Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

Autenticación robusta en los servicios de información de

Anuncio 
P R O Y E C T O S
Autenticación robusta
en los servicios de información
de Meliá Hotels International
Meliá Hotels International ha implantado la tecnología de autenticación múltiple
VinAccess de Víntegris en sus sistemas de información con el objetivo de posibilitar
el uso segurode sus aplicaciones internas
y servicios cloud hacia el conjunto de sus
hoteles y servicios en todo el mundo, con los
requerimientos adecuados de seguridad de
acceso y autenticación robusta.
Llorenç Vives Ramis / José Mª Jiménez de la Concepción
Meliá Hotels International es una de las compañías hoteleras más grandes del mundo, además de
líder absoluto del mercado español. En la actualidad
dispone de más de 350 hoteles distribuidos en 40
países de 4 continentes, con más de 38.000 empleados o colaboradores.
Meliá Hotels International requería habilitar los
controles de autenticación robustos para poder publicar con garantías de seguridad el uso de algunos
de sus servicios centrales a todos los empleados y
colaboradores desde sus hoteles y sedes regionales.
En una primera fase, estos servicios centrales se
publicarían mediante un sistema de acceso remoto
basado en VPN/SSL, que sería el portal de entrada a
los servicios centralizados; pero en sucesivas fases
el proceso de autenticación para cada uno de dichos
servicios se iría publicando directamente en internet.
El modelo tecnológico concreto que cumpliera
estos objetivos debía elegirse en función de una
serie de premisas de funcionalidad, seguridad y
escalabilidad, entre las que se encuentran:
• Capacidad para establecer diferentes tipos
de autenticación dentro de una misma solución,
pudiendo tener la facultad de utilizar diferentes tipos de mecanismos de autenticación, posibilitando
y favoreciendo, además, la estrategia de movilidad
de la compañía.
• Poder definir el tipo de autenticación según
el rol o el nivel de riesgo asociado con la operativa
de cada empleado o colaborador.
• Capacidad para que determinados usuarios
puedan disponer de varios tipos de autenticación a
la vez, de tal modo que se puedan establecer accesos alternativos.
• Alta disponibilidad de la solución de autenticación, balanceo de carga y tolerancia a fallos del
sistema, con la necesidad de que los diferentes tipos de autenticación puedan ser globales y utilizables desde cualquier parte del mundo y a cualquier
hora.
• Flexibilidad de integración en el futuro para
que se puedan incorporar otros tipos de autenticación utilizando la misma solución tecnológica.
• Solución escalable en número de usuarios y
en número y tipo de autenticadores.
• Logística automatizada para la distribución
de los autenticadores, dada la dispersión geográfica
de los usuarios.
58
mentación para todos los empleados y la opción de
modalidad de servicio gestionado, fueron también
consideraciones observadas en el momento de la
elección. Con todos estos elementos de juicio se
determinó la elección de la tecnología vinACCESS
de Víntegris como la más idónea para cubrir los
objetivos descritos.
LA TECNOLOGÍA
vinACCESSde Víntegris es un sistema central de
autenticación que permite múltiples tipos de autenticadores a la vez para cada usuario, integrable con
diferentes tipos de aplicaciones, sistemas frontales,
servicios en cloud y logon a la estación de trabajo,
con auditoría centralizada y alta disponibilidad.
vinACCESS soporta los siguientes métodos de
autenticación: OTP por SMS, OTP por correo-e, OTP
por imagen, tarjeta de coordenadas, certificado digital y autenticador móvil vinTOKEN (OTP de tiempos,
Figura 1.- Esquema de arquitectura de la implementación de vinACCESS.
Para Meliá Hotels International, disponer de un sistema robusto de
autenticación que se adapte, tanto desde el punto de vista de integración
a los diferentes entornos tecnológicos, como desde el de la posibilidad
de evolución a nuevos métodos de autenticación, proporciona una
extraordinaria versatilidad que permite al grupo avanzar en su estrategia
de digitalización de los procesos de negocio.
• Disponer de una auditoría central de control
de cualquier intento de autenticación desde cualquier
sistema integrado en la autenticación robusta.
• Integración flexible con diferentes tipos de
aplicaciones, sistemas frontales, servicios de acceso remoto y sistemas en cloud utilizados en Meliá
Hotels International.
• Integración con repositorio de usuarios
basado en múltiples forest de Active Directory y
LDAPs.
• Solución intuitiva y fácil de gestionar por parte del área de Operación de sistemas.
El coste de la solución, a la hora de su imple-
OTP de eventos, OTP de desafío y respuesta, OTP
de desafío y respuesta basado en QR, todos ellos
en base a los respectivos IETF RFCs de OATH). El
autenticador móvil vinTOKEN está disponible para
plataformas Android, iOS, BlackBerry y Windows
Phone.
