MAN Energy Solutions hace posible zero trust

Cuando la seguridad tradicional comienza a fallar

Si bien la actividad experimenta un crecimiento global, se están produciendo cambios rápidos en tecnologías como IoT en motores y sistemas de todos los tamaños implementados en todo el mundo, muchos de los cuales están en marcha en el transporte. Al mismo tiempo, la gran fuerza de trabajo global distribuida es cada vez más móvil y requiere acceso móvil a aplicaciones web y aplicaciones comerciales personalizadas.

Los enfoques tradicionales de seguridad de redes y aplicaciones de tipo castle-and-moat no se adaptan a las implementaciones modernas en la nube que permiten una escala global, un acceso global y el potencial de una postura de seguridad mejorada a medida que las cargas de trabajo migran a AWS y Azure e Internet se convierte en la nueva red corporativa. Lo que se desea es hacer que estas aplicaciones no sean visibles para Internet, con acceso autenticado solo entre usuarios confiables y aplicaciones confiables.

MAN Energy Solutions descubrió que la mejora en velocidad y agilidad gracias a la implementación en la nube se estaba viendo desequilibrada por una mala experiencia de usuario asociada con el acceso a aplicaciones a través de soluciones VPN corporativas heredadas, con mayores costos de redes de dispositivos, software y MPLS. Además, había un deseo de obtener ventajas de seguridad asociadas la ocultación de las aplicaciones en Internet.

"Estábamos proporcionando acceso a las aplicaciones a una fuerza de trabajo distribuida y móvil utilizando una VPN tradicional a puertos de acceso detectables. El rendimiento se estaba viendo perjudicado. Nuestros empleados no estaban satisfechos con su experiencia. Nuestra postura de seguridad no estaba alcanzando todo su potencial. Esto no concordaba con lo que nuestras implementaciones de AWS y Azure podían proporcionar", afirmó Tony Fergusson, arquitecto de infraestructura de TI de MAN. "Además, tenemos un equipo de operaciones relativamente pequeño que administra la infraestructura local, mientras que nuestro conjunto de datos y la necesidad de análisis en tiempo real y acceso a las aplicaciones estaban en constante aumento. Estas circunstancias se volvían más difíciles a medida que modernizábamos nuestras aplicaciones internas, aportábamos más fuentes de datos en línea e implementábamos tecnologías y productos avanzados a nivel mundial".

El poder de Zscaler Zero Trust

Para MAN Energy Solutions (MAN), el paso a la nube supuso claras ventajas para hacer realidad sus desafíos empresariales. "Seguíamos viendo más empresas implementando con éxito casos de uso a escala global en la nube e identificamos enfoques arquitectónicos que se ajustaban a nuestros objetivos técnicos", dice Fergusson.

MAN recurrió a Zscaler en 2011 para mejorar la experiencia de los usuarios, reducir el costo del ancho de banda y cumplir con los cada vez más importantes objetivos de seguridad. MAN comenzó conectando usuarios móviles distribuidos globalmente a sus aplicaciones SaaS utilizando Zscaler Internet Access (ZIA). Posteriormente, eligieron a Zscaler para abordar los requisitos de protección contra las amenazas avanzadas persistentes (APT).

A continuación, eligieron Zscaler Private Access (ZPA) para proporcionar acceso a las aplicaciones que se ejecutaban localmente en cualquier momento y lugar, a los contratistas y la fuerza de trabajo móvil. Más recientemente, se ha introducido ZPA para el acceso seguro a las aplicaciones que se ejecutan en AWS y Azure, lo que ha mejorado la experiencia de los usuarios móviles y ha reducido los costos de red.

Acceso zero trust a aplicaciones internas

Zscaler Private Access (ZPA) proporciona acceso seguro basado en políticas a aplicaciones y activos privados sin el costo, la complejidad o los riesgos de seguridad de una VPN. La idea de ocultar las aplicaciones internas a los usuarios no autorizados ha ganado impulso desde la introducción de la red definida por software (SDN). El enfoque del modelo zero trust hace que sus servicios sean invisibles y que las aplicaciones y los usuarios deban autorizarse mediante SAML antes de establecer el acceso del usuario.

