DOCUMENTO INFORMATIVO LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA APROVECHAMIENTO DEL CONTEXTO EN TIEMPO REAL PARA MITIGAR LOS NUEVOS RIESGOS ACTUALES TABLA DE CONTENIDO EL NUEVO PERÍMETRO EMPRESARIAL EL ESPECTRO DEL RIESGO MÓVIL PRESENTACIÓN DE LA DEFENSA ARUBA ADAPTIVE TRUST™ ASPECTOS QUE DIFERENCIAN A ARUBA 3 3 4 5 USO DE ARUBA ADAPTIVE TRUST PARA UNA MOVILIDAD EMPRESARIAL SEGURA 6 DISPOSITIVOS BYOD Y APORTADOS POR EL DEPARTAMENTO DE TI EN EL MISMO SSID 6 AMPLIACIÓN DEL CONTROL DE TI A LOS DISPOSITIVOS DOMÉSTICOS 7 PREVENCIÓN DE BYOD EN LAS REDES DE INVITADOS AUTORIZACIÓN Y CIFRADO EN REDES ABIERTAS RESUMEN ACERCA DE ARUBA, UNA EMPRESA DE HEWLETT PACKARD 7 7 7 8 DOCUMENTO INFORMATIVO LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA EL NUEVO PERÍMETRO EMPRESARIAL Más allá de la pérdida de datos, existen otras muchas Se está produciendo un cambio radical en las redes variables que también se deben tener en cuenta al intentar empresariales de hoy en día. En lugar de ser redes por cable, estáticas y fijas, se están convirtiendo en un entorno dinámico y abierto en el que mandan la movilidad y los usuarios (conocidos como #GenMobile) disfrutan de acceso a los recursos empresariales en cualquier momento y lugar. Estos #GenMobile, equipados con un número cada vez mayor de aplicaciones y dispositivos personales, están poniendo a prueba al personal de TI y los administradores de seguridad, puesto que exigen más acceso a los recursos empresariales mediante redes de telefonía móvil y Wi-Fi. Mientras que las iniciativas BYOD siguen ganando fuerza, muchas empresas tardan en responder debido a la falta de gestión de políticas. Al mismo tiempo, las inversiones en seguridad de redes siguen centradas en apuntalar las defensas del perímetro, sin tener en cuenta los desafíos que plantea la movilidad. Como resultado, a las empresas les cuesta mantener tapar las brechas en la seguridad que ha creado la movilidad, como, por ejemplo, las siguientes: • Hábitos y comportamiento de los usuarios: Los usuarios de dispositivos móviles tienen la mala costumbre de evitar los controles de TI para llevar su propia tecnología al lugar de trabajo. Usan almacenamiento en la nube y aplicaciones sin autorización (en ocasiones de manera involuntaria) y acceden a datos empresariales confidenciales fuera de los controles corporativos en nombre de una mayor productividad. • Pérdida de controles de datos: La gestión de datos de la empresa móvil es complicada. Los datos corporativos ahora se encuentran más allá de los contenedores y las aplicaciones como por ejemplo en dispositivos de copia de seguridad fuera de las instalaciones, sistemas en la nube no autorizados o proveedores de servicios externos utilizados por los empleados. • Elevada rotación de dispositivos: Constantemente se seguros los datos y mitigar los nuevos riesgos asociados a la sustituyen dispositivos nuevos con diversos controles de movilidad. Los cortafuegos de gateway, IDS/IPS, antivirus, seguridad, lo que deja al personal de TI sin la certeza de antispam, los filtros de URL y otras soluciones de seguridad qué se encuentra realmente en la red y cómo del perímetro funcionan bien frente a los ataques externos. gestionarlo. Los cambios no autorizados o los sistemas Pero en la actualidad se originan muchas amenazas operativos de dispositivos con liberados abren la puerta importantes dentro de la propia empresa. a más vulnerabilidades. La movilidad supone un reto para la noción de "perímetro fijo" y los mecanismos de defensa tradicionales. Los dispositivos inteligentes entran por la puerta principal, evitando los controles de seguridad y conectándose directamente a la red sin el conocimiento del personal de TI. • Conexión continua: Ahora es más fácil que la información confidencial quede expuesta a redes