Gestión de identidades y accesos como servicio (IAMaaS) en entornos in situ y en la nube: Prácticas recomendadas para mantener la seguridad y el control

Las empresas utilizan tanto recursos in situ como externosLa mayoría de las organizaciones desea aprovechar la nube, pero también reconoce que migrar todas sus aplicaciones a la vez no siempre es práctico. Al adoptar un enfoque prudente y calculado, buscan modos de utilizar las aplicaciones y la infraestructura basadas en la nube a la vez que mantienen algunas aplicaciones in situ. La arquitectura resultante se conoce como “entorno híbrido” porque incluye tanto recursos in situ como basados en la nube.

Uno de los principales retos para las organizaciones que se encuentran en esta situación es proporcionar a los usuarios la flexibilidad para moverse por el entorno sin problemas a la vez que mantienen los niveles de seguridad adecuados o, más específicamente, garantizan un control y una política de seguridad coherentes entre las aplicaciones in situ y los servicios en la nube.

El perímetro de red está desapareciendoCuando las organizaciones aprovechan simultáneamente las aplicaciones a través de varios modelos de TI, como las aplicaciones in situ y los servicios basados en SaaS, la noción tradicional de perímetro de red sencillamente deja de existir. Y como consecuencia, nuestras ideas sobre cómo gestionamos la seguridad y la identidad deben cambiar.

03

SaaS

Empleadoque utiliza

dispositivos móviles

Empleadointerno

Plataformas/aplicaciones en la nube y servicios web

Aplicaciones empresarialesIn situ

Usuariopartner

Cliente

04

La identidad es el nuevo perímetro de redAsí pues, ¿cómo podemos garantizar unos niveles de seguridad adecuados en este entorno híbrido? La clave es utilizar un servicio de gestión de identidades y accesos (IAM) que proporcione acceso a todos los servicios, independientemente del lugar en el que se encuentren. Este enfoque garantiza que todas las funciones relacionadas con la identidad, como la autenticación y, en definitiva, la autorización, se gestionen de manera coherente en la empresa. En este nuevo modelo, la identidad es el nuevo perímetro y se amplía a todos los usuarios: empleados, partners y clientes por igual.

SaaS

Empleadointerno

Empleadointerno

La identidad es elnuevo perímetro

Autenticación

Plataformas/aplicaciones en la nube y servicios web

Aplicaciones empresarialesIn situ

Usuariopartner

Cliente

05

La identidad es el nuevo perímetro de red continuación

¿Cómo es posible hacer realidad una utopía de seguridad como esta? Para evitar crear unidades aisladas de identidades independientes únicamente para los servicios basados en la nube (el resultado de las cuentas únicas en cada uno de estos proveedores y aplicaciones), las empresas deberían buscar un servicio de IAM centralizado que pueda gestionar todos los accesos y las autenticaciones de los usuarios antes de que estos lleguen a cualquier aplicación, tanto in situ como en la nube. Para los empleados, la autenticación se realiza con respecto al directorio de la empresa. Para los partners, podría implicar el uso de la federación de identidades a través de estándares como SAML, que permiten a los usuarios de una organización acceder de forma sencilla y segura a los datos y las aplicaciones de otras organizaciones, así como a los servicios en la nube, a través de un inicio de sesión único en esta, evitando así la necesidad de mantener otra lista de cuentas de usuario.

Empleadoque utiliza dispositivos móviles

Empleadointerno

Se introduce aquí

Identidad federada para redes de partners empresariales

Proveedores de identidades de consumo para aplicaciones de bajo riesgo

Autenticación adaptable de varios factores para transacciones de alto riesgo

Usuariopartner

Cliente

SAML, WSFED

OpenID, OAuth

OTP, modelo de riesgos

06

La identidad es el nuevo perímetro de red continuación

Para los clientes que ya tienen una identidad social digital (como Facebook o Google) y que desean aprovecharla, los estándares como OpenID y OAuth les permitirían acceder a recursos en la Web mediante estas credenciales y no exigirían pasos de registro de usuario adicionales. Para los empleados especiales o las transacciones de gran valor, se necesitaría un nivel de autenticación más elevado para permitir el acceso del usuario a un servicio en particular. Por ejemplo, para los datos con un nivel de confidencialidad muy alto asociado con una aplicación de RR. HH. basada en SaaS. Si el nivel necesario de autenticación requerida no es nativo de un entorno de SaaS específico, la empresa podría necesitar un paso de autenticación adicional, a través de un servicio de identidad centralizado, para permitir el acceso.

