Suscríbete para recibir notificaciones de nuevas publicaciones:

Un terminal Zero Trust en tu navegador web

2021-04-15

6 min de lectura
Esta publicación también está disponible en English, 日本語, 한국어 y 简体中文.

Cloudflare for Teams ofrece a organizaciones de cualquier tamaño la posibilidad de añadir controles Zero Trust a recursos y datos, a la vez que se mejora el rendimiento con la red de Cloudflare. A partir de hoy, tu equipo puede utilizar esa misma plataforma para conectarse sin problemas a recursos sin protocolo HTTP desde dentro de un navegador con el mismo nivel de control de auditoría disponible en las aplicaciones web.

A Zero Trust terminal in your web browser

El terminal basado en navegador de Cloudflare reproduce una consola totalmente funcional que el usuario puede iniciar con un solo clic. Los usuarios se autentican con el inicio de sesión único de su organización, y el perímetro de Cloudflare comprueba que cumplen las reglas Zero Trust establecidas por el equipo para el recurso al que se está accediendo.

Una vez aprobados, los usuarios pueden ejecutar comandos a través de SSH como si usaran su línea de comandos nativa, sin necesidad de configuración del lado del cliente o de agente. La red de Cloudflare acelerará su conexión, aplicará reglas acerca de qué transferencias de datos se pueden realizar y grabará la sesión para que los administradores puedan auditarla cuando sea necesario.

Desarrollamos el terminal basado en navegador de Cloudflare basándonos en conversaciones con clientes que están teniendo dificultades para proteger y entregar aplicaciones ubicadas fuera del navegador. Hemos escuchado a desarrolladores que tenían que lidiar con el uso, y el soporte, de los flujos de trabajo existentes para conectarse a través de SSH a las máquinas, o ampliar las aplicaciones heredadas a grandes equipos de trabajo en remoto.

Empezamos con un terminal para los casos de uso de SSH, pero la plataforma de Cloudflare proporcionará una interfaz basada en navegador para prácticamente cualquier aplicación que tu equipo necesite. Tu equipo de seguridad puede crear reglas Zero Trust para determinar quién puede acceder a esos recursos y de qué forma, a la vez que registra cada conexión. Podrás añadir funciones de seguridad avanzadas para grabar las sesiones, e inspeccionar y filtrar los datos para evitar que se inicien incidentes en conexiones sin protocolo HTTP, como SSH y, pronto, también RDP.

La plataforma también hace que las aplicaciones sean más rápidas para tus usuarios finales. La red de Cloudflare acelera las conexiones de tus servicios a tu equipo en cualquier región. Los miembros actuales del equipo pueden migrar a un modelo Zero Trust, sin necesidad de realizar ninguna configuración del lado del cliente. Los nuevos empleados pueden encontrar todos los recursos que necesitan, y no solo las aplicaciones web, en una única ubicación e iniciarlos con un solo clic.

Desafíos de las aplicaciones no web

Controles Zero Trust

El trabajo de un departamento informático para añadir controles Zero Trust a una aplicación web es ahora más sencillo gracias a los navegadores web, los proxies inversos y las cookies de navegador. Las aplicaciones web que solían estar en una red privada pueden implementarse detrás de un proxy inverso, como Cloudflare, y los usuarios pueden visitar una dirección DNS pública en cualquier navegador web mientras el proxy inverso comprueba la identidad. Cloudflare Access se basa en estas herramientas para dar a tu equipo la posibilidad de añadir reglas Zero Trust a cualquier aplicación web en menos de 10 minutos.

Las aplicaciones no web plantean algunos desafíos. La mayoría de las aplicaciones tradicionales que requieren un cliente pesado se basan en redes privadas. El software de cliente espera llegar a una IP privada, a través de un protocolo específico, y para casi todas las organizaciones resulta imposible que esa IP sea pública debido al riesgo de pérdida de datos. Incluso si fuera pública, los usuarios finales tendrían que ejecutar el software de cliente en su dispositivo.

La autenticación de esas aplicaciones también se basa en enfoques heredados. Los desarrolladores tienen claves SSH de larga duración para llegar a las máquinas, y los usuarios empresariales guardan los nombres de usuario y las contraseñas en notas adhesivas para las sesiones de RDP. Este tipo de recursos dificultan o impiden la integración con tu proveedor de inicio de sesión único y otros controles como la postura del dispositivo.

