Una startup de los años 70 con raíces en el mundo digital
Cuando Frederick W. Smith fundó FedEx, en 1973, ya se había propuesto liderar una transformación digital. Es famoso por esta frase: “La información sobre el paquete es tan importante como el paquete en sí”. Cuenta la leyenda que la idea de su icónica empresa surgió de un artículo que escribió para una clase de economía en Yale, en el que describía cómo podría funcionar el servicio de entrega en 24 horas en la era de la informática.
En 1980, FedEx conectaba a los conductores y compartía información de seguimiento con los clientes mediante una red inalámbrica nacional conectada al equipo central de la empresa. En 1994, cuando los sitios web eran una novedad para la mayoría de las empresas, FedEx.com ya ofrecía información de seguimiento en línea.
“Los clientes de FedEx siempre han esperado y recibido un servicio de alto nivel basado en la última tecnología digital. Sin embargo, a lo largo de los años, la empresa acumuló una gran cantidad de sistemas heredados y aplicaciones de mainframe”, indica Trey Ray, gerente de ciberseguridad de FedEx. Hace varios años, el CIO Rob Carter comenzó una iniciativa de renovación de TI para modernizar la infraestructura de la empresa.
Ese recorrido condujo al concepto de Cloud Dojo, galardonado con el premio CIO100. Se trata de un equipo interorganizacional de expertos que practican y comparten técnicas de desarrollo modernas en FedEx. “Usamos nuevas herramientas de desarrollo, como Spring Boot, Spring Security y Angular”, indica Ray. “También hicimos una inversión en el marco de Cloud Foundry”.
Problemas recurrentes de identidad
Sin embargo, los desarrolladores, encontraron obstáculos relacionados con la seguridad. “Pasamos 20 años creando las mejores soluciones de puntos de gestión de identidades y accesos (IAM)”, afirma. La empresa ejecutaba una VPN junto con la autenticación multifactor (MFA) local, la federación local y la gestión del acceso web local.
“Teníamos problemas recurrentes de identidad desde la perspectiva de la seguridad”, indica Pat O’Neil, miembro del Departamento de Ciberseguridad de FedEx. “Cada una de esas soluciones IAM independientes representaba una oportunidad para configurar algo de forma incorrecta”.
Ray está de acuerdo. “Aunque logramos que estas cosas funcionaran juntas como pudimos, el sistema presentó mucha fricción para nuestros desarrolladores de software”, indica. “Trataban de aplicar técnicas modernas y tenían que adaptarlas a este mundo heredado”.
El “diagrama de espagueti” que constituía la infraestructura de IAM de FedEx también creó dolores de cabeza y complejidad para el resto del equipo de la empresa. “Un vendedor de FedEx a veces tenía que ingresar su contraseña en cinco ocasiones para ser productivo por la mañana”, indica Ray.
Además, la compleja infraestructura limitaba a la empresa a dos almacenes de identidad y esto ralentizaba las integraciones de adquisición. Para una empresa que se centraba en hacer crecer su negocio a nivel internacional y agregar nuevos servicios, eso era un problema.
La búsqueda de una solución de IAM
Para resolver la IAM, el equipo de ciberseguridad de FedEx comenzó a analizar las soluciones de identidad como servicio (IDaaS). “Leímos muchos documentos técnicos, vimos muchos videos de YouTube, hablamos con muchos expertos y redujimos el campo”, indica Ray.
El equipo emitió una RFI que ayudó a reducir aún más el campo. “FedEx se toma muy en serio su búsqueda de proveedores y es conocida por ser minuciosa; solo pregúnteles a nuestros ingenieros de ventas de Okta”, indica Ray. FedEx eligió a Okta.
Él describe seis razones para elegir a Okta:
Interoperabilidad con las soluciones existentes de FedEx. “Okta fue capaz de integrarse donde lo necesitábamos”, indica Ray. “Somos una gran tienda de VMware Workspace ONE, por ejemplo, y hay una estrecha integración entre Okta y Workspace ONE”.
Facilidad de implementación. “La capacidad de usar una sola consola de administración para gestionar nuestro trabajo como profesionales de la seguridad en lugar de rebotar en cuatro o cinco sitios web diferentes era importante para nosotros”, indica.
Disponibilidad de la API. “API First es uno de nuestros principios de renovación de TI”, indica Ray. “Gran parte de lo que se puede hacer con la consola de administración de Okta también se puede hacer con las API”.
Una amplia gama de opciones de MFA. Además de Okta Verify with Push, Okta admite autenticadores de hardware y autenticadores modernos, como Universal 2nd Factor (FIDO U2F) de FIDO Alliance, Yubikey y WebAuthn.
Universal Directory y la capacidad de agregar fácilmente identidades de varios almacenes de usuarios. “Somos una empresa grande. Compramos empresas, lo que significa que tenemos muchos directorios”, indica Ray.
