Políticas de Seguridad (Access Control) en NGAF – CuriosityCloud

Introducción

El módulo de Access Control del NGAF (Next Generation Application Firewall) en CuriosityCloud permite implementar políticas de seguridad altamente personalizables que controlan el flujo de tráfico entre zonas de red. Estas políticas definen qué tipo de tráfico está permitido o denegado entre distintas fuentes y destinos, según criterios de dirección IP, servicio, aplicación, horario o identidad del usuario.

Esta funcionalidad es esencial para garantizar una postura de seguridad sólida, evitando accesos no autorizados, limitando el movimiento lateral de amenazas y asegurando que únicamente los usuarios, dispositivos y aplicaciones autorizadas accedan a los recursos que les corresponden.

Objetivo

Este artículo proporciona una guía detallada sobre cómo utilizar el módulo de Access Control para crear, administrar y aplicar reglas de seguridad en el NGAF dentro de un tenant de CuriosityCloud, explicando cada uno de sus parámetros y las mejores prácticas de configuración.

Componentes del módulo de Access Control

Cada política de acceso está compuesta por diversos parámetros configurables:

1. Nombre de la política: Identificador único que permite reconocer fácilmente la regla.

2. Zona de origen (Source Zone): Define desde qué zona se origina el tráfico (ej. Trust, Untrust, DMZ, VPN).

3. Zona de destino (Destination Zone): Zona a la que está dirigido el tráfico.

4. Direcciones IP u objetos de red: Puede especificarse una IP única, un rango de direcciones o un grupo de objetos (previamente definidos) tanto para origen como destino.

5. Aplicación o servicio: Se puede especificar un puerto o protocolo específico (ej. TCP 80, UDP 53) o utilizar el motor de reconocimiento de aplicaciones para identificar tráfico de capa 7 como Facebook, Dropbox, WhatsApp, etc.

6. Identidad del usuario: Si se integra NGAF con Active Directory u otro sistema de autenticación, se pueden definir reglas para usuarios o grupos específicos (por ejemplo, permitir acceso a una base de datos solo a usuarios del grupo "DBA").

7. Horario (Schedule): Define la franja horaria en la que la política estará activa. Puede configurarse para días laborales, horarios específicos o 24x7.

8. Acción de la política: Determina la acción ante coincidencia de condiciones:

   • Allow: Permitir el tráfico.

   • Deny: Bloquear el tráfico.

   • Ask: Requiere intervención manual o autenticación.

9. Registro (Logging): Se puede habilitar para registrar todo el tráfico que coincide con la política, lo cual es útil para auditorías, forenses o diagnóstico.

10. Descripción: Campo opcional para documentar el propósito de la política.
    

Tipos de políticas

• Políticas L3/L4: Se basan en direcciones IP y puertos. Son las más utilizadas y rápidas de procesar.

• Políticas de Aplicación (L7): Identifican el tráfico a nivel de aplicación y permiten aplicar reglas específicas.

• Políticas basadas en usuario: Utilizan la identidad del usuario autenticado para aplicar reglas personalizadas.

• Políticas basadas en horario: Permiten habilitar el acceso solo en ventanas de tiempo definidas.

Procedimiento detallado para crear una política de seguridad

1. Acceder al NGAF desde CuriosityCloud: Inicia sesión como administrador en el firewall NGAF desde el panel del tenant.

2. Ir a la sección "Security Policy > Access Control" en el menú lateral.

3. Haz clic en "Add Policy" para crear una nueva regla.

4. Configura los campos obligatorios y adicionales:

   • Policy Name: Nombre identificador (ej. "Permitir_HTTP_Interno").

   • Source Zone / IP / Address Object: Zona de origen y dirección o grupo IP.

   • Destination Zone / IP / Address Object: Zona y dirección de destino.

   • Service/Application: Define el tipo de servicio (ej. HTTPS) o selecciona una aplicación específica.

   • User/User Group (opcional): Selecciona si la política se aplicará a usuarios autenticados.

   • Schedule: Define cuándo estará activa la regla.

   • Action: Elige entre Allow / Deny / Ask.

   • Log: Habilita si deseas registrar los accesos para análisis.

   • Descripción: Documenta brevemente la intención de la regla.

5. Guardar y ordenar: Guarda la política y utiliza la opción de ordenamiento para posicionarla correctamente (las reglas se procesan de arriba hacia abajo).

6. Aplicar los cambios: Haz clic en “Apply” para activar las nuevas políticas.
   
   
   

Buenas prácticas

• Utiliza nombres descriptivos para facilitar la administración.

• Ordena las reglas de más específicas a más generales.

• Evita usar rangos amplios o reglas permisivas por defecto.

• Habilita logging solo donde sea necesario para no saturar los logs.

• Revisa y actualiza las reglas periódicamente.

• Agrupa objetos de red y servicios para facilitar la reutilización.

Requisitos

• Acceso administrativo al NGAF desde el tenant en CuriosityCloud.

• Las políticas se aplican en tiempo real.

• Para reglas basadas en usuarios, se debe configurar previamente el sistema de autenticación (LDAP, AD).