Seguridad
Lectura en 12 minutos

Confianza cero, seguridad de las aplicaciones Windows y GO-Global

Última actualización:
11 de abril de 2024
Volver al blog
Confianza cero, seguridad de las aplicaciones Windows y GO-Global

Confianza cero, seguridad de las aplicaciones Windows y GO-Global

El término "confianza cero" fue acuñado en 2010 por el analista de Forrester™ Research John Kindervag para describir un nuevo enfoque, considerablemente más estricto, de los controles de acceso de los usuarios y de la postura de ciberseguridad respecto a lo que entonces era práctica general. El término deriva de un proverbio ruso "confía, pero verifica", que fue adoptado y repetido a menudo por Ronald Reagan durante su presidencia.

El modelo de seguridad de confianza cero es un enfoque de la estrategia, el diseño y la implantación de sistemas informáticos. Al igual que el proverbio, la base de la confianza cero es que no se debe confiar por defecto en los usuarios y dispositivos, independientemente de su ubicación o de las relaciones de confianza previas.

Aunque el término se utilizó por primera vez en 2010, las arquitecturas informáticas de confianza cero tardaron una década en imponerse a las prácticas tradicionales de ciberseguridad y acceso de usuarios. Tradicionalmente, una vez que un usuario o dispositivo obtiene acceso a una red, se le suele conceder una confianza significativa y se le otorgan amplios privilegios de acceso.

Sin embargo, con el auge de la computación en nube, la proliferación de dispositivos móviles, el aumento de los tipos de red y los escenarios de trabajo desde cualquier lugar que se hicieron omnipresentes durante la pandemia, ese enfoque tradicional resultó tristemente insuficiente contra las amenazas avanzadas de hoy en día.

Los ISV de Windows® que entregan sus aplicaciones desde la nube a clientes ubicados en cualquier lugar han estado operando con este escenario durante años. Sin embargo, a medida que los ataques se han vuelto más sofisticados y generalizados, se ha vuelto supercrítico para los ISV de Windows proteger sus aplicaciones, los datos de los clientes y la infraestructura de entrega de aplicaciones. Aquí en GO-Global, hemos visto un aumento significativo en los ISV de Windows que incluyen GO-Global® como parte de una iniciativa de confianza cero para la seguridad de las aplicaciones de Windows.

¿Qué incluye una iniciativa de confianza cero y cómo puede ayudar GO-Global?

Principios de confianza cero

La seguridad perimetral era antaño el centro de atención de un plan integral de seguridad informática. Sin embargo, la confianza cero identifica 5 principios que las TI deben adoptar como parte de su estrategia.

Protege la superficie:

Consiste en todos los usuarios, dispositivos, aplicaciones, datos, servicios y la red en la que se transportan los datos sensibles de la empresa. Debido a la pandemia, los usuarios están ahora mucho más dispersos, por lo que la superficie de protección de una organización se extiende mucho más allá de la LAN corporativa.

Las herramientas de ciberseguridad de esta categoría incluyen las que van más allá del borde de la red para acercarse lo más posible a las aplicaciones, los datos y los dispositivos, de modo que los equipos de seguridad puedan identificar y priorizar las aplicaciones, los datos, los dispositivos y los usuarios que deben protegerse. Además, los arquitectos de seguridad deben conocer la ubicación de los recursos críticos y quién debe tener acceso a ellos para implantar la solución más adecuada.

Controles actuales de ciberseguridad:

Una vez trazada la superficie de protección, los equipos de seguridad y TI deben identificar los controles que ya existen. ¿Están desplegados en el lugar más adecuado? ¿Hay que redistribuirlos, reutilizarlos o sustituirlos?

Modernizar la arquitectura y aprovechar las nuevas herramientas de ciberseguridad:

Tras identificar la superficie de protección actualizada y el conjunto actual de herramientas de ciberseguridad, ¿qué debe aplicar una organización para colmar las lagunas o sustituir las herramientas obsoletas?

Entre los ejemplos de herramientas que se utilizan como parte de una modernización de confianza cero se incluyen la microsegmentación de la red y los controles de acceso seguro para aplicaciones y datos mediante el inicio de sesión único y la autenticación multifactor. Para identificar las amenazas emergentes, las nuevas herramientas de protección frente a amenazas avanzadas, muchas de ellas respaldadas por IA, pueden impulsar las políticas de seguridad allí donde sean necesarias a través del servicio de protección.

