Integración del Directorio Activo
Atrás ha quedado la época en la que una IP servía para identificar a un usuario. Hoy en día, los usuarios suelen combinar accesos usando portátiles, dispositivos móviles, etc. Para poder identificarlos correctamente, es necesario contar con un DA integrado.
Identificación del usuario a través de un DA
Gestionar una red compleja usando IPs de origen y destino está obsoleto. Identificar el tráfico de cada usuario dentro de la red es un paso necesario para gestionar los sistemas de seguridad, monitorización y optimización.
-
-
Hace falta identificar al usuario y al grupo para gestionar la red.
-
La información necesaria cambia y se actualiza constantemente.
-
En organizaciones complejas, la mayor parte de esta información se encuentra en servidores DA.
-
Las soluciones intrusivas o que consumen recursos son, por regla general, difíciles de instalar.
-
Guardar esta información en un microservicio externo puede solventar estos problemas.
-
Visión de mercado del Directorio Activo
Integración sencilla en escenarios diversos
Las empresas suelen gestionar sus usuarios y jerarquías de acceso a través de un Servidor de Directorio Activo. Se trate de un servidor físico o en la nube, es una pieza clave de la arquitectura y los administradores de sistemas son (comprensiblemente) reacios a abrir puertos, APIs o accesos a sistemas externos.
Por eso, hay que instalar software concreto en la infraestructura del cliente para permitir que los sistemas de seguridad, NTAs o demás programas tengan acceso a la información actualizada del servidor DA.
Muchos distribuidores han diseñado soluciones variadas para este problema. Sin embargo, todas las herramientas disponibles priorizan 3 puntos: uso limitado de los recursos, conexiones seguras para los servicios necesarios e integración sencilla en el sistema existente.
Estos tres factores son clave para una integración exitosa en cualquier servidor de producción. El plugin instalado mantendrá la información relativa a los usuarios y el grupo en la nube para que los servicios puedan hacer uso de ella.
Puntos importantes ligados a la Integración del Directorio Activo
Integración sencilla
Los plugins vinculados al directorio activo no pueden introducir cambios importantes en el sistema ni ser difíciles de mantener, ya que esto supondría una carga para la organización y disuadiría a clientes a la hora de unirse.
La seguridad es clave
El servidor de Directorio Activo es clave dentro de cualquier organización. Regula el acceso de los usuarios a recursos y jerarquías de grupo dentro de la empresa. Cualquier plugin o integración potencial que ponga en riesgo la seguridad sería inmediatamente rechazada.
Uso limitado de los recursos
Los plugin que se instalen en el servidor de una organización no pueden chupar muchos recursos. Al final, un servidor lento a la hora de ejecutar tareas críticas vale lo mismo que uno roto. Cualquier plugin que se instale con éxito deberá consumir muy pocos recursos.
La información actualizada es clave
La información que manejan esos plugins no sólo es crítica a la hora de proteger la red de accesos indeseados, sino que también debe actualizarse de inmediato. Esto es especialmente importante para los servicios vinculados a la seguridad, ya que contar con información desactualizada puede suponer un riesgo importante.
Sobre la integración del DA
UEBA, políticas de seguridad basadas en usuarios, detección de anomalías, XDR, NTA… Todas esas funcionalidades, funciones y técnicas tienen en común haber aparecido en el mercado recientemente. Aportan gran valor a los clientes corporativos y han permitido a los gestores de sistemas monitorizar muchas más capacidades y controlar la red mejor que en décadas pasadas. Pero, para funcionar, todas ellas requieren acciones y monitorización a nivel usuario.
Y ese es precisamente el problema. Los usuarios ya no están vinculados a una única IP o estación de trabajo. Hoy en día, los trabajadores pueden saltar de su ordenador a su portátil, enviar invitaciones a una videoconferencia desde el móvil, conectarse a la oficina a través de sus iPads, usar redes secundarias si las principales están saturadas…. El número de dispositivos y las maneras en las que los usuarios pueden conectarse a Internet son infinitas.
Es más, la IP que estaba empleando un usuario puede usarla otro más tarde. En un escenario como este, ¿cómo controlamos lo que está haciendo cada usuario?
Es ahí donde entra el Directorio Activo. Dentro de la red de una empresa, estos servidores almacenan información clave sobre qué usuario está ligado a qué IP en un determinado momento. Acceder a esa información de manera fiable es clave para contar con todas estas características.
