Suscríbete para recibir notificaciones de nuevas publicaciones:

Cómo la seguridad de Cloudflare ejecuta Zero Trust

2022-06-24

5 min de lectura
Esta publicación también está disponible en English, Français, Deutsch, 日本語, 한국어 y 简体中文.

A lo largo de la semana Cloudflare One, ofrecimos tácticas sobre cómo reemplazar tus dispositivos heredados con servicios Zero Trust. Usar nuestros propios productos forma parte de la cultura de nuestro equipo, y queremos compartir nuestras experiencias cuando implementamos Zero Trust.

How Cloudflare Security does Zero Trust

Nuestro recorrido fue similar al de muchos de nuestros clientes. No solo queríamos mejores soluciones de seguridad, sino que también las herramientas que utilizábamos dificultaban nuestro trabajo más de lo necesario. Empezamos buscando una alternativa a la conexión remota en una VPN engorrosa, pero poco después estábamos implementando soluciones Zero Trust para proteger la navegación web y el correo electrónico de nuestros usuarios. Lo siguiente que queremos hacer es mejorar la seguridad de nuestro SaaS con nuestro nuevo producto CASB.

Sabemos que empezar a usar Zero Trust puede parecer abrumador, así que esperamos que puedas aprender de nuestra propia experiencia y de las ventajas que nos proporcionó.

Sustituir una VPN: Cloudflare Access

En 2015, todas las aplicaciones alojadas internamente en Cloudflare tenían acceso a una VPN basada en hardware. Los ingenieros en servicio encendían un cliente en su portátil, se conectaban a la VPN y entraban en Grafana. Este proceso era frustrante y lento.

Muchos de los productos que creamos son resultado directo de los desafíos a los que se enfrenta nuestro propio equipo, y Access es un ejemplo perfecto de ello. Access, que empezó como un proyecto interno en 2015, permitía que los empleados accedieran a las aplicaciones internas a través de nuestro proveedor de identidad. Empezamos con una sola aplicación detrás de Access para mejorar los tiempos de respuesta a incidencias. Los ingenieros que recibían una notificación en sus teléfonos podían pulsar en un enlace y, tras autenticarse mediante su navegador, conseguían de forma inmediata el acceso que necesitaban. En cuanto la gente empezó a trabajar con el nuevo flujo de autenticación, querían que estuviera en todas partes. Finalmente, nuestro equipo de seguridad nos obligó a migrar nuestras aplicaciones a Access, pero durante mucho tiempo fue algo completamente orgánico, pues los equipos estaban deseando utilizarlo.

Con la autenticación en nuestro perímetro de la red, pudimos dar soporte a una plantilla distribuida por todo el mundo sin la latencia de una VPN, y pudimos hacerlo de forma segura. Además, nuestro equipo está comprometido a proteger nuestras aplicaciones internas con los mecanismos de autenticación más seguros y más fáciles de usar, y la autenticación en dos fases es uno de los controles de seguridad más importantes que se pueden implementar. Con Cloudflare Access, podemos confiar en los sólidos mecanismos de autenticación en dos fases de nuestro proveedor de identidad.

No todos los segundos factores de autenticación ofrecen el mismo nivel de seguridad. Algunos métodos siguen siendo vulnerables a los ataques de tipo "Man in the middle" (MITM). Estos ataques suelen consistir en agentes maliciosos que roban las contraseñas de un solo uso, normalmente a través de tácticas de phishing, para acceder a recursos privados. Para acabar con esa posibilidad, implementamos claves de seguridad compatibles con FIDO2. FIDO2 es un protocolo de autenticación diseñado para prevenir el phishing, y lo consideramos en ese momento como una mejora de nuestra dependencia de los tokens de software.

