Hace poco leí un artículo que hablaba de un nuevo concepto en la administración de redes: la de-perimeterization.
Hasta ahora las principales barreras que podíamos poner los administradores en sus redes eran los cortafuegos. ¿Quien no tiene uno en su empresa?. Yo tengo un Cisco Pix de lo grandotes... y por si esto no fuera poco lo tenemos con otro en failover. Sin estos cacharros sería imposible pensar la seguridad en Internet y separar lo que nosotros pensamos que es "dentro" (lan) de lo que es "fuera" (internet).
Con todas las nuevas tecnologías de vpns, teléfonos, wlans, pda, ultraportatiles móviles... cada vez se me hace más difícil saber que es lo que está dentro de mi lan y lo que esta fuera.
Pues bien, el foro de jericho es una organización internacional de seguridad que intenta dar una nueva visión de la seguridad de redes aportando un nuevo paradigma que parece que puede dar una oportunidad a una mayor seguridad. El concepto de de-perimeterization hecha por tierra todo lo hemos aprendido en manera "tradicional" de hacer seguridad en redes.
Ellos explican la de-perimeterization de forma básica como "... la única estrategia de seguridad fiable consiste en proteger la información por sí misma, en vez de proteger la red y el resto de infraestructuras TI". Según ellos no hay ninguna red de confianza y cada dispositivo, base de datos o archivo debe protegerse a si mismo.
En el futuro cualquier base de datos o archivo poseerá cierta información que asegure que sólo pueda ser leeida y manipulada por las personas autorizadas. En la actualidad grupos como Oracle ya están trabajando en estos conceptos con su IRM.
El foro de jericho, como buen profeta tiene sus propios mandamientos en "los mandamientos del foro de jericho v1.2".
En resumidas dice:
1) El alcance y el nivel de protección debería estar especificado y ser el apropiado según el riesgo.
2) Los mecanismos de seguridad deben ser genéricos, simples, escalables y fáciles de utilizar.
3) Mantener el contexto según el peligro.
4) Los dispositivos y aplicaciones se tienen que comunicar utilizando protocolos seguros y abiertos.
5) Todos los dispositivos deben ser capaces de mantener su política de seguridad en una red que no sea de confianza.
6) Todos los usuarios y procesos deben están declaramos, así como los niveles de confianza para cualquier transacción que tenga lugar.
7) Los niveles de garantía de la confianza mutua deben ser determinables.
8) La autentificación, autorización y no repudio deben funcionar fuera del área de control.
9) El acceso a los datos debe están controlado por atributos de seguridad de los propios datos.
10) La privacidad de los datos requiere una segregación de las funciones y de los privilegios.
11) Por defecto, cuando se almacenan los datos, se envían o se utilizan tienen que tener la protección adecuada.
Amen.
¿que pensais vosotros de esto?, ¿llegará hacerse realidad esta forma de trabajar?.
Más información:
+ http://www.opengroup.org/jericho/about.htm
+ http://www.oracle.com/technology/products/content-management/irm/index.html
+ http://www.opengroup.org/jericho/commandments_v1.2.pdf
+ http://en.wikipedia.org/wiki/De-perimeterisation
Hace 4 horas
0 comentarios:
hacer un comentario en esta entrada