A partir de hoy, puedes crear reglas Zero Trust que requieran autenticación periódica para controlar el acceso a la red. Llevamos años ofreciendo esta función para las aplicaciones web, pero nos ilusiona llevar este nivel de aplicación granular a las conexiones TCP y a los flujos UDP.
Nos complace anunciar la disponibilidad general de las sesiones de cliente Zero Trust. Durante la CIO Week de 2021, anunciamos el programa beta para esta función. Hemos incorporado los comentarios de los primeros usuarios a la versión disponible para el público general. En esta publicación, volveré a explicar por qué son importantes las sesiones de cliente Zero Trust, cómo funciona la función y lo que hemos aprendido durante la versión beta.
Cómo proteger el tráfico con sesiones
Diseñamos las sesiones de cliente Zero Trust para mejorar la seguridad del acceso a la red Zero Trust (ZTNA) de Cloudflare. El cliente Zero Trust es un software que se ejecuta en el equipo de un usuario y reenvía todo el tráfico del equipo a Cloudflare antes de que se envíe por Internet. Esto incluye el tráfico destinado a las direcciones IP y nombres de host internos que suelen albergar aplicaciones empresariales con información confidencial. Tradicionalmente se accedía a estas aplicaciones confidenciales con una VPN. A diferencia de las VPN, la solución ZTNA de Cloudflare permite que los administradores establezcan políticas granulares sobre quién puede acceder a un recurso específico. La única pieza que faltaba era que una vez que un usuario registraba su equipo con el cliente Zero Trust, la sesión se quedaba abierta para siempre. Debido a esto, los portátiles perdidos o robados, las estaciones de trabajo compartidas y los dispositivos personales suponían un riesgo mayor del debido. Creamos sesiones basadas en el cliente Zero Trust para solucionarlo.
Las sesiones de cliente Zero Trust requieren que el usuario se vuelva a autenticar con su proveedor de identidad antes de poder acceder a determinados recursos. La ventana emergente de autenticación solo se activa cuando un usuario intenta acceder a un recurso protegido. Con esto, se evitan ventanas emergentes innecesarias para los usuarios, en los casos en los que no sea necesaria una sesión. Los administradores pueden especificar la frecuencia con la que quieren que sus usuarios se vuelvan a autentificar, en función del recurso. Esto es posible porque se guarda la última autenticación correcta del usuario, y se evalúa con respecto a cualquier política de ZTNA con una sesión configurada.
Lo que hemos aprendido durante la versión beta
Durante la versión beta de las sesiones de cliente Zero Trust, hemos trabajado estrechamente con nuestros clientes y con el propio equipo de seguridad de Cloudflare para identificar las áreas que necesitaban una mejora inmediata. Identificamos dos áreas principales de mejora antes de abrirlo al público general: las ventanas emergentes, que pueden llegar a ser molestas, y la autenticación basada en el navegador, que no siempre es posible. Identificamos nuevas estrategias para servir correctamente una ventana emergente de autenticación a un usuario sin que fuera demasiado molesta. En el futuro, los usuarios podrán controlar cuándo reciben las notificaciones para autenticarse. La otra área de mejora era que, en ciertos equipos y sistemas operativos, la autenticación basada en el navegador no siempre era posible. Tenemos planeado añadir una opción para autenticar directamente desde el propio cliente Zero Trust.
¿Y ahora qué?
Esto es solo el comienzo de la autenticación basada en el cliente Zero Trust. En el futuro, tenemos planeado añadir opciones para la autenticación multifactor escalonada, y opciones de inscripción automatizada mediante certificados y tokens de servicio. ¡Empezar es fácil! Consulta esta guía para configurar sesiones basadas en el cliente Zero Trust en tu panel de control Cloudflare Zero Trust.