Aplicar una política detallada de confianza cero:

Tras implantar las tecnologías necesarias, los administradores de seguridad deben crear un estricto conjunto de normas basadas en el "mínimo privilegio" que permita el acceso sólo cuando sea absolutamente necesario. Estas políticas de mínimo privilegio describen exactamente qué usuarios y dispositivos deben tener acceso a qué aplicaciones y servicios, qué aplicaciones deben tener acceso a qué datos y cuándo se permite ese acceso.

Una vez creadas estas políticas, los administradores pueden configurar los dispositivos y herramientas para que se adhieran a las políticas establecidas.

Supervisión y alertas continuas:

Incluso con un marco de confianza cero, nada es completamente seguro. Los equipos de seguridad informática deben emplear herramientas de supervisión y alerta para determinar si las políticas funcionan y si el marco de seguridad existente ha desarrollado grietas que corren el riesgo de ser explotadas.

Cuando se produce una actividad maliciosa, el equipo debe detenerla inmediatamente y realizar un análisis de la causa raíz para identificar la causa y corregir los fallos que crearon la vulnerabilidad. Las herramientas de seguridad modernas, como la detección y respuesta en red, pueden automatizar gran parte de esta actividad, reduciendo el tiempo y la inversión en personal necesarios.

Retos para lograr la confianza cero

Aunque un modelo de seguridad de confianza cero puede proporcionar un ROI significativo, es difícil de implantar completamente. Según Gartner®, aunque muchas organizaciones han implantado un modelo de seguridad de confianza cero como parte de su estrategia de ciberseguridad, "solo el 1% de las organizaciones cuenta actualmente con un programa maduro que cumpla la definición de confianza cero."

Entre los retos fundamentales para lograr la plena implantación de una arquitectura de confianza cero, según la definición de Gartner, figuran los siguientes:

  • Incluso un pequeño fallo en la arquitectura del sistema puede invalidar el modelo de confianza cero.
  • No existe un producto único que permita la confianza cero, sino que cada organización debe determinar la combinación de soluciones y prácticas que funcionan con su infraestructura y arquitectura de TI para lograr la confianza cero.
  • Las organizaciones que dependen de sistemas y tecnología empresariales heredados no pueden adaptar un modelo de confianza cero debido a una infraestructura obsoleta.
  • Adoptar la confianza cero requiere un aumento inmediato de las aplicaciones, usuarios y dispositivos que deben supervisarse, un cumplimiento meticuloso de las actualizaciones y el mantenimiento del software y el hardware, y auditorías periódicas; muchas organizaciones no disponen del personal, la experiencia o el presupuesto necesarios para una implantación completa.
  • Como ya se ha señalado, una organización no puede limitarse a implantar la confianza cero y "darlo por bueno". Para implantar la confianza cero, el departamento de TI debe seguir un modelo de proceso continuo que recorra los principios enumerados anteriormente y, a continuación, vuelva a empezar, lo que requiere un enfoque implacable y difícil de mantener en el tiempo.
  • El modelo de confianza cero debe evolucionar continuamente para adaptarse a cómo cambian con el tiempo las amenazas, la tecnología y los objetivos y prácticas empresariales. Como ejemplo de la rapidez con la que puede cambiar el modelo, obsérvese que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) publicó su primer documento de referencia del Modelo de Madurez de Confianza Cero en agosto de 2021, publicó una revisión en marzo de 2022 y publicó una segunda revisión en abril de 2023.

Para muchas organizaciones, la plena implantación de una arquitectura de confianza cero, tal como la define Gartner, roza lo imposible debido al coste, el esfuerzo y los trastornos necesarios para conseguirla. Por ejemplo, una organización empresarial puede depender de una o más aplicaciones, sistemas o tecnologías heredadas críticas para el negocio para ayudar a dirigir la empresa y no poder seguir funcionando sin esa inversión heredada. Un ISV de Windows puede no tener el tiempo, el ancho de banda o el personal para garantizar la seguridad de la aplicación de Windows reescribiendo esa aplicación como una aplicación basada en web para permitir el SSO, o ser reacio a alienar potencialmente a los clientes que aman y dependen de la aplicación tal cual al sustituirla por una aplicación web.

Sin embargo, es absolutamente posible alcanzar un porcentaje significativo de cumplimiento con el modelo de confianza cero. Go-Global puede ayudarle.

Cómo apoya GO-Global el modelo de confianza cero

Los ISV de Windows pueden aprovechar GO-Global para alinearse con el modelo de confianza cero en varias áreas:

Proteger superficie/red

GO-Protocolo de Sesión Global:

La base de GO-Global es un protocolo propio de bajo ancho de banda para la conectividad a través de líneas serie denominado Protocolo RapidX (RXP). RXP es adaptativo, utiliza múltiples capas de compresión y está optimizado para garantizar la menor utilización posible del ancho de banda. Dado que RXP es de código cerrado, ofrece una defensa adicional contra los atacantes, en comparación con protocolos de código abierto como Microsoft® RDP, en los que se han encontrado y explotado debilidades de seguridad.