Aunque la implementación FIDO2 puede dar problemas de compatibilidad, nos encantó la idea de mejorar nuestra postura de seguridad. Cloudflare Access nos permitió limitar el acceso a nuestros sistemas solo a FIDO2. Ahora los usuarios de Cloudflare deben utilizar sus claves de hardware para acceder a nuestras aplicaciones. La incorporación de Access no solo fue un gran avance en lo relativo a la facilidad de uso, sino que la aplicación de las claves de seguridad supuso una enorme mejora de nuestra postura de seguridad.

Mitigar las amenazas y evitar la exfiltración de datos: Gateway y aislamiento remoto del navegador

Implementar un DNS seguro en nuestras oficinas

Unos años más tarde, en 2020, los equipos de seguridad de muchos clientes tenían problemas para ampliar los controles que habían habilitado en la oficina a sus trabajadores remotos. En respuesta, lanzamos Cloudflare Gateway, que ofrece a los clientes protección contra malware, ransomware, phishing, comando y control, Shadow IT y otros riesgos de Internet en todos los puertos y protocolos. Gateway dirige y filtra el tráfico en función de las políticas implementadas por el cliente.

Nuestro equipo de seguridad empezó con Gateway para implementar el filtrado de DNS en todas nuestras oficinas. Ya que Gateway fue creado sobre la misma red que 1.1.1.1, el solucionador de DNS más rápido del mundo, cualquier oficina actual o futura de Cloudflare tendrá filtrado de DNS sin incurrir en latencia adicional. Cada oficina se conecta al centro de datos más cercano y está protegida.

Implementación de un DNS seguro para nuestros usuarios en remoto

El cliente WARP de Cloudflare también fue creado sobre nuestro solucionador de DNS, 1.1.1.1. Amplía la seguridad y el rendimiento que se proporcionan en las oficinas a los dispositivos corporativos remotos. Con el cliente WARP implementado, los dispositivos de la empresa se conectan al centro de datos de Cloudflare más cercano y se enrutan a Cloudflare Gateway. Al colocarse entre el dispositivo empresarial e Internet, es segura toda la conexión del dispositivo, y ofrece también más velocidad y privacidad.

Queríamos ampliar el filtrado seguro de DNS a los teletrabajadores e implementamos el cliente WARP de Cloudflare en nuestra flota de dispositivos de puntos finales. La implementación permitió que nuestros equipos de seguridad pudieran preservar mejor nuestra privacidad al encriptar el tráfico DNS a través de DNS sobre HTTPS (DoH). Mientras tanto, Cloudflare Gateway clasifica los dominios basándose en Radar, nuestra propia plataforma de información sobre amenazas, lo que nos permite bloquear los dominios de alto riesgo y sospechosos para los usuarios de todo el mundo.

Incorporación del filtrado de HTTPS y el aislamiento de navegador

El filtrado de DNS es una herramienta útil de seguridad, pero se limita a bloquear dominios enteros. Nuestro equipo quería un instrumento más preciso para bloquear únicamente las URL maliciosas, y no todo el dominio. Debido a que Cloudflare One es una plataforma integrada, ya se había completado la mayor parte de la implementación. Todo lo que necesitábamos era añadir la CA raíz de Cloudflare a nuestros puntos finales y luego activar el filtrado de HTTP en el panel de control Zero Trust. Con esos sencillos pasos, pudimos implementar controles de bloqueo más granulares.

Además de un bloqueo más preciso, el filtrado de HTTP nos permite implementar control de inquilinos. Con el control de inquilinos, las políticas HTTP de Gateway regulan el acceso a las aplicaciones empresariales de SaaS. Las políticas se implementan con el uso de encabezados HTTP personalizados. Si el encabezado de la solicitud personalizada está presente y la solicitud se dirige a una cuenta de la organización, se concede el acceso. Si el encabezado de la solicitud está presente y la solicitud se dirige a una cuenta que no sea de la organización, como una cuenta personal, se puede bloquear la solicitud o se abrirá en un navegador aislado.

