¿Conexiones seguras en la nube: utopía o tecnología Cisco+ Secure Connect? Lo segundo. Cisco ha empaquetado sus tecnologías de tráfico de red seguro basadas en la nube en el portfolio de Meraki, y he tenido el honor de familiarizarme y probarlas en el portfolio de Meraki recientemente. Cisco habla aquí de tecnología SASE (Secure Access Service Edge) y se refiere en sus términos a la arquitectura Zero Trust. ¿De qué se trata realmente?
El uso de la red cambia, ¡la seguridad también debe hacerlo!
He observado una transformación en el mercado, donde las diferentes organizaciones utilizan cada vez más solo servicios SaaS, abandonando gradualmente más y más servicios publicados en su propio entorno. Cuando escuché que las tecnologías de seguridad de Cisco llegaban al portfolio de Meraki en forma de servicios Secure Connect, establecí nuestro modelo FullCloud como punto de partida para nuestro análisis, ya que cuando estamos completamente en la nube, la seguridad debe considerarse desde perspectivas completamente nuevas. El escaneo de amenazas en el tráfico de red en la propia red es hoy en día casi dinero desperdiciado, ya que todos trabajamos precisamente desde donde el jefe definitivamente no espera que lo hagamos.
Como ya sugerí en primavera en mi entrada de blog anterior, Cisco tiene, además de la aplicación VPN AnyConnect, interesantes tecnologías de seguridad basadas en Umbrella disponibles para proteger el tráfico de red a nivel de dispositivo final. Estas han sido renombradas y empaquetadas en forma de servicios Cisco+ Secure Connect, añadiendo la verificación de acceso realizada por Cisco Duo y el nuevo tráfico Zero Trust Access (ZTA), que es un salto al siguiente nivel en tecnologías VPN en comparación con AnyConnect. Cuando este conjunto se integra como servicio por suscripción en la gestión en la nube de Meraki, estamos hablando de algo interesante. Gestione desde su propia administración en la nube de dispositivos de red el acceso remoto y la seguridad según su arquitectura Zero Trust, para la protección de sus usuarios finales. También publique sus propias aplicaciones privadas para un uso seguro. Permita el acceso remoto seguro, sin las tradicionales conexiones VPN que deben activarse por separado.
¿Modelo FullCloud?
Estando completamente en el modelo de nube, ¿para qué necesitamos este tipo de enfoque de tecnología VPN Zero Trust Access? Prácticamente para nada. La vida completamente basada en la nube se puede implementar con el nivel de licencia más ligero de Cisco+ Secure Connect, donde los dispositivos finales están protegidos con la tecnología DNS de Umbrella. En su nivel básico, esta es una protección adicional completamente suficiente para la mayoría de las organizaciones pequeñas que utilizan exclusivamente servicios en la nube. Al menos yo prefiero implementar esa arquitectura Zero Trust en la nube de Microsoft y ocuparme del control de acceso a los servicios en la nube allí. No tiene sentido hacer todo varias veces.
¿Y si se desea una protección adicional para este tráfico en la nube? Umbrella también puede realizar descifrado SSL y examinar el tráfico con más profundidad. En este caso, el tráfico sale efectivamente de los servicios en la nube de Cisco, y la nube de Cisco actúa como una parte intermedia que examina el tráfico. Certificado Umbrella para dispositivos finales y permite que Umbrella descifre el tráfico SSL en el lado de la nube de Cisco, transmitiendo el tráfico reencriptado al dispositivo final. Esto permite examinar el contenido concreto del tráfico con más detalle, prevenir contenido malicioso y amenazas.
Por cierto, con las mismas reglas de Umbrella, con el tráfico SSL descifrado, también se pueden probar las características de «Tenant Control» si se necesitan reglas para el uso de sus propios servicios en la nube pensando en la prevención de pérdida de datos. Sin embargo, yo consideré perjudicial limitar el uso solo a nuestro propio tenant de Microsoft 365, ya que inmediatamente causó problemas con el uso de invitados en los servicios en la nube. Aquí se vio inmediatamente que demasiada seguridad también puede ser problemática y aumentar el mantenimiento, ¿pero tal vez funcione para alguna organización para la que la restricción de uso es vital?
