Zero Trust ayuda a las organizaciones a reducir su superficie de ataque y a responder a las amenazas con mayor rapidez, pero muchas aún tienen dificultades para implementarlo porque sus herramientas de seguridad no comparten las señales de manera confiable. El 88% de las organizaciones admiten que han sufrido importantes desafíos al intentar implementar estos enfoques, según Accenture . Cuando los productos no pueden comunicarse, las decisiones de acceso en tiempo real se interrumpen.
El marco de señales compartidas (SSF) tiene como objetivo solucionar este problema con una forma estandarizada de intercambiar eventos de seguridad. Sin embargo, la adopción es desigual. Por ejemplo, Kolide Device Trust no admite actualmente SSF.
Scott Bean, ingeniero sénior de seguridad e IAM de MongoDB, propuso una forma de resolver el problema, ofreciendo a los equipos una forma fácil e intuitiva de poner en funcionamiento el SSF en todo su entorno.
En esta guía, compartiremos una descripción general de flujo de trabajo , además de instrucciones paso a paso para ponerlo en funcionamiento.
El problema: las herramientas de IAM no son compatibles con SSF
Un requisito fundamental de Zero Trust son las señales continuas y confiables sobre la postura del usuario y del dispositivo. Sin embargo, muchas herramientas no son compatibles con el SSF para el Protocolo de evaluación del acceso continuo (CAEP), lo que dificulta compartir estas señales o actuar en consecuencia.
Los equipos suelen enfrentarse a tres desafíos:
- Las herramientas carecen de soporte nativo para SSF
- Las señales requieren enriquecimiento o correlación
- La administración de los puntos finales de SSF y el manejo de tokens aumenta la sobrecarga
Sin esta interoperabilidad, las organizaciones luchan por aplicar políticas consistentes y, en casos como Kolide Device Trust, los eventos críticos de los dispositivos nunca llegan a sistemas como Okta.
La solución: un transmisor SSF que convierte los problemas de Kolide en eventos CAEP
Como SSF se basa en solicitudes HTTPS, el estándar OpenID funciona con la acción HTTP de Tines.
Scott desarrolló un nuevo flujo de trabajo integrar Kolide Device Trust con Tines , lo que le permite enviar señales SSF a Okta. Si un dispositivo no es compatible, Kolide envía un mensaje al flujo de trabajo a través de un webhook. Tines enriquece la señal, se asegura de que se pueda vincular a un usuario, crea un token de eventos de seguridad (SET) y, a continuación, lo envía a Okta.
De este modo, Tines actúa como el tejido conectivo que hace que SSF funcione en todo el entorno de TI distribuido, incluso si las herramientas individuales no admiten el estándar de forma nativa.
Los dientes pueden:
- Recibe señales de Kolide (y herramientas similares) mediante webhook cuando un dispositivo deja de ser compatible
- Enriquece y correlaciona esas señales (p. ej., asignar dispositivo a usuario)
- Generar y firmar conjuntos que cumplen con la especificación SSF
- Entregárselos a Okta (y a otros proveedores de identidad) para hacer cumplir Zero Trust
- Aloje los puntos finales de metadatos SSF requeridos utilizando prefijos de ruta de API, lo que brinda a los sistemas consumidores un lugar que cumple con los estándares para buscar claves y descifrar tokens
Todo esto hace que la aplicación de Zero Trust sea más rápida, confiable y mucho más fácil de operar. Los equipos de TI cuentan con una evaluación continua y en tiempo real de los riesgos de los dispositivos, una respuesta más rápida a las amenazas y una orquestación de políticas más flexible. Además, los usuarios finales se benefician de la corrección automatizada, que ayuda a optimizar la productividad y minimizar la intervención de TI.
Si desea profundizar en la modernización de la identidad, el Guía Tines IAM explora cómo los equipos están unificando la confianza de los dispositivos, las decisiones de acceso y la aplicación de los privilegios mínimos con la automatización. El flujo de trabajo de Scott es uno de los muchos patrones internos del mundo real.
Descripción del flujo de trabajo
Herramientas necesarias:
- Dientes — plataforma de inteligencia artificial y orquestación de flujos de trabajo
- Kolide — monitorización de la postura y la confianza del dispositivo
- Okta — plataforma de identidad que recibe eventos del CAEP
Credenciales requeridas:
- Clave de API de Tines: `Equipo` con el rol de `Editor`
- Clave API de Kolide: solo lectura
- Secreto de firma de Kolide Webhook
Recursos necesarios:
Dominio de Okta, como example.okta.com, example.oktapreview.com o un dominio de marca.
Cómo funciona:
El flujo de trabajo crea un transmisor SSF de prueba de concepto que se puede registrar en Okta y envía los eventos CAEP de cambio de conformidad del dispositivo (enviados como SET), en función de los problemas generados en Kolide. Hay tres elementos:
1. Genere y almacene las claves de firma de SET (Los SET son tokens web JSON firmados):
- Crea un par de claves RSA y lo convierte al formato JWK.
- Publica la clave pública para que los receptores SSF validen las firmas SET.
- Almacena el conjunto de claves JWK privadas como un secreto de Tines.
