo, las inversiones en
seguridad de redes siguen centradas en apuntalar las
defensas del perímetro, sin tener en cuenta los desafíos que
plantea la movilidad.
Como resultado, a las empresas les cuesta mantener
tapar las brechas en la seguridad que ha creado la movilidad,
como, por ejemplo, las siguientes:
• Hábitos y comportamiento de los usuarios: Los
usuarios de dispositivos móviles tienen la mala costumbre
de evitar los controles de TI para llevar su propia
tecnología al lugar de trabajo. Usan almacenamiento en la
nube y aplicaciones sin autorización (en ocasiones de
manera involuntaria) y acceden a datos empresariales
confidenciales fuera de los controles corporativos en
nombre de una mayor productividad.
• Pérdida de controles de datos: La gestión de datos de
la empresa móvil es complicada. Los datos corporativos
ahora se encuentran más allá de los contenedores y las
aplicaciones como por ejemplo en dispositivos de copia
de seguridad fuera de las instalaciones, sistemas en la
nube no autorizados o proveedores de servicios
externos utilizados por los empleados.
• Elevada rotación de dispositivos: Constantemente se
seguros los datos y mitigar los nuevos riesgos asociados a la
sustituyen dispositivos nuevos con diversos controles de
movilidad. Los cortafuegos de gateway, IDS/IPS, antivirus,
seguridad, lo que deja al personal de TI sin la certeza de
antispam, los filtros de URL y otras soluciones de seguridad
qué se encuentra realmente en la red y cómo
del perímetro funcionan bien frente a los ataques externos.
gestionarlo. Los cambios no autorizados o los sistemas
Pero en la actualidad se originan muchas amenazas
operativos de dispositivos con liberados abren la puerta
importantes dentro de la propia empresa.
a más vulnerabilidades.
La movilidad supone un reto para la noción de "perímetro
fijo" y los mecanismos de defensa tradicionales. Los
dispositivos inteligentes entran por la puerta principal,
evitando los controles de seguridad y conectándose
directamente a la red sin el conocimiento del personal de TI.
• Conexión continua: Ahora es más fácil que la información
confidencial quede expuesta a redes abiertas, no
autorizadas, ad hoc y que no son de confianza, así como a
ataques "man-in-the-middle", puesto que los dispositivos
móviles buscan cualquier red Wi-Fi disponible.
En un mundo móvil, el perímetro de las redes se encuentra
Por desgracia, las medidas de seguridad tradicionales que
en cualquier lugar desde el que los usuarios se conecten, lo
protegían terminales fijos y rutas de datos bien definidas no
que perjudica la eficacia de las defensas de gateway.
son adecuadas para salvaguardar la empresa móvil actual.
Los controles de seguridad deben adaptarse a la naturaleza
EL ESPECTRO DEL RIESGO MÓVIL
dinámica de los usuarios que se conectan y las amenazas
Los sofisticados y persistentes ataques actuales tienen como
que se originan en cualquier parte.
objetivo el mínimo común denominador y se afianzan a través
Es más, los modelos de confianza establecidos para los
de las puertas traseras sin protección o de cualquier debilidad
expuesta. La falta políticas de control y la visibilidad limitada
sobre los dispositivos móviles contribuyen a la vulnerabilidad
de las empresas ante toda una gama de nuevos riesgos.
empleados que usan dispositivos proporcionados por la
empresa ya no tienen cabida en un mundo BYOD. La
confianza ya no puede darse por sentado, sino que debe
obtenerse y examinarse para determinar los privilegios y
Las amenazas asociadas a los dispositivos móviles son
derechos de acceso adecuados.
distintas. La posibilidad de usarlos en cualquier parte y de
Que un usuario proporcione las credenciales correctas no
almacenar datos confidenciales en ellos aumenta de forma
drástica la posible pérdida de datos.
Además, su portabilidad y pequeño tamaño hacen que sean
fáciles de perder o robar y, con frecuencia, carecen de
protección mediante contraseña. De hecho, la pérdida de
debe implicar necesariamente un acceso de carta blanca.
Los nombres de usuario y las contraseñas no son suficientes
a la hora de conceder derechos de acceso a recursos, en
especial si la ubicación y el dispositivo del usuario no se
encuentran bajo el control del dominio empresarial.
datos debida a dispositivos extraviados suele citarse como la
principal preocupación de los administradores de TI a cargo
de la seguridad móvil.
