Las empresas modernas operan en entornos donde los usuarios, dispositivos y aplicaciones están altamente distribuidos, y las decisiones de acceso deben adaptarse continuamente a las condiciones cambiantes de riesgo. La autenticación estática y puntual es insuficiente para proteger contra amenazas en evolución, como el compromiso de credenciales, la configuración incorrecta de dispositivos y los riesgos impulsados por usuarios.
El acceso adaptativo es un enfoque arquitectónico que permite decisiones de acceso dinámicas basadas en señales contextuales evaluadas continuamente, incluyendo:
- Puntuación de riesgo del usuario
- Postura del Dispositivo
- Confianza en la Autenticación
- Red y ubicación
- Contexto de aplicación y recurso
- Integridad de la sesión
- Contexto de amenaza
Dentro de la plataforma Cato SASE, las capacidades de acceso adaptativo se implementan a través de múltiples planos de control y se hacen cumplir en el PoP. El acceso adaptativo se aplica en una gama de métodos de acceso, asegurando que los controles basados en contexto se apliquen de manera constante por las políticas relevantes de Cato. Esto permite una aplicación consistente, consciente de identidad y de contexto para la conectividad, el acceso a aplicaciones y el tráfico de red sin depender de suposiciones de confianza estáticas.
Combinando la evaluación continua de señales con la aplicación de políticas, las organizaciones pueden reducir la exposición a usuarios y dispositivos comprometidos, hacer cumplir el acceso de mínimo privilegio y activar la autenticación mejorada cuando se requiere mayor seguridad. Al mismo tiempo, los administradores obtienen visibilidad del riesgo del usuario, la conformidad del dispositivo y el estado de la sesión, habilitando decisiones informadas operativas y de seguridad.
Las organizaciones necesitan acceso adaptativo para reemplazar la confianza estática con decisiones continuas y conscientes del contexto a través de usuarios, dispositivos y sesiones. Las condiciones de confianza pueden cambiar después del inicio de sesión, y el control de acceso debe reaccionar ante esos cambios.
La autenticación inicial y la ubicación de la red son insuficientes contra el robo de credenciales, puntos finales no gestionados y condiciones de amenaza en rápido cambio.
Cato implementa acceso adaptativo a través de cuatro pilares:
- Construir Confianza con Señales Fuertes: El acceso adaptativo depende de señales que son actuales, confiables y se actualizan continuamente. Estas señales crean la base para las decisiones de políticas durante el establecimiento de sesiones y a lo largo del ciclo de vida de la sesión.
- Confianza Unificada a través de la Agregación de Señales: Las señales se correlacionan en el PoP para reflejar el estado actual de la sesión. Los atributos de identidad, resultados de postura e indicadores de comportamiento se evalúan juntos para cada solicitud.
- Aplicación por Confianza a través de Planos de Control: Las políticas se aplican en línea en el PoP a través de conectividad, acceso a aplicaciones y tráfico de red. El mismo contexto se aplica de manera consistente a Conectividad del Cliente, ZTNA y decisiones del firewall.
- Visibilidad de Confianza para Análisis y Respuesta: La Aplicación de Gestión de Cato (CMA) proporciona visibilidad centralizada en las decisiones de política y las señales detrás de ellas. Una única consola de gestión ayuda a los administradores a investigar sesiones, validar resultados y aplicar cambios de políticas consistentes en los planos de control.
Este enfoque permite una aplicación continua, consciente del riesgo, alineada con Zero Trust, sin depender de suposiciones de confianza estáticas.
Las capacidades de acceso adaptativo en la plataforma Cato admiten escenarios donde las decisiones de acceso deben cambiar cuando las condiciones de usuario, dispositivo o sesión cambian.
-
Acceso basado en riesgo a aplicaciones privadas: Controla el acceso a aplicaciones internas basándose en el estado actual de la sesión del usuario y el dispositivo.
- Ejemplo: Se permite a un usuario acceder a una aplicación interna de RRHH cuando el dispositivo pasa las verificaciones de postura, y la puntuación de riesgo del usuario permanece dentro del rango aceptable. El mismo usuario puede ser bloqueado de esa aplicación en medio de la sesión si la puntuación de riesgo aumenta. Por ejemplo, descarga malware o se conecta a un dominio conocido de control y comando.