Cifrado de sesión de cliente:

Por defecto, GO-Global encripta las sesiones utilizando DES (DataEncryption Standard) con una clave de 56 bits de fuerza para todas las conexiones de sesión de cliente, con el fin de proteger contra los rastreadores de paquetes básicos y los clientes que interceptan las comunicaciones de datos sin procesar. Es rápido, fiable y ofrece un nivel inmediato de seguridad para las conexiones basadas en LAN a través de GO-Global.

Para las comunicaciones por Internet, GO-Global ofrece transporte basado en TLS con los siguientes algoritmos de cifrado: RC4 de 128 bits, 3DES de 168 bits y AES de 256 bits. Estos algoritmos de cifrado superiores requieren que el administrador aplique un certificado TLS firmado en el host, que puede generarse utilizando cualquier autoridad de certificación estándar. Los administradores también pueden generar certificados TLS de confianza para los hosts GO-Global a través de la ficha Security (Seguridad) del cuadro de diálogo Host Options (Opciones de host) en Admin Console (Consola de administración), donde el host GO-Global tiene una dirección DNS registrada públicamente. Esto permite a los administradores habilitar un cifrado fuerte y seguridad TLS sin adquirir un certificado de una Autoridad de Certificación de terceros.

Túnel de servidor proxy:

GO-Global admite Proxy Server Tunneling, también conocido como HTTP Connect. Esto permite a un usuario que accede a Internet a través de un servidor proxy web conectarse a los hosts GO-Global en Internet. Cuando utilice un servidor proxy, tenga en cuenta que, de forma predeterminada, todo el tráfico se deniega en todos los puertos del host, por lo que el host GO-Global debe configurarse para aceptar conexiones únicamente en el puerto 443.

Autenticación de Windows integrada:

Los administradores pueden mejorar la seguridad de la red de los usuarios finales de GO-Global desactivando la autenticación estándar (solicitud de nombre de usuario y contraseña) y activando la autenticación integrada de Windows en la ficha Autenticación del cuadro de diálogo Opciones de host de Admin Console. Con esta configuración, se deniega el acceso a los hosts GO-Global a todos los clientes que no sean Windows, por lo que los usuarios finales de GO-Global deben iniciar sesión en sus sistemas operativos cliente Windows con una cuenta de Active Directory en la que confíe el host GO-Global. Además, no se permite el acceso a las cuentas de usuario locales del host GO-Global. El usuario se autentica como miembro del grupo NETWORK y se restringe el acceso a los recursos de red desde el host GO-Global.

Proteger el acceso a superficies/usuarios y dispositivos

Como se ha señalado anteriormente, la confianza cero asume que las redes internas y externas están potencialmente comprometidas y que no se debe confiar automáticamente en ningún usuario o dispositivo. La confianza cero dicta que la verificación, autenticación y autorización de los usuarios y sus dispositivos deben aplicarse para que los usuarios puedan iniciar sesión y relacionarse con el sistema de TI, las aplicaciones y los datos.

He aquí cómo se define cada concepto en una arquitectura de confianza cero.

La verificación es el proceso de confirmar la exactitud de una afirmación, por ejemplo, la identidad de un usuario. Cuando un usuario introduce un nombre y una contraseña, el sistema verifica que ese nombre de usuario y esa contraseña están asociados a una cuenta concreta.

La autenticación consiste en proporcionar una prueba de identidad al acceder a un sistema. Antes de la confianza cero, la autenticación solía ser tan básica como un nombre de usuario y una contraseña. Con la confianza cero, la autenticación va más allá de los nombres de usuario y las contraseñas e incluye la autenticación multifactor (AMF), las contraseñas de un solo uso, los PIN, las tarjetas inteligentes y la biometría.

La autorización determina los derechos de acceso de un usuario, es decir, lo que un usuario o dispositivo puede acceder o hacer en el sistema; por ejemplo, las aplicaciones que un usuario tiene permiso para abrir y utilizar.

Las tecnologías de inicio de sesión único (SSO) y autenticación multifactor (MFA) son las que se aplican con más frecuencia cuando se habilita el acceso de usuarios y dispositivos en una arquitectura de confianza cero. GO-Global permite ambas.