abiertas, no autorizadas, ad hoc y que no son de confianza, así como a ataques "man-in-the-middle", puesto que los dispositivos móviles buscan cualquier red Wi-Fi disponible. En un mundo móvil, el perímetro de las redes se encuentra Por desgracia, las medidas de seguridad tradicionales que en cualquier lugar desde el que los usuarios se conecten, lo protegían terminales fijos y rutas de datos bien definidas no que perjudica la eficacia de las defensas de gateway. son adecuadas para salvaguardar la empresa móvil actual. Los controles de seguridad deben adaptarse a la naturaleza EL ESPECTRO DEL RIESGO MÓVIL dinámica de los usuarios que se conectan y las amenazas Los sofisticados y persistentes ataques actuales tienen como que se originan en cualquier parte. objetivo el mínimo común denominador y se afianzan a través Es más, los modelos de confianza establecidos para los de las puertas traseras sin protección o de cualquier debilidad expuesta. La falta políticas de control y la visibilidad limitada sobre los dispositivos móviles contribuyen a la vulnerabilidad de las empresas ante toda una gama de nuevos riesgos. empleados que usan dispositivos proporcionados por la empresa ya no tienen cabida en un mundo BYOD. La confianza ya no puede darse por sentado, sino que debe obtenerse y examinarse para determinar los privilegios y Las amenazas asociadas a los dispositivos móviles son derechos de acceso adecuados. distintas. La posibilidad de usarlos en cualquier parte y de Que un usuario proporcione las credenciales correctas no almacenar datos confidenciales en ellos aumenta de forma drástica la posible pérdida de datos. Además, su portabilidad y pequeño tamaño hacen que sean fáciles de perder o robar y, con frecuencia, carecen de protección mediante contraseña. De hecho, la pérdida de debe implicar necesariamente un acceso de carta blanca. Los nombres de usuario y las contraseñas no son suficientes a la hora de conceder derechos de acceso a recursos, en especial si la ubicación y el dispositivo del usuario no se encuentran bajo el control del dominio empresarial. datos debida a dispositivos extraviados suele citarse como la principal preocupación de los administradores de TI a cargo de la seguridad móvil. 3 DOCUMENTO INFORMATIVO LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA Al modelo tradicional le falta información contextual relevante: perfil del usuario, tipo de dispositivo, propiedad y ubicación. Esta información permite al personal de TI adaptar las políticas que autorizan o prohíben el acceso caso por caso sin dejar a las empresas expuestas a las nuevas amenazas. ARUBA ADAPTIVE TRUST DA RESPUESTA A LOS DESAFÍOS DE SEGURIDAD DE ACCESO ACTUALES • Decisiones basadas en contexto: Los datos contextuales en tiempo real garantizan la Las organizaciones necesitan un nuevo enfoque para ofrecer aplicación de las medidas de seguridad, seguridad a las redes de la empresa móvil. Un enfoque que independientemente del usuario, el tipo de saque partido del contexto y lo comparta, que aplique un dispositivo o la ubicación. Las políticas se control adaptable basado en las necesidades de movilidad y gestionan y aplican de forma centralizada para que lo haga sin obstaculizar la productividad de los empleados. conexiones mediante Wi-Fi, VPN o cableadas. • Cumplimiento de los dispositivos: Todos los PRESENTACIÓN DE LA DEFENSA ARUBA ADAPTIVE TRUST™ dispositivos deben cumplir con las directrices de A menudo la seguridad se entiende como una barrera para Los dispositivos que las incumplan deberán posición y seguridad antes de conectarse a la red. la productividad de los empleados. Se tienden a evitar los solucionarlo o se denegará su acceso. procesos complejos y las políticas estrictas, lo que expone a • Flujos de trabajo seguros: Solo los usuarios las empresas