2. Exponga la API del transmisor SSF
Los receptores SSF (como Okta) necesitan:
- un punto final de configuración .well-known/sse que describe el transmisor
- un punto final de JWK que expone la clave pública utilizada para verificar las firmas SET
- un activador de webhook actúa como la superficie de la API SSF
- la lógica devuelve la configuración .well-known
- la lógica devuelve los JWK
Una vez que esté disponible, los equipos pueden registrar un nuevo receptor de la SSF en Okta en:
- Seguridad → Integraciones de dispositivos → Reciba señales compartidas
Y cree una nueva transmisión con la URL de la API y el nuevo punto final `.well-known`
3. Crea, firma y envía eventos de SET desde Kolide
- Recibe a Kolide cuestión eventos a través de webhook y los valida utilizando el secreto de firma.
- Obtiene los metadatos del dispositivo y del usuario de Kolide.
- Construye un SET para un Cambio de conformidad del dispositivo Evento CAEP.
- Firma el SET con la clave privada almacenada mediante la fórmula JWT_SIGN.
- Envía el token firmado al punto final de eventos de seguridad de Okta.
Esto proporciona actualizaciones de cumplimiento de dispositivos en tiempo real a Okta para que las políticas de acceso puedan responder de inmediato.
Configuración del flujo de trabajo: guía paso a paso
Puedes crear y ejecutar todo este flujo de trabajo usando Edición comunitaria de Tines .
1. Inicia sesión en Tines o crea una cuenta nueva.
2. Navega hasta el flujo de trabajo prediseñado en la biblioteca. Selecciona importar. Esto debería llevarte directamente a tu nuevo flujo de trabajo prediseñado.
3. Reúna las credenciales requeridas
- Clave de API de Tines (disponible en equipo con función de editor)
- Clave de API de Kolide (solo lectura)
- Secreto de firma de Kolide Webhook
Esto garantiza la autenticación de las llamadas a Kolide y la validación segura de los webhooks.
4. Reúna los recursos necesarios
Necesitarás un dominio de inquilino de Okta, como:
- example.oktapreview.com
- example.okta.com
- o tu dominio personalizado de la marca Okta
Este dominio se usa para enviar SET firmados al punto final de eventos de seguridad de Okta.
Nota: En el ejemplo proporcionado, Scott lo configuró como un proveedor de «push» en lugar de un proveedor de «sondeos», ya que los tokens se envían en función de los webhooks entrantes, por lo que no es necesario almacenar el estado .
5. Genere sus claves de firma de SET
- Utilice la acción Generar conjunto de claves JWK para crear claves RSA
- Convierta las claves públicas y privadas al formato JWK (dos transformaciones de eventos)
- Almacene el conjunto de claves resultante usando un secreto de Tines
Esto es necesario para que Okta acepte y verifique tus SET.
6. Publica la API del transmisor SSF
El webhook de la API SSF contiene dos ramas:
-
.punto final conocido
- Desencadenante: conocido
- Transformación de eventos: devuelve la configuración SSF declarando las capacidades del transmisor
-
Punto final JWKS
- Activador: JwKS
- Transformación de eventos: devuelve los JWK públicos para que Okta pueda verificar las firmas
Una vez en vivo, Okta puede registrar este transmisor como remitente de señales compartidas.
7. Conecta Kolide y procesa los problemas del dispositivo
El flujo de integración de Kolide sigue estos pasos:
- Webhook: webhook de Kolide: recibe los eventos abiertos o resueltos de problemas
- Obtenga detalles del dispositivo: obtiene los metadatos del dispositivo implicado
- El dispositivo tiene un usuario: lógica de bifurcación para confirmar que un usuario está asociado
- Obtenga los detalles del usuario: busque los metadatos del usuario para la carga útil del CAEP
En función de si el problema es nuevo o está resuelto:
- Build SET: construye el evento CAEP device_compliance_change
- Firmar SET: utilice la clave privada RSA almacenada anteriormente para producir un SET compatible con SSF
- Enviar SET: envía el token final firmado al punto final de eventos de seguridad de Okta
Tan pronto como Okta recibe y verifica el SET, se actualiza el nivel de riesgo del usuario asociado.
Reuniéndolo todo
SSF existe para ayudar a las herramientas de seguridad a hablar el mismo idioma y ofrecer información continua sobre el riesgo y la postura del dispositivo. Sin embargo, cuando las herramientas clave no son compatibles con la norma, se abren brechas y las políticas de acceso van a la zaga de los cambios del mundo real.
Tines cierra estas brechas al permitir nuevos flujos de trabajo inteligentes. Garantizan que incluso las herramientas que no son compatibles con SSF puedan enviar información de la misma manera estandarizada. Al usar Tines para generar, firmar y enviar señales de cumplimiento en tiempo real, se obtienen los beneficios de SSF incluso cuando la herramienta de origen no se creó para ello.
Si quieres probar este flujo de trabajo tú mismo, puedes ponerlo en marcha en cuestión de minutos con un cuenta gratuita de Tines . Y si quieres ver cómo la postura del dispositivo encaja en una estrategia de identidad más amplia, esta guía sobre los flujos de trabajo de IAM modernos ofrece patrones prácticos y flujos de trabajo del mundo real como los de Scott en los que puedes empezar a construir hoy mismo.