Seguridad y registro de datos

También puedes usar Cloudflare para registrar todos los eventos de autenticación, y las solicitudes y respuestas HTTP, sin necesidad de cambiar el código del lado del servidor. Los equipos pueden implementar una capa de registro completa para cualquier aplicación web junto con los controles Zero Trust, sin necesidad de cambiar el código del lado del servidor.

Nuestros clientes nos han comentado que sigue habiendo una falta de control y registro de datos en "cualquier otra aplicación" fuera del navegador. Mientras los equipos invierten en mejoras considerables en las aplicaciones web, todo lo que está fuera del navegador es un punto ciego.

Experiencia del usuario

Gracias a los navegadores web, casi cualquier aplicación SaaS es accesible para cualquier usuario en cualquier dispositivo. Un usuario puede utilizar cualquier portátil de cualquier fabricante y editar una hoja de cálculo de Excel en Microsoft 365 o actualizar un registro de cliente en Salesforce.

Esa facilidad de uso empieza a venirse abajo para cualquier otra combinación que incluya un dispositivo móvil o una aplicación que no se ejecute en el navegador. Algunas organizaciones envían hardware dedicado con un sistema operativo específico a ciertos miembros del equipo que lo necesiten. Cada vez más equipos dependen de costosas plataformas de virtualización que ralentizan los flujos de trabajo de los usuarios.

Independientemente del enfoque del lado del cliente, la conectividad entre el usuario y el recurso también sufre los mismos problemas que cualquier red privada tradicional. El tráfico se redirecciona a través de dispositivos centralizados y, debido al rendimiento lento de la red, los usuarios tienen dificultades para completar los flujos de trabajo esenciales, como la gestión de máquinas de producción o la planificación de los recursos empresariales.

Configuración del lado del cliente

Migrar a un modelo Zero Trust puede ser un fastidio cuando los usuarios finales tienen que cambiar la configuración local de las aplicaciones no web. Cuando nuestro propio equipo eliminó por primera vez nuestra VPN, la sala de chat más popular se convirtió en un hilo en el que los ingenieros compartían archivos de configuración SSH y respondían a preguntas sobre qué variables de entorno establecer para llegar a las cargas de trabajo de Kubernetes.

El descubrimiento de aplicaciones también es un problema. Las organizaciones tienen que actualizar las páginas wiki con los inventarios de direcciones IP y puertos de los servicios más utilizados. Los usuarios finales tienen que pedir ayuda a otros miembros del equipo para poder conectarse a un recurso concreto.

Lanzamiento de un terminal auditable basado en el navegador

Con nuestro anuncio de hoy, nos complace ayudar a tu equipo a afrontar estos cuatro desafíos. Al igual que los flujos de aplicaciones web, la solución se implementa en apenas unos minutos, no requiere ninguna configuración por parte del usuario final y solo consta de tres componentes:

  1. La ejecución de tu servicio en un entorno local o en una nube pública

  2. Una conexión segura desde ese servicio hasta el perímetro de Cloudflare mediante el uso de un daemon ligero llamado cloudflared

  3. El navegador de un usuario, donde Cloudflare reproduce la sesión SSH

Aplica controles Zero Trust a cualquier recurso

Hemos hablado con empresas cuyos requisitos de cumplimiento exigen añadir la autenticación de segundo factor a todas sus aplicaciones autoalojadas, pero han calculado que necesitarían meses de desarrollo para realizarlo. Con Cloudflare Access, tu equipo puede utilizar la autenticación de segundo factor de tu proveedor de identidad como requisito para llegar a aplicaciones de cualquier tipo en cuestión de minutos.

Puedes añadir este tipo de reglas basadas en la identidad en forma de capas con otras señales, como el país en el que se encuentra el usuario, o el estado del dispositivo, con integraciones con Tanium, Carbon Black, Crowdstrike y otros proveedores. Las organizaciones pueden exigir que los usuarios se conecten solo desde los dispositivos corporativos o crear flujos de inicio de sesión que sean compatibles con proveedores empresariales como Okta y Azure AD, además de opciones de autenticación pública como GitHub y Google.

La plataforma Zero Trust de Cloudflare también ayuda a tu equipo a deshacerse de procesos de autenticación obsoletos, como las claves de seguridad SSH de larga duración. La solución toma el código JWT (JSON Web Token) emitido durante el inicio de sesión y lo convierte en certificados de corta duración que autorizan la sesión del usuario en una máquina.

