Wednesday, June 3, 2009

Una palabra dificil : De-perimeterisation

Primero fue el Mainframe




Despues fueron las LAN



Se incorporaron las sucursales remotas y los accesos discados



Llego internet y nos abrimos al exterior



Los costos de los enlaces comenzaron a bajar de precio y conectamos las sucursales por VPN


Surgieron los usuarios mobiles, y el wifi

Los negocios crecen, surge el teletrabajo, crece la integracion con partners quienes se manejan en un ambiente que no controlamos.



Ahora se suman los dispositivos mobiles, la web 2.0, virtualizacion de ambientes.


El concepto de de-perimeterisation se refiere a la perdida de frontera entre el ambiente corporativo y el ambiente externo.

Como vimos desde el mainframe hasta la era de la virtualizacion, la seguridad cada vez enfrenta retos nuevos.

Cuando años atras conectamos la empresa a internet, el firewall se podia representar asi :


Quince años después, la realidad del firewall respecto a la seguridad que provee es esto :




Hoy en dia tenemos usuarios mobiles que entran y salen de las oficinas, se conectan con notebooks desde cybercafes o desde aeropuertos, contratistas que trabajan en nuestras oficinas, partners que nos prestan servicios de call center en ambientes externos, usuarios con Pendrives, Teléfonos de ultima generación con Gigabytes de capacidad de almacenamiento.


Jerico Forum es un grupo de trabajo dedicado a encontrar una respuesta a estos nuevos desafios.

Su vison es llevar la proteccion lo mas cerca posible de los datos.

  • Los firewalls deben tener reglas simples para filtrar ataques de script-kiddies
  • Las reglas deben ser faciles de mantener
  • Las VPN deben usarse solamente para aplicaciones puntuales
  • Proteger aplicaciones y sistemas no redes.

La implementación se realizaría en cuatro etapas :

Fase 1
– Hoy: Mover afuera el perímetro
Todo lo que no pertenezca a la empresa debe estar afuera del perimetro de los sistemas de la empresa.

Es decir que las comunicaciones deben pasar por un Firewall.

Fase 2

– Corto Plazo: Flexibilizar la seguridad del perímetro.
Implementar NAC, Encripcion a nivel protocolo

Flexibilizar la reglas de acceso, pero incrementar el control de los accesos mediante Networl Access Control y encripcion de los protocolos ( HTTP, SSH )

Fase 3
– Mediano Plazo: Sacar el perímetro
Autenticación a nivel de coneccion, encripcion de datos,

Solo esta permitido el acceso al server si tiene derechos sobre los datos. Implementación de Firewall de Aplicaciones.

Fase 4
– Largo Plazo: Autenticación a nivel de Datos
El acceso a los datos estara dado a las personas con derechos sobre los
mismos. ( Hoy los accesos estan a nivel de aplicación )

Como vemos en el siguiente grafico, la idea es establecer PEP o Punto de aplicación de Políticas. Podemos decir que la idea de esto es la funcion que cumplen los NAC.





Esto se viene proponiendo desde el 2004, algunos de los puntos implican el uso de tecnologias bastante complejas.

Para ambientes no muy complejos, tal vez la solucion sea un mix entre la solucion propuesta por Jerico Forum y las tecnologias actuales.

Lo que si es claro que la desperimetrizacion ya ocurrio y las soluciones con las que contamos hoy son para problemas del siglo pasado.


Estas son algunas de las presentaciones que encontré al respecto.

Presentacion 1

Presentacion 2

No comments: