Recientemente, un cliente de Fortune 500 nos pidió que migráramos 5 millones de líneas de políticas de URL a nuestra solución en la nube. Esta configuración incluía sitios web de uso frecuente como Office.com, Linkedin.com y Box.com, así como cientos de otras URLs y dominios que ya no estaban accesibles o registrados.
Nuestra primera pregunta al cliente fue: "¿Ayúdenos a entender por qué quiere hacer eso?", en el contexto de la migración de toda su configuración. La realidad es que las empresas no siempre están al tanto de las últimas capacidades de la tecnología, especialmente cuando se trata de un entorno acelerado como la nube. Después de todo, estás dirigiendo un negocio, no construyendo sistemas de seguridad informática.
Lo más probable es que usted aún tenga un montón de equipos de seguridad en su sede, centros de datos y sucursales. ¿Se ha parado a preguntarse por qué? Nuestra investigación interna ha demostrado que las grandes empresas utilizan y dan soporte al equipamiento de seguridad, con un promedio de 35 fabricantes diferentes en todo el Global 2000. Teniendo en cuenta que la mayoría de su plantilla es ahora remota (y lo será por un tiempo), ¿se ha preguntado por qué sigue manteniendo una tecnología VPN tradicional que redirecciona de vuelta el tráfico a sus oficinas y consume ancho de banda adicional? En su stack de seguridad, hay una alta probabilidad de que tenga uno o muchos servidores proxy, y en algunos casos, este es el único camino a Internet para sus empleados. ¿Sigue siendo esta arquitectura relevante para su negocio hoy en día? ¿O está tratando de meter con calzador una tecnología anticuada en un mundo de nubes?
En las organizaciones actuales, las grandes empresas tienen más de 2000 aplicaciones y el 85% de ellas están en la nube. El paso a la computación en la nube ha sido impulsado por la accesibilidad global, la mayor disponibilidad, los costos predecibles y el mejor rendimiento. Sus aplicaciones, desde el correo electrónico (O365/G Suite) pasando por ventas (SFDC), RRHH (Workday), helpdesk (ServiceNow/Zendesk/Jira) y colaboración (Slack, Teams, Confluence), están ahora alojadas en la nube. Los usuarios están accediendo a estas aplicaciones de manera "directa a la red" y "directa a la nube." Las soluciones tradicionales instaladas localmente, como los servidores proxy, no tienen visibilidad sobre ninguna de estas aplicaciones. Los firewalls de nueva generación también están completamente ciegos frente a este tráfico y no proporcionan ninguna seguridad, lo que irónicamente los convierte ahora en una solución tradicional, a pesar del apodo de "nueva generación."
Esto nos lleva a hacer estas dos preguntas:
- ¿Sus controles de seguridad siguen a sus usuarios en casa, en las cafeterías, en los aeropuertos, en los espacios de oficina compartidos?
- ¿Ha cambiado drásticamente la tecnología que utiliza para proteger su negocio y a sus empleados en la era de la nube?
Mientras que la pandemia global con el tiempo se reducirá, la nube está aquí para quedarse. La pandemia ha acelerado la adopción de la nube incluso para las empresas más conservadoras.
Es hora de centrarse en el camino a seguir.
La migración de los servidores proxy instalados localmente a una verdadera solución en la nube
Para el tema de hoy, vamos a centrarnos en los servidores proxy. Podríamos hablar de todo el stack de seguridad que tienen las grandes empresas, pero es un tema muy amplio y es mejor desgajarlo para que sea más fácil de digerir.
¿Por qué nos centramos en el proxy? Porque las empresas han estado confiando en los servidores proxy durante años para proporcionar visibilidad, informes y control sobre las actividades web de sus usuarios. Pero en la era de las aplicaciones en la nube, simplemente no pueden proporcionar lo que las organizaciones necesitan. Los proxies fueron diseñados y construidos en una era pre-nube. No se construyeron para usuarios que están en remoto y acceden directamente a las aplicaciones alojadas en la nube. Además, los proxies no fueron diseñados para entender el lenguaje de las aplicaciones en la nube (API/JSON/tenants/instancias). Las aplicaciones se escriben de nuevas formas, utilizando nuevos lenguajes de programación y las nuevas amenazas y vulnerabilidades están ahí para tratar de explotar estos cambios. En pocas palabras, los servidores proxy instalados localmente no fueron diseñados para las plantillas de trabajadores modernas en la era de la nube, y mantener, actualizar y pagar por el soporte de este hardware es increíblemente caro y consume mucho tiempo.