Los proveedores de aplicaciones y servicios en la nube ya no se encargan de autenticar usuarios

Aprovisionamiento de cuentas (cuando procede) para aplicaciones interdominio

SAML, OAuth

SCIMSaaS

Plataformas/aplicaciones en la nube y servicios web

Aplicaciones empresarialesin situ

Propiciar un cambio de mentalidad en materia de seguridad que se ajuste a la realidad actualEn un modelo estrictamente in situ, el departamento de TI se centra en crear infraestructuras físicas (servidores, capas de virtualización, sistemas operativos y aplicaciones middleware) y en ofrecer seguridad en toda la pila.

Sin embargo, con un modelo híbrido, deben cambiar su perspectiva y estilo para considerar todos los componentes de TI (basados en la nube o no) como servicios disponibles para que los utilice la empresa. En consecuencia, el departamento de seguridad de TI debe garantizar una protección uniforme entre las organizaciones y todas las instancias de aplicaciones en las que hay datos confidenciales (el centro de datos fragmentado y ampliado).

De entrada, puede parecer que la función del departamento de seguridad de TI se ha visto reducida significativamente por este proceso. Sin embargo, la realidad es que permitir de forma segura el acceso y la interacción de los servicios en la nube proporciona mucho más valor para la empresa. Con ello, el departamento de TI está permitiendo a la organización avanzar más rápidamente. Además, están facilitando la adopción de las capacidades de TI orientadas al consumidor que los empleados solicitan. En otras palabras, la función del departamento de seguridad de TI pasa a ocupar el centro de las actividades de planificación diarias de una empresa al utilizar más servicios basados en la nube.

07

Creación y protección de infraestructuras Negociación de servicios empresariales

Aplicación Aplicación

Sistema operativo Sistema operativo

Virtualización Virtualización

Base de datos Base de datosMiddleware Middleware

Red

Servicio empresarial

Servicio empresarial

Servicio empresarial

08

Gestión de identidades y accesos integradaEntender y aceptar que existe la necesidad de contar con un servicio de identidades centralizado que abarque recursos in situ y externos es el primer paso básico que hay que dar. Ahora bien, el siguiente paso, que consiste en evaluar cómo implementar esta solución, es igualmente importante.

CA Secure Cloud se ha diseñado tanto como servicio independiente como para utilizarse junto con componentes de IAM in situ para admitir entornos híbridos. Es apto para diversos casos de uso, como imponer como requisito la autenticación centralizada y previa de los usuarios, empleados y partners para poder acceder a los componentes in situ o a los servicios en la nube mediante un inicio de sesión único federado.

A medida que los entornos híbridos vayan convirtiéndose en la norma, será fundamental contar con soluciones que puedan funcionar en entornos in situ y en la nube. Además, resultarán especialmente atractivas para aquellas empresas que carecen de los recursos y la infraestructura necesarios para implementar una seguridad local amplia.

Servicio empresarial Servicio empresarial Servicio empresarial Servicio empresarial

Software in situ Servicio en la nube

o

Directorio de identidades

CA Secure Cloud– (Des)aprovisionamiento,

autenticación avanzada, inicio de sesión único, federación

– Generación de informes de uso y auditoría de conformidad

– Protección de datos– Puente a la nube privada

CA Secure Cloud– (Des)aprovisionamiento,

autenticación avanzada, inicio de sesión único, federación

– Generación de informes de uso y auditoría de conformidad

– Protección de datos– Puente a la nube privada

Directorio de identidades

09

Ejemplos prácticos de prácticas recomendadas de IAM híbridaA continuación, se ofrecen casos de ejemplo que ilustran cómo puede una organización implementar un servicio de identidades basado en prácticas recomendadas.

09

10

Inicio de sesión único (SSO) seguro

Este es un ejemplo del proceso de inicio de sesión único con el que un empleado accede a aplicaciones in situ y basadas en la nube. Este método consiste en utilizar un inicio de sesión único federado para conceder un acceso práctico a los diferentes tipos de aplicaciones.