La autenticación de dos factores GO-Global es una función de autenticación avanzada que proporciona una capa adicional de seguridad al solicitar opcionalmente a los usuarios que introduzcan un código de 6 dígitos de una aplicación de autenticación de teléfonos inteligentes (por ejemplo, Google Authenticator, Authy y Microsoft Authenticator), además de su nombre de usuario y contraseña. Esto garantiza que, incluso si la contraseña de un usuario se ve comprometida, el atacante no podrá acceder al sistema host sin tener acceso al teléfono desbloqueado del usuario. Esto hace inútiles las búsquedas de contraseñas por fuerza bruta y diccionario, lo que es especialmente crítico el trabajo remoto con clientes de escritorio remoto vulnerables se convierte en la norma. 2FA también reduce la carga de forzar una política de contraseñas complejas.

GO-Global+ SSO: La compatibilidad de GO-Global con OpenID Connect permite a los ISV de Windows utilizar proveedores de identidad modernos como Okta™, OneLogin, Microsoft Active Directory Federated Services (ADFS) y Microsoft Azure® AD Seamless SSO para habilitar el inicio de sesión único en hosts Windows de GO-Global®.

GO-Global permite al departamento de TI integrar cualquier proveedor de identidad compatible con OpenID Connect directamente en sus hosts, lo que les permite compartir hosts Windows entre los usuarios que ya autentican para las aplicaciones web. La compatibilidad de GO-Global con OpenID Connect elimina la necesidad de controladores de dominio en la red corporativa, de proveedores de credenciales personalizados para una autenticación sólida y de inicios de sesión interactivos.

Sin GO-Global, los ISV de Windows que quieran añadir SSO tendrían que adquirir soluciones caras y complejas como Citrix NetScaler® Unified Gateway integrado con Citrix Hypervisor®.

Proteger la seguridad de la superficie/aplicación

GO-Global no instala ni mantiene su propia base de datos de usuarios o aplicaciones. En su lugar, hereda todos los aspectos de seguridad de usuarios y datos del sistema operativo Windows Server®. Los parámetros de seguridad para el usuario y la aplicación se configuran a nivel del sistema operativo Windows® y se transmiten a GO-Global durante el proceso de inicio de sesión.

Además, GO-Global respeta los permisos de archivos, carpetas, recursos compartidos, impresoras y registros de Windows, que son fundamentales para la seguridad de cualquier sistema Windows. A menos que los usuarios finales dispongan de privilegios de administrador o elevados, no podrán acceder a las carpetas del sistema, corromper o romper el servidor, o causar amenazas a la seguridad.

GO-Global recomienda el uso de Políticas de Grupo de Windows para todas las configuraciones de seguridad del sistema, especialmente en una granja de servidores de carga balanceada, para asegurar la consistencia en todos los hosts.

Aplicación detallada de la política de confianza cero

Instalación básica y configuración predeterminada: GO-Global se instala fácilmente utilizando un único instalador ejecutable en el host que instalará o actualizará el software GO-Global. Una vez finalizada la instalación, debe reiniciarse el host para inicializar la configuración del registro y habilitar el software y los controladores GO-Global.

Por diseño, todas las opciones de configuración de GO-Global que permiten compartir recursos del servidor o del cliente están desactivadas. Además, GO-Global no publica aplicaciones predeterminadas. Se accede a las funciones de configuración, gestión y seguridad del host GO-Global a través de Admin Console en el menú Host Options (Opciones de host). Los administradores pueden publicar aplicaciones, supervisar la actividad de los usuarios y del host y activar funciones como la impresión del cliente, el portapapeles del cliente, el cifrado y la autenticación mediante este menú.

Si usted es un ISV de Windows que busca soluciones para habilitar una arquitectura de confianza cero para proporcionar sus aplicaciones a los clientes, considere GO-Global y su sistema de seguridad de múltiples capas, incluyendo SSO y MFA.

Para ver los precios de GO-Global para usuarios simultáneos con SSO y calcular su precio estimado de GO-Global, haga clic aquí.

Para solicitar una demostración, haga clic aquí; para una prueba gratuita de 30 días de GO-Global, haga clic aquí.

Prueba gratuita de 30 días
Solicitar una demostración
Autor
Nannette Vilushis
Director de Marketing

Pruebe GO-Global

Una solución sencilla, fácil de usar y rentable

Prueba gratuita de 30 días
Solicitar una demostración

Puestos relacionados

Ver todas las entradas
Vulnerabilidad Citrix Bleed
Seguridad
Lectura en 5 minutos
¿Es seguro el RDP?
Seguridad
Lectura en 5 minutos
¿Es posible el SSO de aplicaciones Windows?
Seguridad
Lectura en 5 minutos

Reduzca el coste y la complejidad de su aplicación Windows

Suscríbase a nuestro boletín
Gracias por unirse a nuestro boletín.
¡Uy! Algo ha ido mal al enviar el formulario.