¿Qué es control de acceso a la red (NAC)?

Controlar el acceso a los recursos digitales es una capacidad de seguridad informática fundamental para las organizaciones. Las soluciones de control de acceso a la red (NAC) permiten al departamento de TI autorizar o impedir el acceso de usuarios y dispositivos a los recursos de la red. NAC desempeña un papel importante a la hora de proporcionar un acceso con menos privilegios a los recursos, algo fundamental para las estrategias de seguridad Zero Trust.

Explicación del control de acceso a la red

Los controles de acceso a la red restringen el acceso de usuarios y dispositivos a los recursos en función de las normas establecidas por TI. Al igual que las cerraduras de puertas y los distintivos de seguridad impiden que los intrusos accedan a los recursos físicos de una organización, como edificios y oficinas, los controles de acceso a la red protegen los recursos digitales en red de accesos no autorizados.

¿Por qué es importante el control de acceso a la red?

  • Seguridad: los controles de acceso a la red protegen los recursos de la manipulación y el robo por parte de agentes malintencionados. Las soluciones NAC garantizan que solo los usuarios y dispositivos con los permisos adecuados puedan acceder a la red y a los recursos en red. Además, algunas soluciones NAC pueden identificar sujetos que puedan estar participando en un ataque y poner en cuarentena o bloquear el acceso de ese sujeto a la espera de una investigación más exhaustiva. Esta funcionalidad puede evitar la propagación de ataques.
  • Privacidad: hoy, más que nunca, las organizaciones gestionan amplios volúmenes y variedades de datos. Algunos de estos datos son sensibles y/o confidenciales. Las soluciones de control de acceso a la red permiten a las organizaciones definir quién, qué, cuándo y cómo puede accederse a los datos en la red, para reducir el riesgo de infracción.
  • Cumplimiento: las organizaciones reguladas a menudo necesitan cumplir con los mandatos de privacidad y protección de datos, como el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y la Ley Sarbanes-Oxley (SOX). Las soluciones NAC pueden ayudar a las organizaciones a cumplir estos mandatos restringiendo el acceso a los datos, manteniendo el tráfico seguro y separado, y proporcionando registros e informes para auditorías.

¿Cómo funciona el control de acceso a la red?

El control de acceso a la red se basa en el concepto de que a los distintos usuarios y dispositivos (sujetos) se les conceden diferentes tipos de acceso en función de sus necesidades. La granularidad se refiere al nivel de detalle con el que puede definirse y aplicarse un tema, sus necesidades y sus permisos de acceso asociados. Los controles de acceso a la red altamente granulares son un componente clave de los enfoques de Seguridad Zero Trust que limitan el acceso de un sujeto solo a los recursos necesarios para hacer su trabajo o cumplir su función.

Para proteger eficazmente los recursos, las soluciones de control de acceso a la red deben ofrecer varias funciones interrelacionadas mediante una combinación de tecnologías.

Elementos de control de acceso a la red

CapacidadesFunciónTecnologías
VisibilidadSaber quién y qué está en la red en cada momentoRecopiladores de datos físicos o virtuales; métodos de detección activos (NMAP, WMI, SNMP, SSH) y pasivos (SPAN, DHCP, NetFlow/S-Flow/IPFIX); perfilado de dispositivos asistido por IA/ML; inspección profunda de paquetes.
AutenticaciónDeterminar con confianza que un usuario o dispositivo es quien/lo que declara ser.Autenticación 802.1x; EAP-TLS, RADIUS, TAC-ACS; autenticación multifactor; certificados
Definición de políticasDefinición de normas para usuarios y dispositivos en relación con los recursos a los que pueden acceder y cómo se puede acceder a los recursos.Herramientas de creación de reglas, que pueden incluir parámetros contextuales como función, tipo de dispositivo, método de autenticación, estado del dispositivo, patrones de tráfico, ubicación y hora del día.
AutorizaciónDeterminación de las reglas apropiadas para el usuario o dispositivo autenticado 
CumplimientoPermitir, denegar o revocar el acceso de un usuario o dispositivo autenticado a un recurso en función de la política correspondiente.Integración y comunicación bidireccional con cortafuegos y otras herramientas de seguridad

¿Cuáles son ejemplos de control de acceso a la red?