En este caso de ejemplo, el usuario hace lo siguiente:– Se autentica en el directorio o la base de datos in situ.– Inicia un sitio web de intranet.– Utiliza el SSO para acceder al centro IAM

basado en la nube.– Visualiza una página de inicio con iconos que representan

los servicios disponibles.– Se conecta sin problemas a varios servicios y aplicaciones.

2

1

11

Solicitud de acceso simple y aprobación de nuevas aplicacionesEn este ejemplo, se ilustra el sencillo proceso que siguen los usuarios finales para solicitar el acceso a otras aplicaciones en la página de inicio de sesión único.

En este caso de ejemplo, el usuario hace lo siguiente:– Se autentica en la instancia de CA Secure Cloud.– Hace clic en My Request (Mi solicitud) y selecciona la aplicación que desea de una lista

de servicios disponibles.– Inicia la solicitud de flujo de trabajo back-end al administrador para que apruebe el acceso a nuevos servicios.– Una vez aprobado, se vuelve a autenticar en CA Secure Cloud y se le proporciona el SSO para

el nuevo servicio.

1

23

12

Gestión básica de usuariosIdeal cuando el número de usuarios es elevado. Este ejemplo ilustra los sencillos procesos de autoservicio para la gestión de usuarios, incluidas la actualización de la información del perfil o la creación de una nueva contraseña.

En este caso de ejemplo, el usuario hace lo siguiente:– Se autentica en la instancia de CA Secure Cloud.– Hace clic en el icono de My Profile (Mi perfil) y realiza cambios.– Hace clic en el icono de “My Password” (Mi contraseña)

e introduce una nueva contraseña.– Recibe un correo electrónico en el que se le comunica que

la contraseña se ha cambiado correctamente.

1

2

3

13

Acerca de las soluciones de CA TechnologiesCA Secure Cloud ofrece soluciones de seguridad en la nube con las que las organizaciones pueden gestionar más eficazmente todo el ciclo de identidad en varios tipos de aplicaciones. Los servicios de CA Secure Cloud permiten a las organizaciones controlar de forma centralizada las identidades de los usuarios y su acceso a los servicios de SaaS y a las aplicaciones in situ en un entorno híbrido con una misma política de seguridad uniforme. Esto ayuda a las organizaciones a utilizar la nube con confianza y a adoptar el mejor método basado en las aplicaciones in situ y en las de SaaS existentes, además de a reducir los costes administrativos de la seguridad.

Gracias a estos servicios, organizaciones de todo tipo y tamaño disfrutan de una mejora de la eficacia mientras siguen protegiendo sus recursos digitales cruciales, independientemente de que se encuentren en las instalaciones o en la nube. Gracias a ello, puede disfrutarse de las siguientes ventajas:

– Reducción del riesgo de seguridad para todos los sistemas, aplicaciones e información.

– Reducción de los gastos administrativos y aumento de la eficacia.

– Mejora de la agilidad de TI mediante opciones de implementación flexible en entornos in situ y en la nube.

– Capacidad de pasar a la nube con una planificación cómoda.

Copyright © 2014 CA. Todos los derechos reservados. Microsoft y Office 365 son marcas comerciales registradas o marcas registradas de Microsoft Corporation en los EE. UU. u otros países. Todas las marcas, nombres comerciales, logotipos y marcas de servicio a los que se hace referencia en este documento pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo. CA no se responsabiliza de la precisión e integridad de la información. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación “tal cual”, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comerciabilidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños.

CS200-86768

CA Technologies (NASDAQ: CA) crea software que impulsa la transformación de las empresas y les permite aprovechar las oportunidades de la economía de las aplicaciones. El software se encuentra en el corazón de cada empresa, sea cual sea su sector. Desde la planificación hasta la gestión y la seguridad, pasando por el desarrollo, CA trabaja con empresas de todo el mundo para cambiar la forma en que vivimos, realizamos transacciones y nos comunicamos, ya sea a través de la nube pública, la nube privada, plataformas móviles, entornos de mainframe o entornos distribuidos. Más información en ca.com/es.

Para obtener más información, visite ca.com/es/securecenter.