a más vulnerabilidades y a una mayor pérdida autorizados podrán iniciar un flujo de trabajo de control. según las políticas de TI. Los dispositivos Aunque los empleados se enfrentan a los riesgos que ha introducido la movilidad empresarial, siguen exigiendo acceso para más dispositivos aún. Los equipos de seguridad y de redes deben coordinarse para garantizar que se personales deberán estar autorizados por políticas para conectarse a los recursos empresariales. Las puertas traseras se cierran antes de que se pueda vulnerar su seguridad. dispone de los servicios esenciales al tiempo que se siguen las políticas de seguridad adecuadas. Las soluciones de productos puntuales que dan respuesta a necesidades de seguridad específicas pueden mitigar los El resultado es una defensa coordinada en la que todos los riesgos, pero conllevan más complejidad y un control limitado. componentes de seguridad funcionan como un único sistema La falta de integración entre las soluciones también dificulta al integrado que no afecta a la productividad de los empleados. personal de TI la identificación y la reacción ante las necesidades en continuo cambio de los empleados móviles. Con este marco de defensa, los sistemas de gestión de acceso empresarial pueden sacar partido fácilmente de la Aruba Adaptive Trust comparte datos contextuales muy información contextual de multitud de fuentes para completos entre las diversas soluciones de seguridad de examinar a los usuarios y el estado de sus dispositivos antes redes para eliminar cualquier posible brecha en la seguridad. y después de que se conecten. DEFENSA ADAPTIVE TRUST CORTAFUEGOS EMM/MDM GESTIÓN DE POLÍTICAS CLEARPASS IDS/IPS/ANTIVIRUS GATEWAYS WEB figura 1.0_010915_adaptivetrust-wpa Aruba ClearPass aprovecha y comparte los datos contextuales sobre usuarios, dispositivos y ubicaciones con diversas herramientas de redes para lograr una definición y una aplicación de las políticas más pormenorizada. 4 DOCUMENTO INFORMATIVO LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA Lo que es mejor, estos datos se intercambian con la gestión de movilidad empresarial (EMM), los cortafuegos de redes, los sistemas de prevención de intrusiones y otras soluciones de seguridad. El pegamento que logra que todo funcione consiste en unas API de transferencia de estado representacional (REST) y feeds de datos de tipo syslog. CLEARPASS OFRECE UNA AMPLIA GAMA DE FUNCIONES QUE POSIBILITAN UNA MOVILIDAD EMPRESARIAL SEGURA • Visibilidad mejorada: La creación de perfiles dinámicos de los dispositivos a medida que se Esto acaba con los complejos lenguajes de scripting y las conectan proporciona una información de gran tediosas configuraciones manuales necesarias para las valor que se puede usar en las políticas y para la soluciones de seguridad existentes, y permite colaborar con solución de problemas. • Políticas preparadas para la empresa: Las plantillas más eficacia para combatir los riesgos asociados a la de servicios de políticas integradas cubren los vacíos movilidad empresarial. Aruba Adaptive Trust permite que el personal de TI tome decisiones más inteligentes acerca de la forma de conectarse de los dispositivos y usuarios, y de la forma de aplicar sus privilegios de acceso. En consecuencia, un motor de aplicación de políticas centralizado constituye el sistema nervioso central de todos los elementos que se conectan a la red. de las antiguas soluciones AAA. Las iniciativas BYOD y los servicios de acceso de invitados se crean y pueden usarse en cuestión de minutos. • Contexto centralizado: Todos los datos recopilados, como la ubicación, el tipo y el estado del dispositivo, y la propiedad del dispositivo se pueden usar y compartir con las soluciones de seguridad existentes desde un repositorio central. ASPECTOS QUE DIFERENCIAN A ARUBA