MAN Energy Solutions hace posible la confianza cero

Cuando la seguridad tradicional comienza a fallar

Mientras la actividad experimenta un crecimiento global, se están produciendo cambios rápidos en tecnologías como IoT en motores y sistemas de todos los tamaños implementados en todo el mundo, muchos de los cuales están en movimiento, en el ámbito del transporte. Al mismo tiempo, el abundante personal global distribuido es cada vez más dinámico y requiere acceso móvil a aplicaciones web y aplicaciones comerciales personalizadas.

Los enfoques tradicionales de castillo y foso para la seguridad de redes y aplicaciones no se adaptan a las implementaciones modernas en la nube que permiten una escala y acceso globales, y el potencial de una postura de seguridad mejorada, a medida que las cargas de trabajo migran a AWS y Azure e Internet se convierte en la nueva red corporativa. Lo que se desea es hacer que estas aplicaciones no sean visibles en Internet y que el acceso esté autenticado solo entre usuarios y aplicaciones confiables.

MAN Energy Solutions descubrió que la mejora de la velocidad y la agilidad obtenidas en la implementación en la nube se estaba viendo perjudicada por una mala experiencia de usuario asociada con el acceso a aplicaciones a través de soluciones VPN corporativas heredadas, con mayores costes de dispositivos, software y redes MPLS. Además, querían obtener ventajas de seguridad asociadas con la ocultación de las aplicaciones en Internet.

"Estábamos proporcionando acceso a las aplicaciones a una plantilla distribuida y móvil utilizando una VPN tradicional a puertos de acceso detectables. El rendimiento se estaba viendo perjudicado. Nuestros empleados no estaban satisfechos con su experiencia. Nuestra postura de seguridad no estaba aprovechando todo su potencial. Esto no estaba en consonancia con lo que nuestras implementaciones de AWS y Azure podían proporcionar", indica Tony Fergusson, arquitecto de infraestructuras de TI de MAN. "Además, tenemos un equipo de operaciones relativamente pequeño que gestiona la infraestructura local, mientras que nuestro conjunto de datos y la necesidad de análisis en tiempo real y acceso a las aplicaciones se estaban disparando. Estas circunstancias se veían dificultadas a medida que modernizábamos nuestras aplicaciones internas, aportábamos más fuentes de datos en línea e implementábamos tecnologías y productos avanzados a nivel mundial".

El poder de Zscaler Zero Trust

Para MAN Energy Solutions (MAN), el paso a la nube supuso claras ventajas para hacer realidad sus desafíos empresariales. "Seguíamos viendo más empresas implementando con éxito casos de uso a escala global en la nube e identificamos enfoques arquitectónicos que se ajustaban a nuestros objetivos técnicos", dice Fergusson.

MAN recurrió a Zscaler en 2011 para mejorar la experiencia de los usuarios, reducir el coste del ancho de banda y cumplir con los cada vez más importantes objetivos de seguridad. MAN comenzó conectando usuarios móviles distribuidos globalmente a sus aplicaciones SaaS utilizando Zscaler Internet Access (ZIA). Posteriormente, eligieron a Zscaler para abordar los requisitos de protección de las amenazas avanzadas persistentes (APT).

A continuación, eligieron Zscaler Private Access (ZPA) para proporcionar acceso en cualquier momento y lugar a los contratistas y los trabajadores móviles a las aplicaciones que se ejecutaban localmente. Más recientemente, se ha introducido ZPA para el acceso seguro a las aplicaciones que se ejecutan en AWS y Azure, lo que ha mejorado la experiencia de los usuarios móviles y ha reducido los costes de red.

Acceso de confianza cero a aplicaciones internas

Zscaler Private Access (ZPA) proporciona acceso seguro basado en políticas a aplicaciones y activos privados sin el coste, la complejidad o los riesgos de seguridad de una VPN. La idea de ocultar las aplicaciones internas a los usuarios no autorizados ha ganado impulso desde la introducción de la red definida por software (SDN). El enfoque del modelo de confianza cero hace que sus servicios sean invisibles y que las aplicaciones y los usuarios deban autorizarse mediante SAML antes de establecer el acceso del usuario.