3
DOCUMENTO INFORMATIVO
LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA
Al modelo tradicional le falta información contextual relevante:
perfil del usuario, tipo de dispositivo, propiedad y ubicación.
Esta información permite al personal de TI adaptar las
políticas que autorizan o prohíben el acceso caso por caso sin
dejar a las empresas expuestas a las nuevas amenazas.
ARUBA ADAPTIVE TRUST DA RESPUESTA A LOS
DESAFÍOS DE SEGURIDAD DE ACCESO ACTUALES
• Decisiones basadas en contexto: Los datos
contextuales en tiempo real garantizan la
Las organizaciones necesitan un nuevo enfoque para ofrecer
aplicación de las medidas de seguridad,
seguridad a las redes de la empresa móvil. Un enfoque que
independientemente del usuario, el tipo de
saque partido del contexto y lo comparta, que aplique un
dispositivo o la ubicación. Las políticas se
control adaptable basado en las necesidades de movilidad y
gestionan y aplican de forma centralizada para
que lo haga sin obstaculizar la productividad de los empleados.
conexiones mediante Wi-Fi, VPN o cableadas.
• Cumplimiento de los dispositivos: Todos los
PRESENTACIÓN DE LA DEFENSA ARUBA
ADAPTIVE TRUST™
dispositivos deben cumplir con las directrices de
A menudo la seguridad se entiende como una barrera para
Los dispositivos que las incumplan deberán
posición y seguridad antes de conectarse a la red.
la productividad de los empleados. Se tienden a evitar los
solucionarlo o se denegará su acceso.
procesos complejos y las políticas estrictas, lo que expone a
• Flujos de trabajo seguros: Solo los usuarios
las empresas a más vulnerabilidades y a una mayor pérdida
autorizados podrán iniciar un flujo de trabajo
de control.
según las políticas de TI. Los dispositivos
Aunque los empleados se enfrentan a los riesgos que ha
introducido la movilidad empresarial, siguen exigiendo
acceso para más dispositivos aún. Los equipos de seguridad
y de redes deben coordinarse para garantizar que se
personales deberán estar autorizados por
políticas para conectarse a los recursos
empresariales. Las puertas traseras se cierran
antes de que se pueda vulnerar su seguridad.
dispone de los servicios esenciales al tiempo que se siguen
las políticas de seguridad adecuadas.
Las soluciones de productos puntuales que dan respuesta a
necesidades de seguridad específicas pueden mitigar los
El resultado es una defensa coordinada en la que todos los
riesgos, pero conllevan más complejidad y un control limitado. componentes de seguridad funcionan como un único sistema
La falta de integración entre las soluciones también dificulta al integrado que no afecta a la productividad de los empleados.
personal de TI la identificación y la reacción ante las
necesidades en continuo cambio de los empleados móviles.
Con este marco de defensa, los sistemas de gestión de
acceso empresarial pueden sacar partido fácilmente de la
Aruba Adaptive Trust comparte datos contextuales muy
información contextual de multitud de fuentes para
completos entre las diversas soluciones de seguridad de
examinar a los usuarios y el estado de sus dispositivos antes
redes para eliminar cualquier posible brecha en la seguridad.
y después de que se conecten.
DEFENSA ADAPTIVE TRUST
CORTAFUEGOS
EMM/MDM
GESTIÓN DE POLÍTICAS CLEARPASS
IDS/IPS/ANTIVIRUS
GATEWAYS WEB
figura 1.0_010915_adaptivetrust-wpa
Aruba ClearPass aprovecha y comparte los datos contextuales sobre usuarios, dispositivos y ubicaciones con diversas herramientas de redes para
lograr una definición y una aplicación de las políticas más pormenorizada.
4
DOCUMENTO INFORMATIVO
LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA
Lo que es mejor, estos datos se intercambian con la gestión
de movilidad empresarial (EMM), los cortafuegos de redes,
los sistemas de prevención de intrusiones y otras soluciones
de seguridad. El pegamento que logra que todo funcione
consiste en unas API de transferencia de estado
representacional (REST) y feeds de datos de tipo syslog.
CLEARPASS OFRECE UNA AMPLIA GAMA
DE FUNCIONES QUE POSIBILITAN UNA
MOVILIDAD EMPRESARIAL SEGURA
• Visibilidad mejorada: La creación de perfiles
dinámicos de los dispositivos a medida que se
Esto acaba con los complejos lenguajes de scripting y las
conectan proporciona una información de gran
tediosas configuraciones manuales necesarias para las
valor que se puede usar en las políticas y para la
soluciones de seguridad existentes, y permite colaborar con
solución de problemas.