ClearPass Access Management System proporciona las bases del modelo de defensa Aruba Adaptive Trust. Aporta un control centralizado y una aplicación de la seguridad móvil basada en funciones, así como información contextual en tiempo real en cualquier red de varios proveedores. Este enfoque exclusivo, basado en la integración del lenguaje • Autoservicio: Los usuarios pueden configurar por sí mismos los dispositivos personales, revocar los certificados de dispositivos perdidos y patrocinar el acceso de invitados, lo que reduce las solicitudes de soporte del personal de TI y aumenta la productividad de todos. • Aplicación creada para la movilidad: La gestión común ClearPass Exchange, permite a las organizaciones de VLAN independientes para aplicar los empresariales sacar provecho de la información contextual privilegios de redes según los tipos de tráfico es de los sistemas de seguridad para obtener una aplicación de una tarea compleja y pesada. Las políticas para las políticas precisa y pormenorizada. dispositivos móviles requieren aprovechar la ClearPass ofrece una movilidad empresarial segura mediante la integración de la gestión de políticas con AAA, acceso a redes de invitados, integración segura, controles de estado de los dispositivos y otras capacidades de autoservicio, todo ello en una sola plataforma. información sobre funciones, tipos de tráfico y otros datos contextuales para dirigir automáticamente a los usuarios a los segmentos de redes adecuados. La aplicación de VLAN y ACL solo se usa cuando es necesario. ClearPass también posibilita la autenticación de dos factores aprovechando varios almacenes de identidades dentro de un servicio, incluidos Microsoft Active Directory, directorios compatibles con LDAP, bases de datos SQL compatibles con ODBC, servidores de tokens y bases de datos internas. DATOS INTERCAMBIADOS CON OTRAS HERRAMIENTAS DE REDES ACCESO DE EMPLEADOS Usuario Dispositivo CONTEXTO REUNIDO Y COMPARTIDO POLÍTICAS DE CORTAFUEGOS QUE SE ADAPTAN A LAS NECESIDADES DE MOVILIDAD • Frederik • INGENIERO • Empleado a tiempo completo • 10.0.1.24 • Macbook Pro • OS X 10.9.3 • Personal figura 2.0_011915_adaptivetrust-wpa 5 DOCUMENTO INFORMATIVO LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA Los almacenes de identidades, que aportan una fuente de (OpEx), al tiempo que abre una vía para crear políticas de contexto adicional de valor incalculable, también pueden seguridad adaptadas con un énfasis en la simplicidad y una servir para autenticar a usuarios y autorizar el uso de mejor experiencia del usuario para la #GenMobile. recursos empresariales específicos. ClearPass, gracias a que aprovecha la información de El soporte de ClearPass Exchange para las API REST y los contexto de diversos almacenes de identidades y métodos feeds de datos permite compartir la inteligencia de movilidad de autenticación, permite que el personal de TI cree políticas empresarial esencial entre ClearPass, y otras soluciones de de aplicación más pormenorizadas. Esto quiere decir que los seguridad y sistemas de flujo de trabajo empresarial. dispositivos personales y los gestionados por la empresa se En consecuencia, los cortafuegos de última generación de tratan de manera diferente en la misma infraestructura. Palo Alto® Networks pueden aprovechar automáticamente el El resultado es una solución dinámica, integrada y sólida que contexto de dispositivo y usuario para obtener unas políticas adapta con facilidad las funciones de seguridad y de la red a pormenorizadas de nivel de aplicación. Además, las las necesidades de movilidad de los empleados, lo que aplicaciones EMM, como MobileIron, ahora pueden permite a las organizaciones empresariales afrontar con compartir la visibilidad de usuario, dispositivo y ubicación rapidez una amplia variedad de desafíos