“Pudimos implementar un modelo zero trust, o lo que yo llamo Blackcloud (SDP)”, dijo Fergusson. “Hemos implementado nuestra solución para reducir nuestra superficie de ataque y reemplazado los modelos tradicionales con esta implementación moderna, segura y centrada en la nube. También tenemos un control granular sobre los permisos de los usuarios: cada empleado y contratista obtiene acceso solo a lo que necesita tener acceso." Con ZPA, el acceso de los contratistas está segmentado por aplicación, no por red.

Este modelo también impide que el software malicioso pueda desplazarse lateralmente. Garantiza que el acceso solo pueda ser iniciado por un cliente a un servidor, y nunca al revés. Combinar estos dos paradigmas evita el movimiento lateral malicioso porque se validan todas las sesiones antes de que se conceda el acceso. Por lo tanto, se logra una mayor seguridad asumiendo un modelo zero trust y haciendo cumplir políticas basadas en la autenticación, la autorización y las aplicaciones conocidas y desconocidas del usuario.

Un modelo moderno para conectar a los usuarios a escala mundial

Varios impulsores empresariales necesitaban una forma más rápida y segura de conectar los usuarios finales a sus aplicaciones, incluida la migración de aplicaciones empresariales internas y proyectos de desarrollo a la nube, una mayor adopción de servicios en la nube y la necesidad de implementar el acceso a un creciente conjunto de empleados y socios distribuidos globalmente. Aunque esto proporciona una mayor flexibilidad y agilidad empresarial, seguir confiando en los modelos tradicionales de VPN habría requerido el aumento de recursos de TI y de red.

La nube de Zscaler proporciona una alternativa elegante y potente. Eliminó la necesidad de contar con las tradicionales pilas de seguridad de hardware y software para el acceso remoto, y de que los usuarios finales utilicen un cliente de VPN y la heurística de acceso remoto cuando viajan, además de proporcionar una ruta alternativa para el tráfico. Esto reduce la exigencia de contar con túneles MPLS para la conectividad basada en Internet.

Ganar velocidad, agilidad y rendimiento

MAN Energy Solutions mejoró la experiencia de los usuarios finales al mismo tiempo que redujo la complejidad y los costos. Los usuarios finales ahora disfrutan de una experiencia continua y similar a la nube al acceder a las aplicaciones internas, independientemente de si se ejecutan en el centro de datos o en la nube. Se lleva a los usuarios directamente a las aplicaciones, a través de la nube global de Zscaler, por lo que se omiten completamente las restricciones del acceso remoto tradicional.

Esto proporciona una flexibilidad total en cuanto al lugar en el que se alojan las aplicaciones y protege los datos confidenciales con una conexión de microtúnel cifrada basada en TLS. Los usuarios nunca se colocan en la red, las aplicaciones nunca se exponen a usuarios no autorizados y la nube reduce la complejidad que suelen introducir las soluciones tradicionales.

Se consiguió una reducción porcentual de dos dígitos en los costos al eliminar la infraestructura VPN y las licencias de software. Además, el rendimiento de la red se mejoró mediante el uso de controles de ancho de banda para priorizar el tráfico prioritario sobre el tráfico de menor prioridad, como la navegación web.

Una de las principales ventajas técnicas es que el equipo pudo reducir su superficie de ataque y proteger toda la administración en AWS y Azure. MAN utiliza el clúster de registro y análisis de ZPA para la transmisión de registros a su SIEM con el fin de aumentar la visibilidad del acceso y la actividad del usuario.

"Podemos implementar nuevas VPC y crear nuevos espacios de nombres en cuestión de minutos. La gran ventaja para nosotros es el uso del enrutamiento por espacio de nombres, de modo que podemos controlar el tráfico basado en el espacio de nombres, no en la IP. Esto nos permite crear políticas significativas. Podemos reducir el costo y la complejidad de la red. Nuestro proceso de incorporación de consultores es mucho más rápido. Ahora podemos incorporar consultores en cuestión de horas, en lugar de semanas", indicó Fergusson.