Después de proteger el tráfico de nuestros usuarios en las capas DNS y HTTP, implementamos la función de aislamiento de navegador, que permite que todo el código del navegador se ejecute en la nube en la red de Cloudflare. Esto aísla nuestros puntos finales de los ataques maliciosos y de las técnicas habituales de exfiltración de datos. Algunos productos de aislamiento remoto del navegador añaden latencia y frustran a los usuarios. La función de aislamiento de navegador de Cloudflare utiliza la potencia de nuestra red para ofrecer una experiencia inmejorable para nuestros empleados. Mejoró rápidamente nuestra postura de seguridad sin comprometer la experiencia del usuario.

Prevenir los ataques de phishing: incorporación de la seguridad del correo electrónico de Area 1

Ademas, a principios de 2020, observamos un aumento en los intentos de phishing notificados por los empleados. Nuestro proveedor de correo electrónico basado en la nube tenía un potente filtro de spam, pero se quedaba corto a la hora de bloquear amenazas maliciosas y otros ataques avanzados. Al experimentar un aumento del volumen y la frecuencia de los ataques de phishing, pensamos que había llegado el momento de buscar opciones más completas para proteger el correo electrónico.

El equipo buscaba cuatro competencias principales en un proveedor: capacidad de analizar los archivos adjuntos del correo electrónico, capacidad de analizar enlaces sospechosos, protección del correo electrónico de la empresa y solidez de las API de los proveedores de correo electrónico nativos de nube. Después de probar muchos proveedores, Area 1 se convirtió en la elección clara para proteger a nuestros usuarios. Implementamos su solución a principios de 2020, y los resultados han sido fantásticos.

Debido a la abrumadora respuesta positiva al producto y el deseo de ampliar nuestra cartera de soluciones de Zero Trust, en abril de 2022 Cloudflare adquirió Area 1 Email Security. Nos ilusiona ofrecer a nuestros clientes las mismas protecciones que nosotros mismos utilizamos.

Novedades: Primeros pasos con el CASB de Cloudflare

Cloudflare adquirió Vectrix en febrero de 2022. El CASB de Vectrix ofrece una función que estamos deseando añadir a Cloudflare One. La seguridad de SaaS es un problema creciente para muchos equipos de seguridad. Las herramientas de SaaS almacenan cada vez más datos empresariales confidenciales, así que los errores de configuración y el acceso externo pueden suponer una amenaza importante. No obstante, proteger estas plataformas puede suponer un importante desafío en cuestión de recursos. Las revisiones manuales en busca de errores de configuración o archivos compartidos externamente son procesos que necesitan mucho tiempo, aunque sean necesarios para muchos clientes. CASB reduce la carga de los equipos al garantizar los estándares de seguridad con el análisis de las instancias de SaaS y la identificación de las vulnerabilidades con solo unos clics.

Queremos asegurarnos de que garantizamos las mejores prácticas para la seguridad de SaaS, y como muchos de nuestros clientes, tenemos que proteger muchas aplicaciones SaaS. Siempre buscamos oportunidades para hacer que nuestros procesos sean más eficientes, así que estamos emocionados por incorporar uno de nuestros productos más nuevos de Zero Trust.

Siempre nos esforzamos por mejorar

Cloudflare se enorgullece de implementar y probar sus propios productos. Nuestro equipo de seguridad trabaja directamente con el producto para probarlo primero a nivel interno. Nuestra misión es ayudar a mejorara Internet, y eso significa proporcionar información útil de nuestros equipos internos. Como principal consumidor de los productos de Cloudflare, el equipo de seguridad no solo ayuda a mantener a la empresa más segura, sino que también contribuye a crear mejores productos para nuestros clientes.

Esperamos que hayas disfrutado de la semana Cloudflare One. Nos ha encantado compartir nuestras experiencias contigo. Para ver nuestro resumen de la semana, visita Cloudflare TV.

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
Cloudflare One WeekSeguridadCloudflare Zero TrustZero TrustCloudflare AccessDogfooding (ES)

Síguenos en X

Tim Obezuk|@obezuk
Cloudflare|@cloudflare

Publicaciones relacionadas

23 de octubre de 2024, 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...