habituales. para la aplicación de la seguridad Wi-Fi. La interacción con herramientas de soporte técnico como ServiceNow® hace que se genere automáticamente una solicitud de ayuda al servicio técnico con información esencial sobre el usuario, el dispositivo y el problema de acceso en caso de error de autenticación de una red. DISPOSITIVOS BYOD Y APORTADOS POR EL DEPARTAMENTO DE TI EN EL MISMO SSID En lugar de difundir varios SSID o de crear complejas asignaciones VLAN para adaptar BYOD, la aplicación basada en funciones y las políticas contextuales permiten a ClearPass diferenciar con facilidad el acceso para USO DE ARUBA ADAPTIVE TRUST PARA UNA MOVILIDAD EMPRESARIAL SEGURA dispositivos personales. ClearPass da respuesta a las necesidades de un panorama de específicas de dispositivos en cada terminal BYOD para políticas en continuo cambio y sustituye las soluciones limitar o revocar los privilegios de acceso. Esto simplifica puntuales y los dolores de cabeza de administración mediante drásticamente la infraestructura de acceso al tiempo que un sistema de gestión de políticas sólido, seguro y exhaustivo. mejora la seguridad y reduce la carga de aprovisionamiento Esto reduce los gastos de capital (CapEx) y los gastos operativos del personal de TI. ClearPass además distribuye y aprovisiona credenciales DISPOSITIVOS BYOD Y CORPORATIVOS EN EL MISMO SSID PORTÁTIL CORPORATIVO AUTENTICACIÓN SSID EAP-TLS SEGURIDAD CORPORATIVA TABLETA BYOD AUTENTICACIÓN SSID EAP-TLS SEGURIDAD CORPORATIVA SOLO INTERNET figura 3.0_011915_adaptivetrust-wpa ClearPass permite un acceso diferenciado en el mismo SSID en función de la información de usuario, dispositivo y ubicación. 6 DOCUMENTO INFORMATIVO LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA AMPLIACIÓN DEL CONTROL DE TI A LOS DISPOSITIVOS UTILIZADOS DESDE CASA RESUMEN Garantizar que los dispositivos móviles cumplan con las políticas móviles en continuo cambio requieren un nuevo enfoque no es tarea fácil, especialmente cuando no están conectados para ofrecer seguridad a las redes empresariales. La forma físicamente a la red. ClearPass amplía fácilmente la aplicación y de trabajar de la #GenMobile ha diluido por completo la los controles de políticas a los dispositivos que se conectan noción de "perímetro fijo": éste no existe en un mundo móvil desde ubicaciones remotas como las oficinas domésticas. en el que los usuarios se conectan y trabajan desde Los agentes persistentes y disolubles que se usan con Los hábitos de los usuarios, las amenazas y los dispositivos cualquier parte. ordenadores pueden utilizarse igualmente para garantizar que Con ese fin, la mejor gestión de políticas, el NAC, los todos los dispositivos se evalúan exhaustivamente y superan cortafuegos de redes y los sistemas EMM deben encontrar los controles de estado antes de acceder a la red empresarial. una forma común de compartir y proteger los recursos ClearPass también funciona con sistemas EMM; obtiene datos contextuales de smartphones y tabletas con el fin de ejecutar acciones de aplicación para cualquier dispositivo que solicite acceso empresarial por cable, inalámbrico o VPN. empresariales. Es el momento de las políticas de gestión centralizada, políticas BYOD seguras y flujos de trabajo de acceso de invitados que posibiliten que las TI ofrezcan una movilidad empresarial segura que minimice los riesgos. En la información contextual se puede incluir el estado de ClearPass constituye el núcleo del modelo Aruba Adaptive liberados, aplicaciones permitidas o prohibidas, o el tipo de Trust. Actúa como guardián y almacén contextual dispositivo, entre otros datos. centralizado para todas las autenticaciones de usuarios y datos de dispositivos. ClearPass identifica y autentica a los PREVENCIÓN DE BYOD EN LAS REDES DE INVITADOS usuarios y los