Las soluciones NAC proporcionan un acceso seguro a los recursos de toda la organización. Por ejemplo, un hospital utiliza una solución NAC para perfilar, proteger y gestionar la conectividad de los dispositivos IoT autorizados, mientras excluye otros. Un centro de distribución utiliza una solución NAC para autenticar todos los dispositivos cableados e inalámbricos que acceden a la red, como los robots, y aplicar políticas coherentes basadas en funciones. Un sistema escolar utiliza una solución NAC para autenticar a estudiantes, profesores, personal e invitados, y permitir una segmentación granular del tráfico basada en reglas definidas.

Ejemplos de control de acceso a la red en una red empresarial

¿Para qué sirve el control de acceso a la red?

Las soluciones NAC como HPE Aruba Networking ClearPass pueden abordar varios casos de uso de conectividad segura dentro de las organizaciones:

NAC para invitados y trabajadores temporales ClearPass Guest hace que sea fácil y eficiente para recepcionistas, coordinadores de eventos y otro personal no informático crear cuentas temporales de acceso a la red para cualquier número de invitados por día. ClearPass Guest también ofrece un portal de autorregistro personalizado, que permite a los visitantes crear sus propias credenciales, que se almacenan en ClearPass durante periodos de tiempo predeterminados y pueden configurarse para que caduquen automáticamente.
NAC para la opción Traiga su propio dispositivo (BYOD)ClearPass Onboard configura y provee dispositivos móviles en forma automática y los habilita para conectarse de forma segura a redes empresariales. Los trabajadores pueden autoconfigurar sus propios dispositivos siguiendo instrucciones guiadas de registro y conectividad. Se aplican certificados únicos por dispositivo para garantizar que los usuarios puedan conectar de forma segura sus dispositivos a las redes con una interacción informática mínima.
NAC para la evaluación de la postura de seguridad de los puntos de conexiónClearPass OnGuard realiza una evaluación de la postura de los puntos de conexión/dispositivos para garantizar que se cumplan los requisitos de seguridad y conformidad antes de que los dispositivos se conecten a la red corporativa, lo que puede ayudar a las organizaciones a evitar la introducción de vulnerabilidades en sus entornos de TI.
NAC para dispositivos del Internet de las cosas (IoT)ClearPass Device Insight proporciona una visibilidad de espectro completo de los dispositivos conectados a la red con puntuación de riesgos y aprendizaje automático para identificar dispositivos desconocidos y reducir el tiempo de identificación. ClearPass Device Insight también supervisa el comportamiento de los flujos de tráfico para mayor seguridad.
ClearPass Policy Manager perfila los dispositivos que intentan conectarse a la red y proporciona acceso a la red basado en funciones y dispositivos según las reglas configuradas por TI.
NAC para dispositivos cableadosClearPass OnConnect proporciona un control de acceso cableado seguro para dispositivos como impresoras y teléfonos VoIP que no se autentican mediante técnicas 802.1x.
NAC nativo en la nubeHPE Aruba Networking Central Cloud Auth se integra con almacenes de identidad en la nube comunes para ofrecer una incorporación basada en la nube sin problemas y una política segura basada en funciones para usuarios y dispositivos.

¿Cómo elegir una solución de control de acceso a la red?

A la hora de elegir una solución NAC, tenga en cuenta lo siguiente:

  • Funciones de interoperabilidad y neutralidad para evitar costosos complementos y la dependencia de un solo proveedor.
  • Capacidad demostrada para mantener el tráfico seguro y separado
  • Disponibilidad del servicio para garantizar el máximo tiempo de actividad y operaciones ininterrumpidas
  • Escalabilidad para soportar cientos de miles de puntos finales simultáneos
  • Liderazgo en el mercado y designaciones que reconocen la capacidad para reducir el riesgo cibernético, como la designación Cyber CatalystSM de Marsh.

¿Estás listo para empezar?