Debido a la explosión de la movilidad, las organizaciones están llegando a una encrucijada a la hora de planificar un acceso seguro y flexible, un equilibrio difícil debido a la variedad de usuarios y dispositivos con ansias de conectividad. Los departamentos de TI quieren ofrecer a los usuarios la libertad de conectarse y desplazarse, sin embargo, esto no tiene que hacerse a expensas de la seguridad de la red y de la productividad de los empleados.
A medida que sigue creciendo la demanda de movilidad, y que wifi está sustituyendo a Ethernet como capa de acceso principal, muchas organizaciones están enfrentándose a nuevos retos de seguridad. En este contexto, es especialmente relevante la demanda de acceso por parte de un creciente número de dispositivos “invitados” y de los que se incorporan a través del denominado BYOD (bring your own device).
Se estima que, para 2022, el mercado global de BYOD superará los 350 000 millones de dólares, en comparación con los 9415 millones de dólares en 2014. Pero estas conexiones inalámbricas no son solo de los dispositivos de usuario, sino que en muchos casos llegan a través de una amplia gama de sistemas y servicios inteligentes —Internet of Things— que requieren acceso a la red para una mejor gestión, control o eficiencia. Esto incluye, entre otros, sistemas de alumbrado, aire acondicionado o vigilancia. En 2020 se estima que la base instalada de dispositivos IoT crezca para alcanzar los 31 000 millones en todo el mundo, cifra que llegará hasta 75 400 millones en 2025.
Para mantener el control de la infraestructura de movilidad, poniendo a la vez atención en la experiencia de usuario, es clave adoptar un enfoque global a la hora de proteger el acceso a la red. Este tipo de escenario tiene que abarcar el onboarding, la autenticación y el control de acceso de todos los dispositivos en la red, tanto para los corporativos (incluyendo los de IoT) como para los “visitantes”, ya sean cableados o inalámbricos.
Resulta clave adoptar un enfoque global
a la hora de proteger el acceso a la red
Contexto y control
El onboarding de dispositivos a la red es un reto en sí mismo. Cada organización es diferente y, por lo tanto, también lo son los escenarios y flujos de trabajo que prefiere para realizar esta tarea en función del tipo de dispositivo. Por ejemplo, los invitados a menudo se incorporan a la red mediante CWP (captive web portal), quizá con la seguridad añadida del patrocinio de empleados. En cualquier caso, la incorporación de cientos o miles de ordenadores portátiles corporativos requiere procesos automatizados, con la seguridad añadida que se necesita para un amplio acceso corporativo.
Una vez incorporados a la red, los usuarios necesitan acceder a la información y a las aplicaciones, siguiendo las políticas asignadas a sus diferentes perfiles. Por ejemplo, un ordenador portátil corporativo debería tener derechos de acceso muy diferentes a los que pueda tener un dispositivo IoT (por ejemplo, una bombilla conectada). Los dispositivos solo deberían tener acceso a las aplicaciones y servicios autorizados, en momentos definidos del día y desde determinadas ubicaciones del campus corporativo. Para el ordenador portátil de un invitado, esto podría implicar limitar el acceso a Internet a las horas laborables (por ejemplo, de 9:00 h a 17:00 h) y solo desde las salas de reuniones.
Un enfoque como este, basado en el contexto, significa que las organizaciones deben proporcionar métodos de autenticación que varían en función del tipo de usuario y del dispositivo que realiza la conexión. El método elegido tiene que proporcionar de forma obligatoria la identidad, que es lo que permite tener un contexto, sin el cual no se puede tener control.
Pero también hay que proteger las redes de acceso frente a vulnerabilidades a las que pueden ser expuestas mediante estos dispositivos cada vez más, son objetivo de amenazas de seguridad. Si no se cumplen determinados requisitos —relacionados con versiones de sistema operativo, determinadas aplicaciones o la ausencia de parches de seguridad apropiados— se tiene que denegar el acceso a la red y proporcionar al usuario instrucciones para solucionar las deficiencias identificadas.
Por último, las organizaciones buscan soluciones que sean sencillas de configurar y administrar, que —preferiblemente— no requieran contratar a empleados o consultores especializados. El problema es que sencillo y seguro no son términos que suelan aparecer asociados.
La respuesta ante estos retos llega a través de las soluciones de gestión de acceso seguro
Gestión de acceso seguro
La respuesta ante estos retos llega a través de las soluciones de gestión de acceso seguro. Según un informe de Markets and Markets, se estima que el mercado de NAC (network access control) se incrementará desde los 681,3 millones de dólares en 2015 hasta los 2645,5 millones en 2020, a una tasa de crecimiento anual compuesta del 31,17%.
Nuestra propuesta para este mercado ha visto la luz durante este segundo trimestre de 2018. Aerohive A3 es una innovadora solución de aprovisionamiento, perfilado y gestión de acceso de dispositivos conectados, incluyendo IoT y BYOD. Esta herramienta incluye capacidades para ofrecer una solución de acceso completa y segura, así como el aprovisionamiento automático de dispositivos, el perfilado y el control de acceso de red, el onboarding de autoservicio e, incluso, el acceso de invitados. Todo ello sin las complejidades operativas que se suelen encontrar en este tipo de soluciones.
Aunque será compatible con los equipos de red de los principales fabricantes, dispondrá de una funcionalidad de valor añadido única cuando se despliegue como parte de la plataforma SD-LAN / SD-WAN de Aerohive, además de la gestión integrada PPSK (private pre-shared key) y la gestión centralizada a través de HiveManager.
Por otra parte, A3 de Aerohive puede ser desplegada en contextos on-premise, de forma similar a las soluciones de AAA y de acceso más tradicionales y, en el futuro, también como un servicio en la nube accesible desde la plataforma de servicios de Aerohive.
El objetivo es proporcionar un producto de cloud networking completo e integrado, mediante el que ofrecer una solución de seguridad de red y gestión de clientes efectiva, combinada con flujos de trabajos dinámicos y una interfaz de usuario intuitiva.