-
Control de conectividad consciente del dispositivo: Asegúrese de que solo los dispositivos conformes y seguros puedan establecer conectividad a la Nube Cato.
- Ejemplo: Un portátil corporativo gestionado con el agente de protección de endpoints requerido está permitido para conectar a la Nube Cato. El mismo dispositivo puede ser bloqueado si la protección de endpoints no está ejecutando la versión más reciente.
-
Autenticación mejorada para acceso sensible: Requiere reautenticación cuando los usuarios acceden a recursos sensibles o cuando la garantía de sesión es insuficiente.
- Ejemplo: Se permite a un usuario navegar recursos internos estándar con la sesión existente. Cuando el usuario intenta abrir una aplicación financiera sensible, la política puede requerir reautenticación antes de que se permita el acceso.
-
Acceso remoto controlado para usuarios: Define qué usuarios están permitidos para conectividad remota y restringir otros a acceso basado en oficina solamente.
- Ejemplo: A los empleados en grupos de usuarios aprobados se les permite el acceso remoto a aplicaciones privadas a través del Cliente Cato. Los usuarios que están restringidos a acceso solo en la oficina son bloqueados cuando intentan conectarse remotamente.
-
Visibilidad operativa para administradores: Proporciona visibilidad en las sesiones de usuario y decisiones de acceso para soportar la resolución de problemas y la validación de políticas.
- Ejemplo: Los administradores pueden revisar por qué un usuario fue permitido, bloqueado o desafiado examinando la actividad del usuario y los eventos en la CMA. Por ejemplo, la página del Directorio de Usuarios te permite filtrar usuarios por nivel de riesgo (como Alto o Crítico), e identificar rápidamente usuarios que requieren investigación.
Las decisiones de acceso adaptativo se basan en señales contextuales que describen el estado actual del usuario, dispositivo y sesión. Estas señales se evalúan continuamente y son utilizadas por las políticas de CMA para determinar si se debe permitir, restringir o desafiar el acceso.
-
Puntuación de Riesgo del Usuario: Representa el riesgo de seguridad actual de la sesión del usuario. La puntuación se actualiza continuamente basada en la actividad comportamental y las detecciones de seguridad, incluyendo:
- Indicadores de sistemas que ya han sido comprometidos.
- Indicadores de intentos bloqueados que podrían llevar a una infección
- Violaciones de políticas o actividades arriesgadas que podrían potencialmente llevar a un compromiso
-
Postura del Dispositivo: Representa el estado de seguridad del endpoint. En el CMA, la postura se define usando Perfiles de Postura del Dispositivo y Comprobaciones de Dispositivo. El Cliente Cato hace cumplir estas comprobaciones en el dispositivo antes y durante el acceso, y el estado resultante de la postura puede ser referenciado a través de múltiples políticas que requieren conformidad del dispositivo.
- Las Comprobaciones de Dispositivo evalúan condiciones específicas en el endpoint (por ejemplo, estado de protección del endpoint, versión del SO, certificados o configuración).
- Los Perfiles de Postura del Dispositivo agrupan una o más verificaciones en perfiles reutilizables que representan una línea base de seguridad requerida.
- Conformidad de MDM Externa: Amplía la postura del dispositivo con señales de sistemas externos como Microsoft Intune. Estas señales indican si el dispositivo cumple con las políticas organizativas, como cifrado o nivel de parches.
- Confianza en la Autenticación: Representa la frescura y validez del token de autenticación del usuario. Se deriva del token de Cato e indica si la sesión aún cumple con el nivel de garantía de autenticación requerido.
Estas señales se evalúan en el PoP y se proporcionan al motor de políticas, permitiendo decisiones de acceso continuas y conscientes del riesgo a lo largo del ciclo de vida de la sesión.
La aplicación de acceso adaptativo se realiza en el PoP de Cato, donde la identidad, el dispositivo y las señales de la sesión se evalúan durante el establecimiento de la sesión y la actividad en curso.