Los equipos de dirección ejecutiva siempre están tratando reducir los costos sin sacrificar las capacidades o poner en riesgo sus negocios. Para los líderes empresariales y tecnológicos del mundo actual ha quedado claro que comprar hardware, actualizarlo y contratar empleados para dar soporte a ese hardware no es el camino del futuro. El capital humano es extremadamente caro y los empleados están constantemente en busca de nuevos retos, promociones y aumentos de sueldo. Además de todo eso, los problemas de escala y disponibilidad están lejos de las capacidades y las prioridades de la mayoría de las organizaciones. Si usted sabe esto, pero todavía tiene servidores proxy desplegados, la pregunta que debe hacerse de nuevo es "¿por qué?"
La razón es que los servidores proxy han evolucionado en los últimos 10-20 años. Comenzaron como un simple filtro web para bloquear sitios web "malos" y permitir sitios web "buenos." Con el tiempo, los proxies evolucionaron. Algunos añadieron protección frente a amenazas, otros añadieron firewalls, y así sucesivamente. ¿Recuerda la batalla de los firewalls basados en proxies contra los firewalls basados en tablas de estados? Nadie más lo recuerda. El final de la historia fue que los proxies perdieron. Pero incluso hoy en día, la mayoría de las organizaciones siguen utilizando el proxy como un simple filtro de URL/sitio web que está estrechamente integrado en su directorio de usuarios. ¿Por qué es esto así?
La respuesta es porque migrar de un proxy que tiene años de esfuerzo puesto en él puede parecer abrumador. También puede ser una sensación de seguridad laboral para los equipos que mantienen esa tecnología tradicional. También puede ser tan simple como que la gente tenga dudas en cambiar. Cualquiera que sea la razón, los servidores proxy no migran 1:1 a la nube y su lógica de "permitir/denegar" no es adecuada para un entorno en la nube en el que el extenso contexto de usuarios, dispositivos, aplicaciones, cualificación de aplicaciones, instancia, actividad, amenaza y acción es tan crítico y requiere mucha más granularidad.
La evolución de las organizaciones:
Hemos ayudado a cientos de clientes a migrar a la nube desde servidores proxy. Las organizaciones continuamente preguntan si podemos migrar toda su configuración a nuestra solución en la nube. ¿Podemos hacerlo? Sí. ¿Debería hacerlo usted? Por supuesto que no.
¿Por qué? Como ya se ha dicho, la migración de una configuración tradicional que se basa en la lógica "permitir/denegar" no es relevante en la era de la nube. Los sistemas modernos de seguridad en la nube hablan el lenguaje de la nube. Entienden conceptos como tenants, instancias, JSON y API. Esto es sobre lo que la nube se construye y se ejecuta. Las soluciones de proxy tradicionales fueron construidas para la autenticación local como el Directorio Activo. En el mundo actual, los clientes se han trasladado a nuevas soluciones de identidad basadas en la nube como Okta, AzureAD, G Suite, y otras.
Por lo tanto, cuando un cliente se acerca a nosotros y nos pide ayuda para migrar, buscamos primero entender los antecedentes y la arquitectura de la que proviene y le quitamos el trabajo duro a usted y a su equipo. Revisamos todo, desde sus políticas de seguridad hasta los sistemas de autenticación y las aplicaciones en uso. Ayudamos a los clientes a planificar lo que sus empleados están haciendo y a actualizar sus políticas de seguridad actuales en un mundo en la nube. Esto es lo que hacemos todos los días, migramos los clientes a la nube y habilitamos de forma segura las aplicaciones en la nube.
Nos tomamos el tiempo para articular, en detalle, las múltiples opciones de despliegue y configuración que los clientes tienen cuando se trasladan a Netskope. Todo, desde el despliegue de nuestro cliente ligero de Netskope hasta el encadenamiento de proxy. Presentamos múltiples opciones sin prácticamente ningún impacto y sin necesidad de reconfiguración en su red.
También hemos construido herramientas especializadas para mostrar a los clientes cómo su configuración se mapea a Netskope, cómo se comportarán sus listas de URL (miles a millones de líneas de código) con Netskope, y qué se inspeccionará y qué no se inspeccionará (por ejemplo, la banca personal a través de SSL/TLS a los sitios de confianza son generalmente ignorados). Adicionalmente, les mostramos los sitios y dominios que están "permitiendo" que ya no existen. Las ramificaciones de seguridad de permitir el tráfico a estos dominios y URLs son masivas. Podemos ayudar con este problema y explicar por qué esto es tan peligroso.
Estas herramientas, los datos que presentamos y las conversaciones que mantenemos con los clientes nos permiten migrar de forma efectiva un cliente desde su tecnología instalada localmente a una solución en la nube, con todas las funciones que proporciona una seguridad significativamente mejorada para su negocio y que a la vez reduce el riesgo y proporciona una amplia visibilidad. Le quitamos el trabajo duro y complejo a usted y a s