La tecnología vinACCESSse compone de un
motor de autenticación, un gestor de distribución
automática de autenticadores, interfases de integración basados en RADIUS, REST/Json y HTTPS,
APIs de integración con aplicaciones, frontal de Administración/HelpDesk y auditoría centralizada.
El motor de autenticación se encarga de gesFEBRERO 2015 / Nº113 /
SiC
P R O Y E C T O S
vinACCESS ya implementada y en funcionamiento
tionar las etapas de que se compone una sesión de
validación. Algunos de los mecanismos de autentidesde la primera fase se integró en dichas aplicacación se completan en un solo paso, mientras que
ciones.
otros necesitan varias interacciones con el usuario
Los sistemas de negocio basados en frontal
(por ejemplo, en el caso de enviar un OTP vía SMS
SAP se integraron con vinACCESS mediante un
debe comprobarse antes la validez de su PIN). El
componente JAAS de vinACCESScompatible con
SAP, que permite que el portal SAP NetWeaver puemotor de autenticación se encarga de mantener el
da utilizar el proceso de autenticación robusto que
estado de esa autenticación hasta su decisión final
implementa vinACCESS. A través del Single SignOn
de éxito o fallo.
interno de SAP/NetWeaver, una vez autenticado, el
Toda la información relacionada con los diferentes tipos de autenticadores reside de forma cifrada
usuario puede acceder al resto de aplicaciones puen una base de datos interna de vinACCESS. Para
blicadas en SAP.
la información de usuarios y grupos, vinACCESS
Uno de los requisitos que estableció Meliá
utiliza en modo lectura el Directorio Activo u otro
Hotels International es que este servicio de autendirectorio LDAP de la compañía.
El producto provee una serie de APIs en
Java, .NET y PHP, que permiten a los frontales web y de aplicaciones propietarias del
cliente poder delegar la autenticación en el
sistema. De esta forma, a la vez que se independiza el desarrollo aplicativo de la parte
de seguridad, se consigue utilizar un mismo
marco de autenticación para todas las aplicaciones que participan del sistema.
vinACCESS dispone de un frontal web
de fácil uso para Administración y HelpDesk.
Al administrador se le permite gestionar y
crear autenticadores, asignarlos a usuarios
y consultar auditoría y configuración. Al Figura 2.- Esquema de autenticación robusta en Office365.
operador de HelpDesk se le permite realizar
ticación robusta discriminara el punto de entrada,
soporte a los usuarios con sus autenticadores y
de forma que si el acceso se produce desde las
generar clave de emergencia de un solo uso (OTP
redes internas, el sistema de autenticación permitido
de emergencia) para habilitar el acceso del usuario
es el habitual de usuario y contraseña corporativo,
al sistema en casos concretos.
mientras que cuando el acceso proviene originalmente de una red fuera de la intranet se exigen las
LA IMPLANTACIÓN
credenciales robustas.
Con la decisión de Meliá Hotels International
Primera fase: el acceso remoto
de migración del servicio de correo-e a un servicio
gestionado en el cloud en modalidad SaaS, se deterSe estableció un modelo de instalación de la
minó que la autenticación de entrada al mismo debía
tecnología con servidores vinACCESS redundantes
estar protegida convenientemente con un segundo
en los CPDs de Madrid y Palma de Mallorca. En
factor de autenticación, más allá de la contraseña
primera instancia se habilitaron los sistemas de
habitual. Meliá Hotels International, con el objetivo
acceso remoto VPN/SSL mediante autenticación
de disponer de un solo sistema de autenticación
robusta basada en tarjeta de coordenadas y OTP
integrado, decidió extender la solución establecida
por SMS via RADIUS hacia vinACCESS.
e implantar sobre la tecnología Microsoft Office365
En una segunda instancia, y ya dentro de la
en nube la autenticación vinACCESS mediante el
estrategia de publicación segura de servicios a insistema de servicios de federación de Microsoft
ternet en la compañía, se integraron una serie de
ADFS. Con el mismo autenticador robusto del que
aplicaciones propias importantes, de modo que su
los usuarios ya disponían para el resto de serviacceso se realizara mediante autenticación robusta.
cios, ahora podían autenticarse al correo en cloud
Para ello se utilizaron las librerías de enlace interfaz
utilizando la contraseña más ese autenticador ya
de autenticación que proporciona vinACCESS para
disponible.
lenguajes de programación y aplicaciones propietarias (Java, .NET, PHP).
