Actualidad, Infraestructura, Transformación Digital
Manuel Márquez, Experto Senior en Sistemas de nuestro equipo de Besh nos cuenta la importancia de la seguridad de los servicios y comunicaciones en las empresas digitales.
En 2020 no debería contemplarse siquiera el uso de conexiones no seguras, sean del tipo que sean.
Aun así, resulta tedioso adaptarse a los cambios y a su vez, hacerlo con el menor impacto posible.
Cuando los términos HTTPS, SSL, TLS, certificado, etc, aparecen sobre la mesa, quizá no sepamos cómo proceder, que impacto tiene o si su implementación es costosa. Por ello, lo mejor es conocerlos un poco mejor y saber cómo podemos empezar a securizar nuestros servicios y comunicaciones.
TERMINOLOGÍA
HTTPS – Hypertext Transfer Protocol Secure
Es la versión segura del protocolo de comunicación de Internet que permite transferir hipertexto. Básicamente, HTTPS es el que se encarga de cifrar los datos que transfieren entre nuestro navegador y la web que estemos visitando. De lo contrario, toda la información que introducimos u obtenemos sería visible para un atacante.
SSL – Secure Sockets Layer
Este es el primero de los dos protocolos en los HTTPS se basa para cifrar los datos que intervienen en la comunicación. Cuando accedemos a una web cifrada por SSL, el navegador solicita a la web una porción de su certificado para comprobar que la conexión está cifrada correctamente y la conexión es segura. En caso contrario, obtendremos un aviso o incluso se bloqueará el acceso por seguridad.
TLS – Transport Layer Security
Este es el otro protocolo que utiliza HTTPS para cifrar los datos. Es el sucesor del SSL y aunque funciona bajo las mismas premisas ofrece mejoras de seguridad y elimina, versión a versión, características anteriores que pudieran ser vulnerables. Actualmente, se encuentra en la versión 1.3 que, aunque fue aprobada en marzo de 2018 está teniendo una fase de adaptación más lenta de lo que debería.
CERTIFICADO
Se trata de un conjunto de ficheros que se incluyen en el servidor web, para permitir al navegador saber que la comunicación será segura y confiable durante la navegación.
Aunque todo el mundo los conoce por certificados SSL, actualmente todo certificado emitido lo hace sobre el nuevo protocolo TLS.
Los certificados pueden incluirse en otros servicios o dispositivos, como por ejemplo routers, balanceadores, proxys o firewalls, servidores de bases de datos, correo o FTP e incluso para securizar la comunicación por SSH O VPN.
¿QUÉ NECESITO PARA SECURIZAR MIS SERVICIOS?
En primer lugar, es necesario comprender el tipo de servicio que se pretende proteger. No todos los certificados son igualmente válidos dependiendo del servicio. Aunque para la mayoría de servicios es suficiente con un certificado DV (Dominio validado), para otros servicios es recomendable y en ocasiones obligatorio, incluir certificados OV (Organización validada) o EV (Validación extendida). Aun requiriendo mayor documentación para ser validados, ofrecen un grado de confianza y seguridad mayor y sirven para validar la existencia física de una empresa.
Después, deberemos evaluar el nivel de seguridad que queremos adoptar. A veces, mayor seguridad implica menor compatibilidad y actualmente es importante que nuestros servicios sean compatibles con el mayor tipo de dispositivos y software posible.No toda la seguridad que podemos introducir se limita al certificado. Además, podemos incluir una limitación de protocolos aceptados, una suite de cifrado o cabeceras que especifiquen una seguridad mínima o bloqueen ciertas características.
Por último, tenemos que valorar los costes de implementar una solución u otra. Cuando el coste es muy alto quizá la solución no es la más apropiada.Cuando se pretende añadir seguridad a nuestros servicios, es importante tener en cuenta que un certificado nos proporciona una seguridad limitada. Es decir que hay otras soluciones adicionales que se requieren implementar para mantener un entorno confiable. Si aplicar todas las soluciones supone un coste muy alto, la prioridad siempre deben ser los datos sin descuidar el resto.
SECURIZACIÓN
Pongamos el siguiente caso:
Tenemos un negocio y queremos desplegar una tienda online. Se estima que el volumen de esta tienda sea de un nivel medio. Para ello, se ofrecerá una web con múltiples formas de pago online.
La web está actualmente funcionando en un entorno de calidad y se desea que para el entorno de preproducción se puedan realizar pruebas con los diferentes tipos de pago, así como realizar una auditoría de seguridad previa a su puesta en producción.
Para ello y teniendo en cuenta lo aprendido, tendremos que adaptar nuestra web HTTP a HTTPS. Configurar un cifrado en todos los servicios que puedan interactuar entre sí (Servidor web, Base de datos, indexador, etc) y establecier una política mínima de seguridad.
El cifrado lo podremos obtener con un certificado y debido a la tipología del servicio, se ha decidido obtener un certificado OV.
Además, los últimos navegadores han endurecido su política. De esta forma, para cuando la web esté en producción, tenemos que asegurar que cumple con los estándares propuestos por la mayoría de navegadores y que sea compatible con muchos tipos de dispositivos. Elegimos por lo tanto compatibilidad con TLS 1.2 y 1.3 y una suite de cifrado alta. Para el entorno web añadimos además una configuración extra que limite el tiempo de sesión y añada ciertas características de seguridad adicionales.
Con esto hemos conseguido para el entorno de preproducción que los datos viajen cifrados entre servicios y entre el navegador cliente y el servidor web, además de cumplir con los requisitos mínimos de los medios de pago elegidos.
Si tras la explicación de nuestro experto Manuel Márquez tienes dudas más personalizadas con tu caso, no dudes en ponerte en contacto con nosotros. El equipo de expertos estará a tu disposición para estudiar atentamente la situación de tu negocio.
Deja un comentario