“Pudimos implementar un modelo de confianza cero o lo que yo llamo nube negra (SDP)”, dijo Fergusson. “Hemos implementado nuestra solución para reducir nuestra superficie de ataque y reemplazado los enfoques tradicionales con esta implementación moderna, segura y centrada en la nube. También tenemos un control granular sobre los permisos de los usuarios: cada empleado y contratista obtiene acceso solo a lo que necesita tener acceso". Con ZPA, el acceso de los contratistas está segmentado por aplicación, no por red.

Este enfoque también impide que el software malicioso pueda desplazarse lateralmente. Garantiza que el acceso solo pueda ser iniciado por un cliente a un servidor, y nunca al revés. Combinar estos dos paradigmas evita el movimiento lateral malicioso porque se validan todas las sesiones antes de que se conceda el acceso. Por lo tanto, se logra una mayor seguridad asumiendo un modelo de confianza cero y aplicando políticas basadas en la autenticación, la autorización y las aplicaciones conocidas y desconocidas del usuario.

Un enfoque moderno para conectar a los usuarios a escala mundial

Varios impulsores empresariales necesitaban una forma más rápida y segura de conectar los usuarios finales a sus aplicaciones, incluida la migración de aplicaciones empresariales internas y proyectos de desarrollo a la nube, una mayor adopción de servicios en la nube y la necesidad de desplegar el acceso a un creciente conjunto de empleados y socios distribuidos globalmente. Aunque esto proporciona una mayor flexibilidad y agilidad empresarial, seguir confiando en los enfoques tradicionales de VPN habría implicado el aumento de las necesidades de recursos de TI y de red.

La nube de Zscaler proporciona una alternativa elegante y potente. Eliminó la necesidad de contar con las tradicionales pilas de seguridad de hardware y software para el acceso remoto, y de que los usuarios finales utilicen un cliente de VPN y la heurística de acceso remoto cuando viajan, además de proporcionar una ruta alternativa para el tráfico. Esto reduce la exigencia de contar con túneles MPLS para la conectividad basada en Internet.

Ganar velocidad, agilidad y rendimiento

MAN Energy Solutions mejoró la experiencia de los usuarios finales al mismo tiempo que redujo la complejidad y los costes. Los usuarios finales ahora disfrutan de una experiencia completamente fluida y similar a la nube al acceder a las aplicaciones internas, independientemente de si estas se ejecutan en el centro de datos o en la nube. Los usuarios se conducen directamente a las aplicaciones, a través de la nube global de Zscaler, por lo que se omiten completamente los cuellos de botella que hay en el acceso remoto tradicional.

Esto proporciona una flexibilidad total en cuanto al lugar en el que se alojan las aplicaciones y protege los datos confidenciales con una conexión de microtúnel cifrada basada en TLS. Los usuarios nunca se colocan en la red, las aplicaciones nunca se exponen a usuarios no autorizados y la nube reduce la complejidad que suelen introducir las soluciones tradicionales.

Se consiguió una reducción porcentual de dos dígitos en los costes al eliminar la infraestructura VPN y las licencias de software. Además, el rendimiento de la red se mejoró mediante el uso de controles de ancho de banda para priorizar el tráfico crítico sobre el tráfico de menor prioridad, como la navegación web.

Una de las principales ventajas técnicas es que el equipo pudo reducir su superficie de ataque y proteger toda la administración en AWS y Azure. MAN utiliza el clúster de registro y análisis de ZPA para la transmisión de registros a su SIEM con el fin de aumentar la visibilidad del acceso y la actividad del usuario.

"Podemos implementar nuevas VPC y crear nuevos espacios de nombres en cuestión de minutos. La gran ventaja para nosotros es el uso del enrutamiento por espacio de nombres, de modo que podemos controlar el tráfico basado en el espacio de nombres, no en la IP. Esto nos permite crear políticas significativas. Podemos reducir el coste y la complejidad de la red. Nuestro proceso de incorporación de consultores es mucho más rápido. Ahora podemos incorporar consultores en cuestión de horas, en lugar de semanas", indicó Fergusson.