- Autenticación del usuario y establecimiento de la sesión: Un usuario se conecta al PoP de Cato más cercano, que reenvía la solicitud de autenticación al proveedor de identidad configurado (IdP). Después de la autenticación exitosa, el PoP establece la sesión y recupera la identidad del usuario y los atributos del grupo.
- Evaluación inicial de políticas: Cuando se establece la sesión, el PoP evalúa las señales contextuales relevantes contra las políticas configuradas. Esto establece la decisión inicial de acceso para la sesión del usuario y determina si al usuario se le permite conectar.
- Accediendo a una aplicación: Cuando el usuario intenta acceder a una aplicación, el PoP evalúa las condiciones de política relevantes para esa solicitud.
- Autenticación mejorada: Si la política requiere una autenticación más fuerte, el PoP redirige al usuario al IdP configurado. Después de una reautenticación exitosa, la sesión continúa con el nivel de garantía requerido.
- Aplicación continua: Después de que se otorga el acceso, el PoP continúa evaluando las condiciones de la sesión. Si el riesgo aumenta, la postura falla o la garantía de autenticación ya no es suficiente, la política puede bloquear el acceso o requerir que el usuario se autentique nuevamente.
El acceso adaptativo en la plataforma Cato se implementa a través de múltiples políticas de CMA que hacen cumplir las decisiones de acceso en conectividad, acceso a aplicaciones y tráfico de red. Cada política evalúa señales contextuales y aplica controles en diferentes etapas de la sesión del usuario.
La Política de Conectividad del Cliente controla si un dispositivo de usuario está permitido para establecer una conexión a la Nube Cato. Esta política hace cumplir los principios de Zero Trust en el punto de conexión validando el dispositivo y la sesión antes de que se otorgue el acceso.
Los administradores usan esta política para prevenir que dispositivos no gestionados o no conformes se conecten, y para hacer cumplir los requisitos de autenticación antes de que se establezca una sesión.
El Acceso Privado de Cato te permite proporcionar acceso seguro y basado en identidad a aplicaciones privadas sin extender tu red a los usuarios. En lugar de otorgar conectividad directa a nivel de red como un VPN tradicional, se refuerza el acceso específico de la aplicación con privilegios mínimos basado en la identidad del usuario y el contexto.
La Política de Acceso Privado controla el acceso a las aplicaciones privadas y refuerza el acceso de privilegios mínimos para que solo los usuarios se conecten a las aplicaciones privadas específicas que utilizan.
La Política Siempre Activa permite a los administradores definir qué usuarios y dispositivos deben permanecer constantemente conectados a la Nube Cato para que su tráfico sea siempre inspeccionado y controlado por políticas de seguridad. Esta es una política granular que admite diferentes requisitos de conectividad para diferentes poblaciones de usuarios. Por ejemplo, a los empleados o dispositivos gestionados se les puede requerir permanecer conectados, mientras que a los contratistas o dispositivos no gestionados se les puede permitir conectividad bajo demanda o acceso a Internet directo.
Siempre Activo permite a las organizaciones alinear la aplicación de conectividad con el riesgo y la confianza. Escenarios de alta confianza o alto riesgo pueden requerir inspección continua, mientras que escenarios de menor riesgo pueden permitir conectividad más flexible sin comprometer la postura de seguridad general.
La siguiente tabla resume qué señales contextuales son admitidas por cada política de Cato discutida en las secciones anteriores. Cada fila representa una política, y cada columna representa una señal contextual. Esta tabla proporciona una referencia rápida de dónde se aplican las señales de acceso adaptativo en la plataforma Cato.
| Nombre de la Política | Puntuación de Riesgo del Usuario | Postura del Dispositivo | Cumplimiento Externo | Confianza en la Autenticación |
|---|---|---|---|---|
| Política de Conectividad del Cliente | No | Sí | Sí | Sí |
| Política de Acceso Privado (ZTNA) | Sí | Sí | Sí | No |
| Política Siempre Activa | No | Sí | Sí | No |
| Política de Cortafuegos de Internet | Sí | Sí | Sí | Sí |
| Política de Cortafuegos WAN | Sí | Sí | Sí | No |
| Control de Aplicaciones & Política de implementación DLP | No | Sí | Sí | No |
0 comentarios
Inicie sesión para dejar un comentario.