Distribución de los autenticadores
Después de un piloto con un grupo reducido de
usuarios, se realizó el despliegue de autenticadores
Más allá de las necesidades técnicas, y dado el
para el resto de la organización, para la utilización
gran volumen de usuarios y su dispersión geográde estos servicios.
fica (por todo el mundo), se pensó que la solución
tecnológica debía cubrir perfectamente los aspectos
Segunda fase: servicios al exterior
relacionados con la ayuda al empleado final y el
despliegue de los autenticadores.
La siguiente etapa en la evolución del proyecto
La tecnología dispone de un motor de distribuconsistió en la apertura a servicios corporativos a
ción de autenticadores que se basa en la perteneninternet, los basados en portales SAP y el correo-e.
cia al grupo de usuarios del directorio, estipulado
En este ámbito, uno de los requisitos de la compañía
para que todos sus miembros puedan utilizar un
fue disponer de mecanismos de autenticación rotipo determinado de autenticador. Cuando vinACbustos para estos servicios. Para tal fin, la solución
SiC
/ Nº113 / FEBRERO 2015
CESS detecta por primera vez una pertenencia de
un usuario a un grupo designado para un tipo de
autenticador, genera un email o SMS automático al
usuario y le envía un PIN de seguridad informando
del alta en el uso de autenticador, o, en su caso, la
propia tarjeta de coordenadas.
Con el establecimiento de los autenticadores
móviles vinTOKEN, esta distribución automática
consiste en el envío por email de un código de activación único y personal, que permite al usuario final
registrar su propio autenticador de acceso desde un
móvil con la app vinTOKEN instalada.
Con este sistema de distribución se minimizan
las acciones administrativas, dado que el gestor de
identidades de la compañía está integrado
con el directorio activo, de tal modo que no
es necesario intervenir directamente sobre
vinACCESS para las altas y bajas ni la distribución de autenticadores.
Experiencias y reflexiones
Con la implantación de la tecnología de
autenticación robusta se ha posibilitado al
negocio abrir sus servicios para acceder de
forma directa –pero con las garantías de seguridad– desde cualquier parte del mundo.
Esta experiencia es un ejemplo práctico de
cómo desde el ámbito de la seguridad de la
información se pueden potenciar y facilitar
las estrategias de negocio y el acceso seguro desde
cualquier lugar a las aplicaciones que soportan procesos críticos de negocio para la organización.
Esta implantación ha favorecido también la estrategia de deslocalización y centralización de servicios corporativos críticos, ofreciendo soluciones seguras globales a la compañía y eliminando servicios
locales redundantes, que suponen un sobrecoste a
nivel global. A medida que se ha hecho necesario,
la autenticación robusta se ha podido ir incorporado
en los diferentes sistemas y aplicaciones que se han
planteado, de forma que los procesos de acceso
más allá del usuario y la contraseña se han podido
armonizar y homogeneizar frente al usuario. A la
vez, se dispone de una auditoría de autenticaciones
central para todos los sistemas integrados, aspecto
que ha facilitado el control y seguimiento desde el
punto de vista de la seguridad.
Para Meliá Hotels International, el poder disponer de un sistema robusto de autenticación
que se adapte, tanto desde el punto de vista de
integración a los diferentes entornos tecnológicos,
como desde la posibilidad de evolución a nuevos
métodos de autenticación, proporciona una extraordinaria versatilidad que permite al grupo avanzar
en su estrategia de digitalización de sus procesos
de negocio. 
Llorenç Vives Ramis
Information Security Manager,
CISA, CISM, CGEIT, CCS-G
MELIÁ HOTELS INTERNATIONAL
José María Jiménez de la Concepción
Director Técnico, CISSP, CISA
VINTEGRIS
59
Documentos relacionados
Desde los inicios de la informática ha existido siempre la necesidad
Desde los inicios de la informática ha existido siempre la necesidad
XIX Verano de la Investigación Científica y Tecnológica del Pacífico
XIX Verano de la Investigación Científica y Tecnológica del Pacífico
programa de introducción a la computación
programa de introducción a la computación
Firma Electrónica y Firma Digital MITOS Y
Firma Electrónica y Firma Digital MITOS Y
CAPÍTULO 14 COMERCIO ELECTRÓNICO Artículo 14.1: Definiciones
CAPÍTULO 14 COMERCIO ELECTRÓNICO Artículo 14.1: Definiciones
autenticación de fondo negro para el extranjero
autenticación de fondo negro para el extranjero
Documento3323516 3323516
Documento3323516 3323516
Intrusos en la nube Por Manuel Dávila Sguerra En otro artículo
Intrusos en la nube Por Manuel Dávila Sguerra En otro artículo
Descargar
Anuncio
Anuncio