¿Qué es BeyondCorp?
BeyondCorp® es una arquitectura de ciberseguridad desarrollada en Google que traslada el control de acceso del perímetro tradicional de la red a los dispositivos y usuarios individuales. El objetivo es permitir a los usuarios trabajar de forma segura en cualquier momento, en cualquier lugar y en cualquier dispositivo sin tener que utilizar una red privada virtual, o VPN, para acceder a los recursos de una organización.
Por qué las organizaciones utilizan BeyondCorp
Hace años, las organizaciones guardaban todas sus aplicaciones y datos en centros de datos in situ. El modelo de seguridad que utilizaban se basaba en la idea de que todo lo malo estaba fuera del perímetro y todo lo que estaba dentro de él era de fiar. Sin embargo, los atacantes que burlaron las protecciones perimetrales pudieron avanzar rápidamente sobre los objetivos con movimientos laterales, encontrándose con pocos protocolos de protección.
BeyondCorp cobró vida al plantearse la pregunta: "¿Cómo diseñaría su seguridad si no se pudiera confiar en nada?". En otras palabras, ¿cómo protegería sus aplicaciones si su red interna fuera tan poco fiable como una red pública?
Esto llevó a muchas organizaciones a replantearse por completo su enfoque de la seguridad y a buscar nuevas formas de aplicar de forma coherente las políticas de seguridad en entornos múltiples y dispares, como centros de datos en las instalaciones; servicios en la nube, como Google Cloud Platform (GCP™), Amazon Web Services (AWS®) y Microsoft Azure®; aplicaciones de software como servicio, como Box.com y Office 365®; y otros.
Cómo funciona BeyondCorp
Los dos principios más importantes de BeyondCorp son:
Control del acceso a la red y a las aplicaciones: En BeyondCorp, todas las decisiones sobre si dar o no acceso a una persona o dispositivo a una red se toman a través de un motor de control de acceso. Este motor se sitúa frente a cada solicitud de red y aplica reglas y políticas de acceso basadas en el contexto de cada solicitud -como la identidad del usuario, la información del dispositivo y la ubicación- y la cantidad de datos sensibles de una aplicación. Proporciona a las organizaciones una forma automatizada y escalable de verificar la identidad de un usuario, confirmar que es un usuario autorizado y aplicar reglas y políticas de acceso. Sin embargo, el control de acceso por sí solo no basta para garantizar una seguridad eficaz.
Visibilidad: Una vez que un usuario tiene acceso a la red o a las aplicaciones de una organización, ésta debe ver e inspeccionar continuamente todo el tráfico para identificar cualquier actividad no autorizada o contenido malicioso. De lo contrario, un atacante puede moverse fácilmente dentro de la red y tomar los datos que quiera sin que nadie se entere.
Cómo se relaciona BeyondCorp con Confianza Cero
Mucha gente está familiarizada con Zero Trust, un modelo de seguridad informática que elimina el concepto de confianza de una red para que una organización pueda proteger mejor sus activos. Con Confianza Cero y Confianza Cero para la Nube, todo el mundo -ya esté dentro o fuera de una organización determinada- está obligado a pasar por varios pasos de seguridad (según la definición de Forrester Research, una importante empresa de asesoría):
Permita a los usuarios acceder de forma segura a todos los recursos, independientemente de su ubicación
Utilice una estrategia de mínimos privilegios y aplique estrictamente el control de acceso
Inspeccione y registre todo el tráfico
BeyondCorp proporciona una base para construir una implementación de Confianza Cero. El tercer elemento -la inspección y el registro de todo el tráfico- desempeña un papel importante para establecer la Confianza Cero, porque no se debe presumir que todo el tráfico procedente de un endpoint es digno de confianza o seguro para los datos. Por esta razón, las organizaciones que implementan BeyondCorp también deberían considerar la implementación de principios de Confianza Cero para reducir aún más el riesgo.
Lecturas complementarias
