BeyondCorp: la solución de Google para olvidarnos de las VPN

VPN ha sido y sigue siendo una de las palabras más repetidas por las empresas en los últimas semanas. Con miles de empleados trabajando en casa, empresas de todo el mundo recurren a estas conexiones seguras con el objetivo de garantizar la continuidad de su negocio. Pero como saben bien en Cisco, desplegar de forma masiva conexiones VPN ni es sencillo ni siempre ofrece los mejores resultados.

Así que en Google han pensado que tiene que haber una forma mejor para conectarse a los centros de trabajo de forma segura. El nombre que le han dado es BeyondCorp y según los de MountainView, gracias a la magia del cloud es capaz de ofrecer lo mismo que una VPN sin necesitar contar con una.

A diferencia de una VPN tradicional que establece la identificación del usuario en el perímetro de la red empresarial, BeyondCorp traslada el trabajo de autenticación a cada dispositivo y usuario , utilizando lo que definen como «acceso contextual Zero Trust».

Como explican en Google, con este acceso contextual se verifica la identidad del usuario según el contexto en el que se produce la solicitud (ejemplo, el sr.López quiere conectarse a el cloud de mi empresa utilizando un dispositivo autorizado por la misma en un horario autorizado e incluso, desde una latitud geográfica aprobada), lo que según la compañía «proporciona un control más granular de las cargas de trabajo sobre Google Cloud Platform y de sus aplicaciones web, incluidas las de G Suite».

De esta forma, los usuarios pueden acceder a las aplicaciones web y a los recursos de la infraestructura de la compañía (máquinas virtuales, cargas de trabajo, datos, etc.) desde prácticamente cualquier dispositivo, sin necesidad de tener que habilitar una pasarela de acceso remoto vía VPN para cada uno de estos. ¿De qué forma se realiza la verificación de identidad del usuario? Como hemos visto tenemos el acceso contextual, a lo que se añade  la autenticación de doble factor sobre la plataforma, ya sea con un SMS, aplicación móvil o incluso las llaves de seguridad que utilizan los propios Googlers (las ya famosas Titan Keys).

BeyondCorp puede desplegarse tanto en las soluciones cloud de Google, como en el propio centro de datos de las empresas o como también afirman desde Google, incluso en otras nubes públicas como las de Amazon Web Services o Microsoft Azure.

Como muchos habrán intuido ya, BeyondCorp únicamente tiene sentido si pensamos en una VPN como un modo de conectarnos a los servidores de la empresa (ya sea al CpD o a su cloud) pero ni encripta ni anonimiza el tráfico que se produce entre los equipos de los usuarios y el resto de la web.

Es decir, aunque sustituye en parte a lo que puede ofrecernos una VPN y resulta más escalable para todas esas tareas relacionadas con el acceso remoto al centro de trabajo, si lo que nos interesa es navegar de forma segura en escenarios de movilidad seguiremos necesitando contar con nuestra «vieja conexión privada virtual».