• Políticas preparadas para la empresa: Las plantillas
más eficacia para combatir los riesgos asociados a la
de servicios de políticas integradas cubren los vacíos
movilidad empresarial.
Aruba Adaptive Trust permite que el personal de TI tome
decisiones más inteligentes acerca de la forma de conectarse
de los dispositivos y usuarios, y de la forma de aplicar sus
privilegios de acceso. En consecuencia, un motor de aplicación
de políticas centralizado constituye el sistema nervioso central
de todos los elementos que se conectan a la red.
de las antiguas soluciones AAA. Las iniciativas BYOD y
los servicios de acceso de invitados se crean y
pueden usarse en cuestión de minutos.
• Contexto centralizado: Todos los datos
recopilados, como la ubicación, el tipo y el estado
del dispositivo, y la propiedad del dispositivo se
pueden usar y compartir con las soluciones de
seguridad existentes desde un repositorio central.
ASPECTOS QUE DIFERENCIAN A ARUBA
ClearPass Access Management System proporciona las
bases del modelo de defensa Aruba Adaptive Trust. Aporta
un control centralizado y una aplicación de la seguridad
móvil basada en funciones, así como información contextual
en tiempo real en cualquier red de varios proveedores.
Este enfoque exclusivo, basado en la integración del lenguaje
• Autoservicio: Los usuarios pueden configurar
por sí mismos los dispositivos personales, revocar
los certificados de dispositivos perdidos y
patrocinar el acceso de invitados, lo que reduce
las solicitudes de soporte del personal de TI y
aumenta la productividad de todos.
• Aplicación creada para la movilidad: La gestión
común ClearPass Exchange, permite a las organizaciones
de VLAN independientes para aplicar los
empresariales sacar provecho de la información contextual
privilegios de redes según los tipos de tráfico es
de los sistemas de seguridad para obtener una aplicación de
una tarea compleja y pesada. Las políticas para
las políticas precisa y pormenorizada.
dispositivos móviles requieren aprovechar la
ClearPass ofrece una movilidad empresarial segura mediante
la integración de la gestión de políticas con AAA, acceso a
redes de invitados, integración segura, controles de estado
de los dispositivos y otras capacidades de autoservicio, todo
ello en una sola plataforma.
información sobre funciones, tipos de tráfico y
otros datos contextuales para dirigir
automáticamente a los usuarios a los segmentos
de redes adecuados. La aplicación de VLAN y ACL
solo se usa cuando es necesario.
ClearPass también posibilita la autenticación de dos factores
aprovechando varios almacenes de identidades dentro de
un servicio, incluidos Microsoft Active Directory, directorios
compatibles con LDAP, bases de datos SQL compatibles con
ODBC, servidores de tokens y bases de datos internas.
DATOS INTERCAMBIADOS CON OTRAS HERRAMIENTAS DE REDES
ACCESO DE EMPLEADOS
Usuario
Dispositivo
CONTEXTO REUNIDO
Y COMPARTIDO
POLÍTICAS DE CORTAFUEGOS QUE SE ADAPTAN
A LAS NECESIDADES DE MOVILIDAD
• Frederik
• INGENIERO
• Empleado a
tiempo completo
• 10.0.1.24
• Macbook Pro
• OS X 10.9.3
• Personal
figura 2.0_011915_adaptivetrust-wpa
5
DOCUMENTO INFORMATIVO
LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA
Los almacenes de identidades, que aportan una fuente de
(OpEx), al tiempo que abre una vía para crear políticas de
contexto adicional de valor incalculable, también pueden
seguridad adaptadas con un énfasis en la simplicidad y una
servir para autenticar a usuarios y autorizar el uso de
mejor experiencia del usuario para la #GenMobile.
recursos empresariales específicos.
ClearPass, gracias a que aprovecha la información de
El soporte de ClearPass Exchange para las API REST y los
contexto de diversos almacenes de identidades y métodos
feeds de datos permite compartir la inteligencia de movilidad
de autenticación, permite que el personal de TI cree políticas
empresarial esencial entre ClearPass, y otras soluciones de
de aplicación más pormenorizadas. Esto quiere decir que los
seguridad y sistemas de flujo de trabajo empresarial.
dispositivos personales y los gestionados por la empresa se
En consecuencia, los cortafuegos de última generación de
tratan de manera diferente en la misma infraestructura.