Cualquier empresa que quiera ofrecer estos servicios a sus clientes debería poder acceder a esta información y actualizarla en tiempo real sin interrumpir las operaciones cotidianas de sus clientes. Y esto es exactamente lo que ofrece el plugin Directorio Activo de Teldat.
Soluciones y productos de integración del Directorio Activo de Teldat
Contexto
En Teldat, hemos actualizado recientemente nuestra cartera de productos networking con programas de software como be.Safe XDR, be.Safe, SDWAN, etc. Hablando con nuestros clientes, nos dimos cuenta de que (poco a poco) el mercado nos estaba pidiendo hablar cada vez más de usuarios y menos de IPs. A la hora de establecer una política de seguridad en la solución be.Safe, los clientes querían asociarla a un usuario y no a una IP. Al usar la herramienta be.Safe XDR con fines de monitorización, el personal de networking corporativo no estaba interesado en saber qué IP había generado el tráfico; querían saber qué usuario había sido.
Por eso, tratamos de desarrollar una solución que, al integrarse con estos servicios, aportase valor añadido a nuestros clientes y minimizase el impacto de estos servicios en los servidores de Directorio Activo.
Fuente única de información
A la hora de gestionar múltiples productos de red, en Teldat hemos visto la necesidad de crear un único plugin para todos. Entendemos que no podemos pedir que nuestros clientes se instalen plugins distintos para cada producto de red que compren. Nuestra solución, por tanto, es válida para cualquiera de nuestros productos.
Da igual si el cliente se decanta por la solución be.Safe XDR, SDWAN, o be.Safe; todas ellas son compatibles con el plugin único de Directorio Activo. Al contar con una única fuente de información, todos los productos actuarán como uno sólo (proporcionando a los clientes corporativos un ecosistema simplificado y unificado para que saquen el máximo partido a sus capacidades de red).
Ligero, seguro y fácil de usar
Nuestro plugin de Directorio Activo se ha desarrollado integrando las características fundamentales necesarias para este tipo de herramienta. Se trata de un servicio ligero que nuestros clientes pueden instalar en sus Servidores DA y que, empleando muy pocos recursos, da servicio a un número ilimitado de productos asociados.
Para garantizar la seguridad del servidor, nuestro plugin no responde a peticiones entrantes procedentes de IPs no autorizadas. Sólo la información estrictamente necesaria se actualiza y carga en un microservicio externo que, más adelante, pueden usar nuestras herramientas NTA, be.Safe o productos Teldat para ofrecer sus funcionalidades. Esto nos permite brindar a nuestros clientes un servicio rápido, seguro y escalable sin causar un impacto directo en su infraestructura ni precisar una configuración adicional por su parte.
Seguridad a través de la integración
Los ataques y suplantaciones de identidad pueden producirse en cuestión de segundos. El tiempo que pasa entre que un usuario se ve comprometido y la red reacciona puede ser la diferencia entre una empresa segura y una en peligro. Por eso, desde Teldat damos prioridad a actualizar la información de forma rápida y fiable, así como a proteger todos los niveles del organigrama.
Gracias a nuestra red reactiva, nuestra IA propietaria puede monitorizar el comportamiento del usuario y (cuando se detecte una anomalía o un usuario comprometido) modificar las reglas y permisos de acceso dentro del servidor DA a través del plugin, aislando la amenaza e impidiendo que se propague por toda la red.
Casos Prácticos
Políticas de acceso a recursos por usuario en redes híbridas
Asignación de políticas personalizadas por usuario para acceso a recursos dentro de redes definidas por software.
Uso de la red por parte de los usuarios conectados
Reportes de uso de recursos de red personalizados por usuario.
Políticas de acceso a recursos por usuario en redes híbridas
Asignación de políticas personalizadas por usuario para acceso a recursos dentro de redes definidas por software.
Desafío
En la actualidad el concepto de uso de la red está cambiando, antes las redes conectaban habitualmente IPs contra otras IPs, y ahora se trata de conectar usuarios con recursos, con independencia de donde se encuentre cada uno de los elementos interconectados, y todo ello desde múltiples tipos de dispositivos, lo que complica la gestión de acceso a los recursos con diferentes permisos para cada usuario. Cada departamento debe tener delimitado su ámbito de acción y cada trabajador sólo puede tener acceso a las plataformas o servicios que se definan en la normativa corporativa.
Solución
Gracias a las soluciones SDWAN es posible gestionar múltiples políticas de acceso a los recursos, entornos de conexiones híbridas, teletrabajo, acceso remoto, etc. Permitiendo a cualquier usuario acceder desde cualquier parte a los recursos corporativos.