dispositivos; las reglas basadas en confianza Las redes de invitados permiten a éstos y a otras personas otorgan unos privilegios de acceso adecuados basados en importantes disfrutar de conexión Wi-Fi durante su visita, las necesidades específicas. pero a menudo hacen un mal uso de ellas los empleados que tratan de evitar las políticas BYOD corporativas para obtener conexión a la red. Mediante el uso del modelo Aruba Adaptive Trust, las organizaciones de TI empresarial pueden garantizar que a los riesgos cada vez mayores asociados a la seguridad se les ClearPass puede determinar con rapidez si un dispositivo da respuesta en el punto de la autenticación y más allá, lo BYOD o gestionado por el personal de TI pertenece a la red que implica un mayor grado de satisfacción de los usuarios y de invitados mediante la información de contexto obtenida el personal de TI. durante el registro y la integración del dispositivo. Esto limita la cantidad de información empresarial que queda expuesta a las redes de invitados abiertas. AUTORIZACIÓN Y CIFRADO EN REDES ABIERTAS Las zonas Wi-Fi constituyen un medio cómodo para que los empleados remotos y los profesionales que viajan se mantengan conectados a los recursos de la empresa. Por desgracia, muchas de estas zonas Wi-Fi son vulnerables a una amplia variedad de amenazas cibernéticas y ataques "man-in-the-middle". Para eliminar desventajas y proteger a los clientes, ClearPass ofrece una forma sencilla de añadir seguridad de categoría empresarial a cualquier red Wi-Fi pública. Mediante el aumento del marco de protocolo de autenticación ampliable protegido (PEAP), ClearPass garantiza que cada sesión de invitado está protegida y por tanto es invisible para cualquiera que trate de examinar los paquetes Wi-Fi. 7 DOCUMENTO INFORMATIVO LA DEFENSA ARUBA ADAPTIVE TRUST™ PARA UNA MOVILIDAD EMPRESARIAL SEGURA ACERCA DE ARUBA, UNA EMPRESA DE HEWLETT PACKARD Aruba, una empresa de Hewlett Packard Enterprise, es un proveedor líder de soluciones de redes de última generación para empresas de cualquier tamaño en todo el mundo. La empresa ofrece soluciones de TI que permiten a las organizaciones dar servicio a la última generación de usuarios expertos en tecnología móvil que dependen de aplicaciones empresariales basadas en la nube para todos los aspectos de su vida personal y laboral. Para obtener más información, visite el sitio de Aruba en http://www.arubanetworks.com/es. Para obtener noticias en tiempo real siga a Aruba en Twitter y Facebook, y para seguir las discusiones técnicas más recientes sobre movilidad y productos de Aruba visite Airheads Social en http://community.arubanetworks.com. AVENIDA DE EUROPA, 2 – 3ªA | 28108 ALCOBENDAS, MADRID, ESPAÑA T: +34 912 690 650 | [email protected] www.arubanetworks.com/es ©2015 Aruba, a Hewlett Packard Enterprise company. Las marcas comerciales de Aruba incluyen Aruba Networks®, Aruba The Mobile Edge Company® (estilizada), Aruba Mobility-Defined Networks™, Aruba Mobility Management System®, People Move Networks Must Follow®, Mobile Edge Architecture®, RFProtect®, Green Island®, ETips®, ClientMatch®, Virtual Intranet Access™, ClearPass Access Management Systems™, Aruba Instant™, ArubaOS™, xSec™, ServiceEdge™, Aruba ClearPass Access Management System™, Airmesh™, AirWave™, Aruba Central™ y ARUBA@WORK™. Reservados todos los derechos. Todas las demás marcas comerciales pertenecen a sus respectivos propietarios. Aruba se reserva el derecho de cambiar, modificar, transferir o corregir esta publicación y las especificaciones de los productos sin previo aviso. Si bien Aruba hace un esfuerzo comercialmente razonable para garantizar la exactitud de las especificaciones incluidas en el presente documento, Aruba no asumirá ninguna responsabilidad por ningún error u omisión. WP_AdaptiveTrust_052815 8