Palo Alto® Networks pueden aprovechar automáticamente el
El resultado es una solución dinámica, integrada y sólida que
contexto de dispositivo y usuario para obtener unas políticas
adapta con facilidad las funciones de seguridad y de la red a
pormenorizadas de nivel de aplicación. Además, las
las necesidades de movilidad de los empleados, lo que
aplicaciones EMM, como MobileIron, ahora pueden
permite a las organizaciones empresariales afrontar con
compartir la visibilidad de usuario, dispositivo y ubicación
rapidez una amplia variedad de desafíos habituales.
para la aplicación de la seguridad Wi-Fi.
La interacción con herramientas de soporte técnico como
ServiceNow® hace que se genere automáticamente una
solicitud de ayuda al servicio técnico con información
esencial sobre el usuario, el dispositivo y el problema de
acceso en caso de error de autenticación de una red.
DISPOSITIVOS BYOD Y APORTADOS POR EL
DEPARTAMENTO DE TI EN EL MISMO SSID
En lugar de difundir varios SSID o de crear complejas
asignaciones VLAN para adaptar BYOD, la aplicación basada
en funciones y las políticas contextuales permiten a
ClearPass diferenciar con facilidad el acceso para
USO DE ARUBA ADAPTIVE TRUST PARA UNA
MOVILIDAD EMPRESARIAL SEGURA
dispositivos personales.
ClearPass da respuesta a las necesidades de un panorama de
específicas de dispositivos en cada terminal BYOD para
políticas en continuo cambio y sustituye las soluciones
limitar o revocar los privilegios de acceso. Esto simplifica
puntuales y los dolores de cabeza de administración mediante
drásticamente la infraestructura de acceso al tiempo que
un sistema de gestión de políticas sólido, seguro y exhaustivo.
mejora la seguridad y reduce la carga de aprovisionamiento
Esto reduce los gastos de capital (CapEx) y los gastos operativos
del personal de TI.
ClearPass además distribuye y aprovisiona credenciales
DISPOSITIVOS BYOD Y CORPORATIVOS EN EL MISMO SSID
PORTÁTIL CORPORATIVO
AUTENTICACIÓN
SSID
EAP-TLS
SEGURIDAD CORPORATIVA
TABLETA BYOD
AUTENTICACIÓN
SSID
EAP-TLS
SEGURIDAD CORPORATIVA
SOLO INTERNET
figura 3.0_011915_adaptivetrust-wpa
ClearPass permite un acceso diferenciado en el mismo SSID en función de la información de usuario, dispositivo y ubicación.
6
DOCUMENTO INFORMATIVO
LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA
AMPLIACIÓN DEL CONTROL DE TI A LOS
DISPOSITIVOS UTILIZADOS DESDE CASA
RESUMEN
Garantizar que los dispositivos móviles cumplan con las políticas
móviles en continuo cambio requieren un nuevo enfoque
no es tarea fácil, especialmente cuando no están conectados
para ofrecer seguridad a las redes empresariales. La forma
físicamente a la red. ClearPass amplía fácilmente la aplicación y
de trabajar de la #GenMobile ha diluido por completo la
los controles de políticas a los dispositivos que se conectan
noción de "perímetro fijo": éste no existe en un mundo móvil
desde ubicaciones remotas como las oficinas domésticas.
en el que los usuarios se conectan y trabajan desde
Los agentes persistentes y disolubles que se usan con
Los hábitos de los usuarios, las amenazas y los dispositivos
cualquier parte.
ordenadores pueden utilizarse igualmente para garantizar que
Con ese fin, la mejor gestión de políticas, el NAC, los
todos los dispositivos se evalúan exhaustivamente y superan
cortafuegos de redes y los sistemas EMM deben encontrar
los controles de estado antes de acceder a la red empresarial.
una forma común de compartir y proteger los recursos
ClearPass también funciona con sistemas EMM; obtiene
datos contextuales de smartphones y tabletas con el fin de
ejecutar acciones de aplicación para cualquier dispositivo
que solicite acceso empresarial por cable, inalámbrico o VPN.
empresariales. Es el momento de las políticas de gestión
centralizada, políticas BYOD seguras y flujos de trabajo de
acceso de invitados que posibiliten que las TI ofrezcan una
movilidad empresarial segura que minimice los riesgos.