Audita las sesiones y protege los datos en cada aplicación

La plataforma Cloudflare Zero Trust Apps proporciona a tu equipo el mismo nivel de control sobre los archivos, los datos e incluso los comandos que tienes actualmente en Cloudflare Gateway, y lo aplica a cualquier tipo de aplicación compatible en tu empresa.

En primer lugar, ahora tu equipo puede crear reglas que controlen quién en tu organización puede transferir datos a o desde una máquina a través de una conexión SSH o a un escritorio en remoto a través de RDP. Crea reglas por máquina, identidad de usuario y grupo, o país y dispositivo. Mantén los datos en los escritorios o máquinas en tus entornos y fuera de los dispositivos itinerantes que están fuera de tu organización.

Próximamente, implementa una solución de alta visibilidad sin apenas esfuerzo, activando la grabación de sesiones para cualquier tipo de conexión. Cloudflare Zero Trust Apps grabará la pantalla de cualquier sesión, agrupará las grabaciones en intervalos y las enviará a la ubicación de almacenamiento que hayas configurado. También añadiremos a este flujo el registro de comandos estructurados y la entrada de datos con teclado.

Inicia cualquier aplicación con un solo clic

El lanzamiento de hoy no solo mejora la seguridad de cualquier aplicación de tu organización, sino que también facilita la vida a todos tus usuarios.

La interfaz basada en navegador de Cloudflare Zero Trust Apps se puede iniciar desde un único panel de control que se adapta a los permisos de cada usuario final. Los usuarios se conectan a una página de inicio que controla tu organización y Cloudflare muestra cada aplicación a la que pueden acceder: web, SSH, RDP y otras.

Los usuarios pueden hacer clic en cualquier mosaico de su vista para iniciar la interfaz de una aplicación determinada sin tener que salir del navegador. El flujo de inicio de sesión Zero Trust de Cloudflare les autoriza a la sesión, y pueden empezar a trabajar sin tener que modificar los archivos de configuración SSH ni editar los clientes RDP en local.

También funciona con dispositivos móviles. Cloudflare puede representar la sesión en cualquier navegador habitual en tabletas y teléfonos, lo que permite que los técnicos en un lugar de trabajo o los usuarios que no estén en su escritorio puedan llegar a cualquier servicio con la misma fluidez con la que podrían conectarse a una aplicación web.

Acelera la experiencia del usuario

Como cualquier producto en Cloudflare One, esta solución no obliga a tu equipo a elegir entre seguridad y rendimiento. Cloudflare Zero Trust Apps hace más rápidas las aplicaciones que tu equipo necesita.

El enfoque empieza con el desarrollo sobre la tecnología de aislamiento remoto del navegador de Cloudflare Browser. Cloudflare Zero Trust Apps reproduce la aplicación en el navegador como si fuera una aplicación nativa. Los usuarios pueden resaltar, copiar/pegar, y utilizar atajos.

A continuación, la solución usa la red de Cloudflare para acelerar el tráfico desde el servidor hasta tu usuario final. Cloudflare determina la ruta más rápida a través de nuestra red troncal global, y proporciona la experiencia a tu equipo desde un centro de datos cercano del conjunto de centros de datos distribuidos en más de 200 ciudades en más de 100 países.

¿Y después?

El lanzamiento de hoy empieza con la compatibilidad con SSH. Tenemos previsto seguir añadiendo compatibilidad con otros tipos de aplicaciones en los próximos meses, además del registro de comandos estructurados y el filtrado para SSH. ¿Tu equipo tiene dificultades para utilizar algún recurso específico? Cuéntanoslo para que podamos priorizar mejor la expansión.

Si tu equipo usa Cloudflare Access para los flujos SSH, puedes empezar a utilizar Zero Trust Apps inmediatamente con un simple cambio en la configuración. Para empezar, sigue las instrucciones aquí.

Como parte de Cloudflare for Teams, tu organización puede empezar a utilizar Cloudflare Zero Trust Apps sin coste alguno para un máximo de 50 usuarios como parte del plan gratuito de Cloudflare for Teams. Las funciones de seguridad avanzadas, como la grabación de sesiones, estarán disponibles en el plan Standard de Cloudflare for Teams.

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
Developer Week (ES)DesarrolladoresZero TrustSSHCloudflare AccessCloudflare OneSeguridadNoticias de productos

Síguenos en X

Cloudflare|@cloudflare

Publicaciones relacionadas

24 de octubre de 2024, 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....