En la actualidad, existe un gran número de definiciones, patrones de implementación e implicaciones de una arquitectura de confianza cero (ZTA) en el sector de las TI. Aunque Esri no está en posición de definir o implantar una estrategia de ZTA para una organización determinada, ArcGIS es un conjunto de software y herramientas que funciona dentro de un entorno de TI y que está cada vez más sujeto a las limitaciones, normas y políticas que pueda implantar una ZTA. A continuación, se describen algunas de las consideraciones para utilizar ArcGIS con la ZTA.
El sistema ArcGIS se ha diseñado desde el punto de vista de la arquitectura del software para basarse en ciertos supuestos en cuanto al acceso a la red, la apertura y la compatibilidad, un planteamiento que también se conoce como confianza implícita. Con este planteamiento de diseño, el despliegue de ArcGIS en un entorno de ZTA puede presentar retos o limitaciones funcionales sin una comprensión cuidadosa de la estrategia de ZTA de una organización y un planteamiento claro de planificación e implementación.
Esri ha trabajado y sigue trabajando para satisfacer la demanda de patrones de implementación preparados para la ZTA en cada versión de software. En muchos sentidos, ArcGIS admite hoy posturas de seguridad similares a la ZTA, ya que el software puede configurarse para que exija la autenticación de todos los usuarios, administre cuidadosamente los permisos y autentique a todos los usuarios de aplicaciones o clientes remotos antes de ver los datos o acceder a ellos. Si esta postura de seguridad existente cumple suficientemente los requisitos de seguridad para una organización específica es una decisión que debe tomar una organización después de consultarla y considerarla detenidamente.
En la práctica, la mayoría de las organizaciones implementan la ZTA utilizando una combinación de nuevas políticas, nuevas tecnologías y nuevas arquitecturas de red. En general, esto implica alejarse del estilo de implementación de redes de área amplia (WAN), en el que la comunicación entre sistemas de la misma red ha sido en gran medida abierta y sin restricciones, y la autenticación se administra con protocolos y herramientas específicos de la aplicación. Este planteamiento de red tradicional se basa en proteger el perímetro de la red, lo que resulta eficaz contra ciertas amenazas, pero puede dejar el resto de la red vulnerable a un actor externo que haya sido capaz de violar el perímetro seguro.
La ZTA parte del supuesto de que este patrón anterior de acceso a la red, en gran medida abierto, es fundamentalmente inseguro. Sugiere que los usuarios, los dispositivos, las aplicaciones y los servicios se autentiquen con más frecuencia, con más cuidado y en más lugares que nunca. Un objetivo común de la ZTA es conseguir una sesión de mínimos privilegios, de duración limitada, para cualquier actividad de red que se produzca entre dos componentes o usuarios de un sistema. Se puede utilizar un espectro de políticas y planteamientos técnicos para perseguir este objetivo y, en última instancia, cada organización es responsable de definir su propio diseño para la ZTA, rediseñarla para cumplir con este diseño y monitorizar su cumplimiento a lo largo del tiempo.
ArcGIS Online, como solución de software-as-a-service, se sitúa generalmente fuera de los límites de una definición de ZTA. Se debe a que la seguridad y los controles de dicho sistema son responsabilidad de Esri como proveedor, y los usuarios de este sistema dependen de su confianza y de su acuerdo con Esri para cumplir estos objetivos.
En un sistema SaaS, todos los usuarios acceden exclusivamente a ArcGIS Online mediante solicitudes HTTPS a extremos REST conocidos y protegidos, sin acceso a los sistemas backend, a la red que los aloja ni a ningún otro recurso protegido. Esri proporciona una línea base de seguridad para ArcGIS Online junto con una variedad de configuraciones de seguridad o privilegios que pueden configurarse para adaptarse a las necesidades de seguridad de cada organización en un sistema SaaS, desde la restricción del acceso predeterminado de los usuarios hasta el control de privilegios y el uso compartido de contenidos.
ArcGIS Pro es una aplicación de escritorio para Windows que se utiliza para una amplia variedad de flujos de trabajo de análisis, edición y visualización de datos. A lo largo de estos flujos de trabajo, ArcGIS Pro se conecta generalmente a datasets que pueden organizarse en tres categorías:
Siempre que estas conexiones requieran autenticación, ArcGIS Pro debe conocer la norma de autenticación y admitirla específicamente para que los usuarios puedan conectarse a esa ubicación de datos. El software admite actualmente una amplia variedad de patrones de autenticación, desde usuarios de bases de datos hasta identidades empresariales o autenticación de sistemas operativos, claves y secretos de acceso, credenciales de cuentas de servicio y otros. La ZTA implementa con frecuencia requisitos de autenticación nuevos y más complejos para los sistemas de almacenamiento, como la autenticación multifactor del usuario o la eliminación del soporte para las cuentas de servicio headless o las cuentas dedicadas de acceso a datos. Cualquier implementación de los controles de seguridad de la ZTA en bases de datos, sistemas de archivos, servicios web u otros sistemas de almacenamiento de datos debe considerarse cuidadosamente para tener en cuenta el impacto potencial para los usuarios de ArcGIS.