En la información contextual se puede incluir el estado de
ClearPass constituye el núcleo del modelo Aruba Adaptive
liberados, aplicaciones permitidas o prohibidas, o el tipo de
Trust. Actúa como guardián y almacén contextual
dispositivo, entre otros datos.
centralizado para todas las autenticaciones de usuarios y
datos de dispositivos. ClearPass identifica y autentica a los
PREVENCIÓN DE BYOD EN LAS REDES DE INVITADOS
usuarios y los dispositivos; las reglas basadas en confianza
Las redes de invitados permiten a éstos y a otras personas
otorgan unos privilegios de acceso adecuados basados en
importantes disfrutar de conexión Wi-Fi durante su visita,
las necesidades específicas.
pero a menudo hacen un mal uso de ellas los empleados
que tratan de evitar las políticas BYOD corporativas para
obtener conexión a la red.
Mediante el uso del modelo Aruba Adaptive Trust, las
organizaciones de TI empresarial pueden garantizar que a
los riesgos cada vez mayores asociados a la seguridad se les
ClearPass puede determinar con rapidez si un dispositivo
da respuesta en el punto de la autenticación y más allá, lo
BYOD o gestionado por el personal de TI pertenece a la red
que implica un mayor grado de satisfacción de los usuarios y
de invitados mediante la información de contexto obtenida
el personal de TI.
durante el registro y la integración del dispositivo. Esto limita
la cantidad de información empresarial que queda expuesta
a las redes de invitados abiertas.
AUTORIZACIÓN Y CIFRADO EN REDES ABIERTAS
Las zonas Wi-Fi constituyen un medio cómodo para que los
empleados remotos y los profesionales que viajan se
mantengan conectados a los recursos de la empresa. Por
desgracia, muchas de estas zonas Wi-Fi son vulnerables a
una amplia variedad de amenazas cibernéticas y ataques
"man-in-the-middle".
Para eliminar desventajas y proteger a los clientes, ClearPass
ofrece una forma sencilla de añadir seguridad de categoría
empresarial a cualquier red Wi-Fi pública. Mediante el
aumento del marco de protocolo de autenticación ampliable
protegido (PEAP), ClearPass garantiza que cada sesión de
invitado está protegida y por tanto es invisible para
cualquiera que trate de examinar los paquetes Wi-Fi.
7
DOCUMENTO INFORMATIVO
LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA
ACERCA DE ARUBA, UNA EMPRESA DE HEWLETT PACKARD
Aruba, una empresa de Hewlett Packard Enterprise, es un proveedor líder de soluciones de redes de última generación para
empresas de cualquier tamaño en todo el mundo. La empresa ofrece soluciones de TI que permiten a las organizaciones dar
servicio a la última generación de usuarios expertos en tecnología móvil que dependen de aplicaciones empresariales
basadas en la nube para todos los aspectos de su vida personal y laboral.
Para obtener más información, visite el sitio de Aruba en http://www.arubanetworks.com/es. Para obtener noticias en
tiempo real siga a Aruba en Twitter y Facebook, y para seguir las discusiones técnicas más recientes sobre movilidad y
productos de Aruba visite Airheads Social en http://community.arubanetworks.com.
AVENIDA DE EUROPA, 2 – 3ªA | 28108 ALCOBENDAS, MADRID, ESPAÑA
T: +34 912 690 650 | [email protected]
www.arubanetworks.com/es
©2015 Aruba, a Hewlett Packard Enterprise company. Las marcas comerciales de Aruba incluyen Aruba Networks®, Aruba The Mobile Edge Company®
(estilizada), Aruba Mobility-Defined Networks™, Aruba Mobility Management System®, People Move Networks Must Follow®, Mobile Edge Architecture®, RFProtect®,
Green Island®, ETips®, ClientMatch®, Virtual Intranet Access™, ClearPass Access Management Systems™, Aruba Instant™, ArubaOS™, xSec™, ServiceEdge™,
Aruba ClearPass Access Management System™, Airmesh™, AirWave™, Aruba Central™ y ARUBA@WORK™. Reservados todos los derechos. Todas las demás marcas
comerciales pertenecen a sus respectivos propietarios. Aruba se reserva el derecho de cambiar, modificar, transferir o corregir esta publicación y las especificaciones de los productos sin previo aviso. Si bien Aruba hace un esfuerzo comercialmente razonable para garantizar la exactitud de las especificaciones incluidas en
el presente documento, Aruba no asumirá ninguna responsabilidad por ningún error u omisión. WP_AdaptiveTrust_052815
8
Descargar