¿Qué es el control de acceso a la red (NAC)?
Controlar el acceso a los recursos digitales es una capacidad de seguridad informática crítica para cualquier organización. Las soluciones de control de acceso a la red (NAC) permiten a la TI autorizar o impedir el acceso de usuarios y dispositivos a los recursos de la red. NAC juega un importante papel en la entrega de acceso por privilegios mínimos a los recursos, lo que es fundamental para las estrategias de seguridad de confianza cero.
El control de acceso a la red, explicado
¿Por qué es importante el control de acceso a la red?
- Seguridad: los controles de acceso a la red protegen los recursos de la manipulación y el robo malicioso por parte de terceros. Las soluciones NAC garantizan que solo los usuarios y dispositivos con los permisos adecuados puedan acceder a la red y a sus recursos. Además, algunas soluciones NAC pueden identificar sujetos participantes en un ataque y ponerlos en cuarentena o bloquear su acceso en espera de una mayor investigación. Esta funcionalidad puede prevenir la propagación de ataques.
- Privacidad: actualmente, las organizaciones están gestionando más cantidad y variedad de datos que nunca. Algunos de estos datos son sensibles o confidenciales. Las soluciones de control de acceso a la red permiten a las organizaciones definir quién, qué, cuándo y cómo se puede acceder a los datos de la red para reducir el riesgo de filtración.
- Cumplimiento: a menudo, las organizaciones reguladas deben cumplir con diversos mandatos de privacidad y de protección de datos, como el Reglamento General de Protección de Datos (RGPD), o la Ley de portabilidad y responsabilidad de seguros médicos (HIPAA) y Sarbanes-Oxley (SOX). Las soluciones NAC pueden ayudar a las organizaciones a cumplir con estos mandatos mediante la restricción del acceso a los datos, el mantenimiento de un tráfico seguro y separado y la generación de registros e informes para las auditorías.
¿Cómo funciona el control de acceso a la red?
El control de acceso a la red se basa en la idea de otorgar diferentes tipos de acceso a cada tipo de usuario y dispositivo (sujetos) en función de sus necesidades. La granularidad hace referencia al nivel de detalle con el que se puede definir a un sujeto y sus necesidades y otorgarle sus permisos de acceso asociados. Los controles de acceso a la red altamente granulares son un componente clave de los enfoques de seguridad de confianza cero, que limitan el acceso de un sujeto a tan solo los recursos que necesita para hacer su trabajo o cumplir su función.
Para proteger los recursos de manera efectiva, las soluciones de control de acceso a la red deben proporcionar varias capacidades interrelacionadas a través de una combinación de tecnologías.
Elementos del control de acceso a la red
Capacidades | Función | Tecnologías |
---|---|---|
Visibilidad | Saber quién y qué está en la red en un momento dado | Recopiladores de datos físicos o virtuales; métodos de detección activos (NMAP, WMI, SNMP, SSH) y pasivos (SPAN, DHCP, NetFlow/S-Flow/IPFIX); creación de perfiles de dispositivos asistida por IA/AA; inspección de paquetes profunda |
Autenticación | Determinar con seguridad que un usuario o dispositivo es quien/lo que afirma ser | Autenticación 802.1x; EAP-TLS, RADIUS, TAC-ACS; autenticación multifactor; certificados |
Definición de políticas | Definir reglas para usuarios y dispositivos con respecto a los recursos a los que pueden acceder y cómo pueden acceder a ellos | Herramientas de redacción de reglas, que pueden incluir parámetros contextuales como función, tipo de dispositivo, método de autenticación, estado del dispositivo, patrones de tráfico, ubicación y hora del día |
Autorización | Determinar las reglas adecuadas para el usuario o dispositivo autenticado | |
Aplicación | Permitir, denegar o revocar el acceso de un usuario o dispositivo autenticado a un recurso en función de la política pertinente | Integración y comunicación bidireccional con firewalls y otras herramientas de seguridad |
¿Cuáles son algunos ejemplos de control de acceso a la red?