¿Modelo híbrido?
¿Y si hubiera servicios propios en la red interna o externa donde el tráfico necesitara ser habilitado de forma segura y asegurar que las conexiones cumplan con los requisitos de seguridad de la propia organización? ¿Y cómo se integra todo esto con el entorno Meraki y el tráfico de acceso remoto? Bueno, este es el escenario de uso más amplio, donde se necesita precisamente ese nuevo modelo Zero Trust Access. Con él se pueden publicar destinos privados desde su propio entorno. El tráfico hacia estos puede requerir observaciones según la arquitectura Zero Trust relacionadas con los derechos del usuario y el dispositivo final que genera el tráfico. Se permite el tráfico de forma segura desde cualquier lugar hacia dentro de sus propias redes, o alternativamente también hacia sus propios servicios ubicados en la red externa.
También está disponible un acceso remoto basado en navegador independiente del dispositivo final – básicamente una implementación de Reverse Proxy que tiene en cuenta el inicio de sesión seguro y sus políticas definidas relacionadas con los requisitos del navegador. Lo bueno de esto es que se puede implementar completamente basado en SaaS, sin ningún servidor intermediario, basado en la nube. Y cuando hablamos de esa solución VPN Zero Trust Access de nueva generación, estamos hablando de una técnica interesante donde el tráfico se aísla en microtúneles específicos para cada servicio y donde el tráfico se puede manejar servicio por servicio de manera Zero Trust. Y el usuario final ya no necesita activar ningún túnel VPN por separado. Todo debería funcionar automáticamente en el dispositivo final según la política definida, con la seguridad verificada holísticamente por Duo. En mi opinión, este es el futuro del acceso remoto híbrido.
¡Para sus necesidades específicas!
En los últimos años, varios fabricantes han ofrecido diferentes soluciones SASE. Por ejemplo, además de estas soluciones de Cisco, está disponible, entre otras, la solución Microsoft Global Secure Access, por no mencionar otros fabricantes. ¿Cómo identificar entonces las mejores soluciones de acceso remoto y seguridad de red para sus propias necesidades? Esta es una buena pregunta que vale la pena considerar teniendo en cuenta sus soluciones actuales. Si su organización ya utiliza redes basadas en Cisco Meraki y tecnología SD-WAN, y necesita permitir acceso seguro a servicios de red interna, la solución puede ser muy clara. De igual manera, Umbrella proporciona una buena y casi insustituible protección adicional para nosotros, las pequeñas organizaciones que utilizamos exclusivamente servicios en la nube. Cisco+ Secure Connect destaca por su modelo basado en suscripción. En el mejor de los casos, no necesita ni un solo dispositivo Cisco en el backend y puede aprovechar la tecnología con el soporte de la nube de Cisco. Por otro lado, la tecnología también admite de manera ágil dispositivos de otros fabricantes en términos de acceso remoto, por lo que a menudo vale la pena al menos investigarlo.
Es recomendable abordar las diferentes necesidades caso por caso, y ahí queremos estar apoyando a sus departamentos de TI con nuestra experiencia. A veces la solución que protege y aísla el uso puede ser un escritorio virtual en la nube de Azure, otras veces es suficiente con un Umbrella ligero que añada seguridad diaria al tráfico de red basado en DNS. Tenga en cuenta también que al implementar diferentes soluciones de seguridad, siempre hay que considerar aspectos de protección de datos y legales, que no quise abordar en este blog. Pero cuando esté considerando soluciones de acceso remoto y quiera hacer las cosas de manera más moderna y segura, tírenos de la manga, pensemos juntos en el conjunto que mejor apoye a su organización.
Above IT es un socio y recurso para los departamentos de TI. Como cliente, obtiene experiencia genuina también en relación con las soluciones de seguridad de red, basada en nuestra sólida experiencia. Así que haga clic en el botón de abajo y reserve una breve cita para una reunión, y evaluaremos sus necesidades.