Quan es tracta de protegir la seva xarxa, la identitat és el nou perímetre

Amb l'auge de la computació al núvol, DevOps, IoT i els empleats que accedeixen als sistemes amb tota mena de dispositius des de tot el món, el "perímetre" de la xarxa s'ha tornat difícil de definir. Com a resposta, les empreses estan canviant la seva atenció cap a l'autenticació, allunyant-se dels mètodes tradicionals de seguretat perimetral en favor d'una tecnologia sòlida centrada en la identitat, com la infraestructura de clau pública (PKI), molt sovint en forma de certificats digitals.

La TI ha canviat dràsticament

Per entendre la dimensió del canvi cap a la identitat digital, només cal pensar en com solien ser els departaments de TI. Fins i tot fa només 10 anys, els departaments de TI gaudien d'una propietat molt superior sobre tots els nivells d'accés. Les empreses eren propietàries de les seves pròpies instal·lacions de centres operatius, maquinari de TI i màquines client que els empleats utilitzaven, moltes de les quals ni tan sols sortien de l'edifici. No hi havia dispositius mòbils BYOD, i les persones que no eren empleats, com contractistes i clients, rarament accedien a les xarxes de l'empresa. Tot el que estava relacionat amb TI estava controlat per un únic departament, que, en última instància, responia davant el CIO.

Les coses són considerablement diferents avui dia. Atès que la transformació digital ha afectat tots els racons de l'empresa, pràcticament tots els departaments i LOB estan desenvolupant aplicacions per a les seves pròpies operacions comercials. Això vol dir que hi ha grups de desenvolupament repartits per tota l'empresa, que podrien informar gairebé qualsevol persona. Aquests desenvolupadors ni tan sols són necessàriament empleats, ja que poden ser consultors o proveïdors compensats completament fora del pressupost de TI tradicional.

Els desenvolupadors estan creant aplicacions que interactuen amb sistemes sense tenir cap coneixement ni interès en la seva ubicació física o propietat. Els empleats solen utilitzar dispositius personals, com ara telèfons i ordinadors, i l'empresa té poc control sobre la seva seguretat. Amb un ecosistema tan descentralitzat, com es pot establir un límit a la xarxa? Com s'assegura que aquestes aplicacions i equips de treball formen una barrera segura contra atacs externs? Si no es prenen mesures, les possibilitats de violacions, robatori de dades i interrupcions del negoci són alarmantment altes.

La identitat és el futur

En l'entorn empresarial actual, la identitat és el nou perímetre de seguretat. Si cada dispositiu, usuari, servidor, procés i IoT té una identitat única, aquestes identitats es converteixen en el nou "perímetre" per evitar l'accés no autoritzat a dades i sistemes. Negant l'accés a qualsevol dispositiu o procés que no tingui els permisos correctes, es mantenen allunyats els actors no autoritzats i es permet continuar fent els processos comercials.

I les contrasenyes no són prou bones. Moltes contrasenyes es poden endevinar i hi ha mètodes per robar contrasenyes;  en una bretxa, les credencials són una de les primeres coses que buscarà un intrús. Si bé les empreses poden implementar mètodes com l'autenticació multifactor (MFA) per ajudar una mica, ningú vol que se li bloquegi l'accés a tots els comptes si s'ha deixat el seu telèfon en un bar. 

Al món actual, la "vora" (edge) de la xarxa és en cada element lògic discret. Cada “entitat” digital connectada a la xarxa necessita la seva pròpia identitat. Cada dispositiu mòbil, cada contenidor DevOps i cada dispositiu IoT necessita un certificat digital únic. Cada usuari necessita una credencial sòlida, controlada per TI central i vinculada a accessos i permisos personalitzats per a la funció de cada usuari a l'empresa o l'ecosistema.

La quantitat d'entitats que requereixen certificats augmenta exponencialment amb les arquitectures informàtiques modernes. Per exemple, els entorns DevOps necessiten un certificat únic per a cada contenidor creat al núvol, ja que, si no, es podria injectar un contenidor fals a l'entorn i robar dades, atorgar accés no autoritzat, interrompre processos o generar altres resultats negatius. Com que un contenidor pot necessitar només uns minuts o segons per complir la seva funció i llavors es pot eliminar, el volum total de certificats serà molt superior que en una arquitectura informàtica tradicional.

De manera similar, si els intrusos poden inserir-se en un entorn d'IoT i accedir a les comunicacions d'aquesta xarxa fent-se passar per un dispositiu vàlid, també poden robar informació i interrompre les operacions. Aquests són els tipus de debilitats que busquen els atacants. 

El nou perímetre de PKI

Una plataforma PKI moderna pot assignar, rastrejar i administrar els cicles de vida dels certificats per a cada dispositiu. El valor d'aquesta funcionalitat ha estat obvi per a les indústries d'alt risc, com les finances, però, a mesura que la tecnologia d'aprovisionament ha evolucionat i els mètodes d'autenticació febles posen en perill les xarxes, PKI ha servit com a solució de confiança i segura en totes les indústries. PKI és més freqüent del que alguns poden pensar i s'ha adaptat a l'empresa moderna. Les iteracions anteriors de la tecnologia PKI eren suficients en una sola pila de tecnologia, com Windows, però ara s'han d'integrar amb el núvol i els dispositius mòbils, així com amb les seves diverses plataformes i sistemes operatius.

Per implementar PKI de manera eficient i completa com el nou perímetre, les empreses hauran de disposar d'una plataforma d'administració de certificats que pugui admetre la gamma completa de casos d'ús empresarial. La visibilitat de tots els tipus i usos de certificats, tant públics com privats, és fonamental. Igual d'important és la tecnologia de suport que permet automatitzar la implementació, el monitoratge i la renovació. 

A mesura que els equips vagin protegint les seves xarxes ara i en el futur, la identitat digital es convertirà cada vegada més en el nou perímetre empresarial.