Compatibilidad lista para usar con aplicaciones de desarrollo clave, como Spring Boot, Spring Security y Cloud Foundry.
Más allá de las contraseñas con Zero Trust
A medida que en el equipo de ciberseguridad de FedEx revisaban la infraestructura de IAM de la empresa con el objetivo de simplificarla y modernizarla, también tenían presente el objetivo más amplio de implementar un modelo de seguridad de confianza cero.
“Las contraseñas comprometidas suelen ser el primer paso en la cadena de exterminio de la filtración de datos. Es la forma en que un atacante obtiene acceso inicial antes de moverse lateralmente a través de la red en busca de escalar privilegios”, indica Ray. “Las contraseñas por sí solas ya no son defendibles ni adecuadas para autenticar las identidades de FedEx y proteger nuestros activos digitales”.
En lugar de “confiar, pero verificar”, un enfoque de confianza cero trata todo el tráfico de red, interno y externo, como actividad no confiable. Para FedEx, eso significa verificar a los usuarios y los dispositivos, evaluar cada situación de inicio de sesión en contexto y usar los resultados para adaptar la experiencia de inicio de sesión de acuerdo con el nivel de confianza asignado.
“El proveedor de identidad de la empresa es una parte importante de esa estrategia de confianza cero; por eso era tan importante elegir el proveedor adecuado”, afirma Ray. “Okta Identity Cloud con el modelo de identidad como servicio, utilizando Okta Universal Directory y Okta Single Sign-On, fue la solución para FedEx”.
La compatibilidad de Okta con protocolos de autenticación modernos, como SAML 2.0 y OpenID Connect, significa que puede admitir aplicaciones de FedEx, ya sean SaaS, nativas de la nube o heredadas.
El equipo también está aprovechando la asociación de Okta con F5 para unir el modelo de confianza cero a las aplicaciones locales heredadas. “El F5 BIG-IP Access Policy Manager (APM) realiza la transformación del protocolo usando métodos modernos, pero sigue enviando a los usuarios de vuelta a las aplicaciones heredadas con todos los encabezados o cookies que requiere cada aplicación”, afirma Prashanth Karne, director de ciberseguridad de FedEx. De esta manera, el equipo puede proteger todo el tráfico HTTP hacia las aplicaciones de back-office y desde estas sin depender de una VPN.
Okta Adaptive Multi-Factor Authentication permite a FedEx agregar requisitos de verificación contextual para los usuarios. Actualmente, el equipo se centra en Okta Verify, pero usa tokens físicos de OATH más antiguos para algunos casos de uso y también está probando autenticadores modernos, como FIDO U2F, Yubikey y WebAuthn.
“Cuando inicio sesión en la interfaz de administración de Okta, puedo usar Touch ID en mi MacBook y tengo muy poca fricción”, indica Ray.
Device Trust es el próximo componente de Zero Trust para FedEx. Garantiza que cada dispositivo que acceda a las aplicaciones de la empresa demostrará una buena postura de seguridad y cumplimiento. Ray espera explorar Okta Platform Services, que incluye la capacidad de insertar Okta en todos los dispositivos y ofrecer una mayor visibilidad, decisiones de acceso contextual e inicios de sesión de usuario coherentes y sin contraseña.
Con Okta, el equipo de ciberseguridad de FedEx gestiona el acceso condicional en toda la empresa desde un único motor de políticas de acceso que cubre todas las aplicaciones de la red. “Es el cerebro del sistema”, indica Ray. “Nos ayuda a personalizar la experiencia de inicio de sesión, ya sea solo con contraseña, sin contraseña o con contraseña más MFA. El motor nos ayuda a crear esas políticas y reglas, y a tomar las decisiones de acceso”.
El análisis del comportamiento de los usuarios constituye el último componente de la estrategia de confianza cero de FedEx. El equipo usa Splunk y técnicas de aprendizaje automático para extraer los datos de identidad enriquecidos que se recopilan de Okta y utiliza esos datos usa para identificar comportamientos sospechosos y tomar decisiones políticas proactivas.
Zero Trust: estudio de caso
Curiosamente, Zero Trust a menudo se basa en relaciones de confianza entre múltiples tecnologías de proveedores y equipos de socios que trabajan juntos para proporcionar capacidades de verificación mejoradas. La relación de FedEx con VMware, Okta y Workday es un buen ejemplo.
FedEx lleva a cabo la gestión de dispositivos móviles con Workspace ONE y usa Workday como sistema de información de recursos humanos. Cuando Workday anunció que ofrecía la posibilidad de limitar el acceso de autoservicio en función del tipo de dispositivo, el equipo de ciberseguridad de FedEx trabajó con Okta y VMware para configurar reglas de enrutamiento que permitieran aprovechar esa función.