Mediante la integración con Directorio Activo es posible personalizar las políticas de acceso a los recursos de cada usuario con independencia del dispositivo, o si está utilizando varios a la vez, ya que aunque su IP cambie, la plataforma se sincroniza con el Directorio y actualiza automáticamente las reglas.
Por qué Teldat?
Las solución be.SDWAN de Teldat permite gestionar políticas por usuario gracias a la integración con Directorio Activo, flexibilizando la movilidad de los usuarios dentro de la red y automatizando el proceso.
Uso de la red por parte de los usuarios conectados
Reportes de uso de recursos de red personalizados por usuario.
Desafío
Para poder dimensionar adecuadamente la red es necesario saber el uso que realizan los usuarios de la misma. También es necesario comprobar que los accesos permitidos se están cumpliendo y que los usuarios no están intentando acceder a recursos de otros departamentos, o a dispositivos no permitidos, generando alertas en caso de que se produzca un intento.
Solución
En las soluciones NTA es posible visualizar el tráfico que genera cada dispositivo, y lo que es más importante, el tráfico que genera cada usuario, ya que puede estar conectado desde cualquier lugar de la red, tanto corporativa como externa.
Esto se consigue mediante la integración con Directorio Activo, identificando unívocamente a cada usuario independientemente de la red a la que esté conectado o del número y tipo de dispositivos con los que lo hace. De esa manera se puede trazar exactamente todas las operaciones realizadas en la red, permitiendo un análisis forense para dimensionamiento de red o para evitar brechas de seguridad por accesos no permitidos.
Por qué Teldat?
Las solución be.Safe XDR de Teldat permite identificar por usuario gracias a la integración con Directorio Activo, flexibilizando la movilidad de los usuarios dentro de la red y automatizando el proceso.
Control y la visibilidad sobre las aplicaciones
Una entidad utiliza conexiones por MPLS y VPN para acceder a servidores corporativos y quiere aumentar el control de acceso y obtener más información sobre el uso de aplicaciones
Desafío
Al utilizar conexiones MPLS desde las sucursales y clientes VPN para trabajadores remotos la entidad no puede otorgar permisos de acceso de manera granular a las aplicaciones según el usuario o el tipo de dispositivo. Tampoco disponen de una herramienta de visualización que muestre el uso de la red y los recursos por parte de cada usuario ni cómo se accede a los mismos, por lo que el dimensionamiento de accesos y servidores no es una tarea sencilla para el equipo de IT.
Solución
Con las soluciones de seguridad de Teldat es posible controlar de manera personalizada y granular el acceso a todas las aplicaciones corporativas y el acceso a Internet y plataformas SaaS, gracias a su integración con directorio activo y herramientas de SSO.
Se puede controlar tanto el acceso desde las sucursales como el acceso de conexiones remotas.
Además, con las soluciones de visibilidad es posible obtener toda la información necesaria para entender cómo se accede a los recursos y por parte de quién, y de esa manera obtener información de posibles intentos de violación de reglas por parte de dispositivos que hayan podido sufrir algún tipo de hackeo.
Por qué Teldat?
Las soluciones be.Safe y be.Safe XDR de Teldat ofrecen accesos seguros y confiables, con Dashboards personalizables para mostrar la información gráficamente y generación de políticas e informes en base a usuarios concretos gracias a su integración con Directorio Activo.
Lea nuestros últimos posts
Vulnerabilidades en ciberseguridad afectan a proveedores y clientes
El software de ciberseguridad es la primera línea de defensa para proteger datos y sistemas de amenazas externas. Sin embargo, ¿qué ocurre cuando el propio software de protección es vulnerable? En los últimos años, hemos visto cómo los atacantes explotan fallos en las...
Desarrolar un Plan Sólido de Recuperación ante Desastres en el entorno nube
En un mundo orientado hacia lo digital, las empresas dependen cada vez más de sistemas en entorno nube a los que les confían todo (desde el almacenamiento de datos hasta aplicaciones críticas). Si bien la nube ofrece ventajas importantes (mayor flexibilidad,...
Cuádruple Extorsión: La Evolución del Ransomware
El avance de Internet y las nuevas tecnologías ha propiciado grandes avances en empresas y organizaciones, pero también ha dado lugar a un gran número de amenazas en el ámbito de la ciberseguridad. La Evolución del Ransomware hacia la Cuádruple Extorsión En los...