ArcGIS Pro también realiza solicitudes HTTPS cuando se comunica con ArcGIS Enterprise, ArcGIS Online u otros servicios web externos. Cuando estas solicitudes se protegen de forma inesperada o utilizando patrones de aplicación de la ZTA similares a los de los navegadores, como la administración de sesiones basada en cookies, es posible que ArcGIS Pro no pueda conectarse a estos extremos, ya que actualmente solo admite un conjunto de patrones de acceso de seguridad conocidos y cuidadosamente probados para las solicitudes HTTPS.
Otras aplicaciones de escritorio de ArcGIS como ArcGIS Drone2Map, ArcGIS Earth, ArcGIS AllSource, Survey123 o Insights Desktop también pueden verse afectadas por las decisiones de arquitectura de la ZTA. Cada una de estas aplicaciones utiliza conexiones basadas en HTTPS para consultar y visualizar datos, por lo que son pertinentes las mismas advertencias o preocupaciones.
La seguridad de los dispositivos y aplicaciones móviles es un área rica, compleja y difícil de la ciberseguridad. Su importancia ha aumentado con la adopción generalizada de flujos de trabajo en aplicaciones móviles, unida al incremento del uso personal por parte de empleados y miembros de un entorno empresarial. Entre los temas de seguridad móvil más comunes se encuentran la gestión de la movilidad empresarial (EMM), el registro de dispositivos, la administración de extremos, la gestión del tráfico, la gestión de dispositivos móviles (MDM) y la gestión de aplicaciones móviles (MAM), entre otros. Diversas soluciones de proveedores también contribuyen o persiguen dar soporte al aumento de la seguridad de los flujos de trabajo móviles, así como controles basados en el usuario y en el comportamiento que pueden ayudar a prevenir estos problemas.
Aunque los dispositivos móviles pueden admitir las VPN a nivel de dispositivo y de aplicación, o similares, el concepto de VPN como solución a la ciberseguridad se cuestiona en una ZTA, y muchas aplicaciones móviles esperan que existan servicios orientados a Internet, para poder acceder a ellos desde señales inalámbricas públicas y ubicaciones variadas.
La ZTA se implementa con frecuencia para flujos de trabajo de dispositivos móviles requiriendo alguna combinación de autenticación basada en dispositivos, registro de dispositivos y monitorización continua del acceso. Estos controles se implementan con frecuencia en el nivel del sistema operativo móvil, al que pueden o no acceder las aplicaciones móviles de ArcGIS. A modo de ejemplo, un dispositivo puede registrarse con Azure Entra ID, que luego puede utilizarse como comprobación condicional antes de permitir la autenticación a través de Azure AD, pero si la aplicación móvil de ArcGIS no es consciente del requisito, o de cómo acceder a la información de registro del dispositivo, no se enviará al extremo de Entra ID y la autenticación puede fallar.
ArcGIS Enterprise es un conjunto basado en servidor de aplicaciones web y servicios web a los que los usuarios acceden a través de solicitudes HTTPS desde un cliente, ya sea éste un navegador, una aplicación móvil o una aplicación de escritorio. Mientras que los impactos sobre esos clientes se discuten en secciones anteriores, el propia ArcGIS Enterprise también puede verse afectada por una configuración de ZTA. Por ejemplo, si una política del sistema exige que se autentiquen todas las solicitudes de la red interna, esa política podría incluir todas las solicitudes de componente a componente de ArcGIS Enterprise, que se protegen con tokens y claves administrados por ArcGIS o con una autenticación de usuario y contraseña. Si una red está diseñada para filtrar cada solicitud de red interna, para exigir un determinado certificado, clave o encabezado, es probable que estas solicitudes de componentes internos se bloqueen y fallen.
Los impactos arriba mencionados subrayan la importancia de comprender las especificidades de cualquier implementación de confianza cero para prepararse para su posible impacto con los componentes de ArcGIS. Un planteamiento para lograr los requisitos de confianza cero con ArcGIS es considerar la postura de seguridad existente del sistema, que todas las solicitudes de los usuarios se autentican individualmente mediante tokens de ArcGIS, que es un mecanismo sólido, y validar suficientemente la actividad de los usuarios para alcanzar este estándar.
Una tecnología común utilizada como parte de los controles de una arquitectura de confianza cero es un proxy consciente de la identidad. Aunque este patrón puede lograr algunos objetivos para el tráfico basado en navegador, es probable que interfiera con el acceso desde ArcGIS Pro o aplicaciones móviles a ArcGIS Enterprise.