Las soluciones NAC proporcionan un acceso seguro a los recursos de la organización. Por ejemplo, hay hospitales que usan soluciones NAC para elaborar perfiles, proteger y gestionar la conectividad de los dispositivos IoT autorizados y excluir otros. Un centro logístico podría utilizar una solución NAC para autenticar todos los dispositivos cableados e inalámbricos que accedan a la red (como robots) e implementar políticas coherentes basadas en roles. Los sistemas escolares pueden usar soluciones NAC para autenticar a sus estudiantes, profesores, personal e invitados y permitir una segmentación granular del tráfico en función de reglas definidas.
¿Para qué se utiliza el control de acceso a la red?
Las soluciones NAC como HPE Aruba Networking ClearPass pueden abordar varios casos de uso relacionados con una conectividad segura:
NAC para invitados y trabajadores temporales | ClearPass Guest permite a recepcionistas, coordinadores de eventos y demás personal ajeno al departamento de TI crear de forma eficaz cuentas de acceso temporal a la red para una cantidad ilimitada de invitados por día. ClearPass Guest también ofrece un portal de autorregistro personalizado que permite a los visitantes crear sus propias credenciales, que luego se almacenan en ClearPass durante períodos de tiempo predeterminados y pueden configurarse para que caduquen automáticamente. |
NAC para BYOD (traiga su propio dispositivo) | ClearPass Onboard configura y aprovisiona automáticamente los dispositivos móviles y les permite conectarse de forma segura a las redes empresariales. Los trabajadores pueden autoconfigurar sus propios dispositivos siguiendo unas instrucciones de registro y conectividad guiadas. Se aplican unos certificados únicos por dispositivo para garantizar que los usuarios puedan conectar sus dispositivos de forma segura a la red con la mínima intervención por parte del departamento de TI. |
NAC para la evaluación del enfoque de seguridad de los terminales | ClearPass OnGuard lleva a cabo una evaluación del enfoque de los terminales/dispositivos para garantizar que se reúnen los requisitos de seguridad y cumplimiento antes de que los dispositivos se conecten a la red corporativa, lo que puede ayudar a las organizaciones a evitar la introducción de vulnerabilidades en sus entornos de TI. |
NAC para dispositivos del internet de las cosas (IoT) | ClearPass Device Insight proporciona una visibilidad completa del espectro de dispositivos conectados a la red con puntuación de riesgo y aprendizaje automático para identificar los dispositivos desconocidos y reducir el tiempo de identificación. ClearPass Device Insight también supervisa el comportamiento de los flujos de tráfico para ofrecer mayor seguridad. ClearPass Policy Manager elabora perfiles de los dispositivos que intentan conectarse a la red y proporciona un acceso a la red basado en roles y dispositivos según las reglas configuradas por el departamento de TI. |
NAC para dispositivos cableados | ClearPass OnConnect proporciona un control de acceso por cable seguro a dispositivos como impresoras y teléfonos VoIP no autenticados mediante técnicas 802.1x. |
NAC nativo de la nube | HPE Aruba Networking Central Cloud Auth se integra con almacenes de identidades de nube comunes para ofrecer una incorporación basada en la nube fluida y una política basada en roles segura para usuarios y dispositivos. |
¿Cómo elegir una solución de control de acceso a la red?
A la hora de elegir una solución NAC, ten en cuenta si ofrece lo siguiente:
- Características de interoperatividad e independencia de proveedor para evitar costosos complementos y la dependencia del proveedor
- Una capacidad demostrada para mantener el tráfico seguro y separado
- Disponibilidad de servicio suficiente para admitir el máximo tiempo de actividad y operaciones ininterrumpidas
- Escalabilidad para admitir cientos de miles de puntos finales simultáneos
- Liderazgo en el mercado y designaciones que reconozcan su capacidad para reducir el riesgo cibernético, como Cyber CatalystSM by Marsh