El flujo implica una serie de redireccionamientos para que Workspace ONE pueda comprobar el estado del dispositivo y Okta pueda transmitir esa información a Workday. Los usuarios con dispositivos gestionados por FedEx experimentan un acceso sin contraseña y de baja fricción a su información de Workday, mientras que aquellos que usan dispositivos no gestionados obtienen acceso restringido mediante nombre de usuario, contraseña y Okta Verify with Push.
Implementación rápida en el momento más crítico
En febrero de 2020, cuando el COVID-19 se abalanzaba sobre los Estados Unidos, el equipo de FedEx todavía estaba en una fase temprana del proceso de integración de todas sus aplicaciones en Okta.
“Debido al aumento del trabajo desde el hogar, tuvimos que acelerar parte de esa tarea”, indica Ray. El gerente sénior de éxito del cliente de Okta, Ryan Rudnitsky, coordinó los equipos de FedEx y Okta para el gran impulso y enviaba actualizaciones cada una hora a la gerencia de FedEx a medida que el proyecto avanzaba.
“En un período de 36 horas, trasladamos Workday, Office 365, Webex, ServiceNow, Salesforce, Check Point VPN y Zoom a Okta”, afirma Ray. Ambos equipos abordaron una actualización a un nivel superior de una manera extraordinaria y lograron completarla con éxito.
Ray atribuye gran parte del éxito de su equipo a la buena comunicación. Antes de lanzar Okta a la empresa, se trabajó con el equipo de comunicaciones de FedEx para crear una marca completa para la solución, “PurpleID”, junto con un sitio web, correos electrónicos informativos, preguntas frecuentes y videos promocionales que mostraban a los usuarios cómo inscribirse en Okta Verify.
Al hablar con otros líderes de seguridad que están organizando iniciativas de confianza cero, también recomienda asegurar el patrocinio del equipo ejecutivo. “Si no se cuenta con la aceptación de todos, hasta el CIO y el CISO, es mejor no abordar esas iniciativas”, señala.
Ray recomienda dividir el proyecto en fases manejables. En el caso de FedEx, fueron las aplicaciones SaaS, luego las aplicaciones nativas de la nube y luego las aplicaciones heredadas. Trabajar en estrecha colaboración con Okta también fue importante, y se usó un integrador externo para obtener ayuda con “algunos de los aspectos más complicados”.
Una nube unificada para aplicaciones SaaS, locales y nativas de la nube
Ha valido mucho la pena. El equipo de FedEx está haciendo un buen progreso en el desmantelamiento de las soluciones de IAM heredadas y en la integración de sus aproximadamente 250 aplicaciones de SaaS, más de 500 aplicaciones locales y más de 400 aplicaciones nativas de la nube en su solución Okta.
“El nirvana para nosotros es poder adaptar nuestras aplicaciones a situaciones híbridas y de consumo, como la colocación o incluso las nubes públicas, para poder manejar aumentos repentinos de volumen, y esto puede ser un desafío en nuestra empresa”, indica O’Neil.
“Ahora, con este modelo, tenemos un lugar donde podemos validar nuestra postura de seguridad. Los equipos de desarrollo ahora solo tienen un token del que preocuparse. Realizan la autenticación y la autorización de forma coherente, independientemente de dónde sea la implementación”, afirma.
El equipo también está bien posicionado cuando se le presenta una actividad de fusiones y adquisiciones. Usa un enfoque de agente local ligero para agregar almacenes de identidades en Okta Universal Directory. Esa estrategia ayuda a aumentar la rapidez de la integración de nuevas empresas.
Gracias a la plataforma nativa de la nube que cubre las aplicaciones SaaS, las aplicaciones nativas de la nube y las aplicaciones heredadas, y un directorio unificado para toda la fuerza laboral de FedEx, todos pueden iniciar sesión y ponerse a trabajar con menos fricción y menos complicaciones. Al mismo tiempo, la estrategia integral de confianza cero de la empresa implica que los datos y las aplicaciones de FedEx serán cada vez más seguros.
Acerca de FedEx
FedEx Corp. ofrece a clientes y empresas de todo el mundo una amplia cartera de servicios de transporte, de comercio electrónico y empresariales. La empresa cuenta con ingresos anuales de 70 000 millones de dólares y ofrece soluciones empresariales integradas mediante empresas operativas que compiten de forma colectiva y se gestionan de forma colaborativa bajo la marca FedEx. FedEx es clasificada constantemente como la empresa con los empleadores más admirados y confiables del mundo. Además, inspira a los más de 475 000 miembros de sus equipos a permanecer enfocados en la seguridad, los más altos estándares éticos y profesionales, y las necesidades de sus clientes y comunidades.