MyQ X implementa la arquitectura Zero Trust como enfoque de seguridad fundamental que elimina la confianza implícita y valida continuamente cada transacción. Este marco integral garantiza que ningún usuario, dispositivo o conexión de red sea de confianza por defecto, independientemente de su ubicación o estado de autenticación anterior.
Principios de confianza cero en la gestión de la impresión
La implementación de confianza cero de MyQ X se basa en el principio de «nunca confiar, siempre verificar» en todo el sistema de gestión de impresión. El sistema requiere una verificación explícita para cada solicitud de acceso, lo que garantiza que:
Canales de comunicación cifrados: todo el tráfico de red utiliza el cifrado TLS obligatorio con una versión mínima de 1.2, lo que evita el espionaje y la manipulación durante la transmisión de datos. Los certificados HTTPS deben estar correctamente configurados y validados para evitar ataques de tipo «man-in-the-middle».
Aplicación de protocolos seguros: MyQ X bloquea el tráfico HTTP no cifrado y aplica protocolos de seguridad sólidos en todos los canales de comunicación, incluidas las conexiones SMTP, LDAP y SNMP. Los protocolos heredados como SNMPv1 están prohibidos en favor de SNMPv3 con autenticación sólida.
Controles de seguridad de la API: El acceso a la API REST requiere tokens de autenticación con filtrado de direcciones IP, lo que garantiza que las llamadas a la API estén autenticadas y procedan de fuentes fiables. Los secretos de los clientes se someten a una rotación periódica para mantener la integridad de la seguridad.
Metodología «Nunca confíes, siempre verifica»
La metodología Zero Trust impregna todos los aspectos de las operaciones de MyQ X a través de mecanismos de verificación continua:
Verificación de identidad: cada interacción del usuario requiere autenticación, independientemente de la ubicación de la red o del estado de confianza del dispositivo. Los usuarios deben autenticarse en cada dispositivo de impresión, incluso si ya han iniciado sesión en otro lugar de la organización.
Autenticación de dispositivos: los propios dispositivos de impresión deben autenticarse antes de acceder a los recursos de la red, con credenciales y certificados únicos que impiden la suplantación de dispositivos no autorizados.
Gestión de sesiones: las sesiones de los usuarios implementan una función de tiempo de espera y cierre de sesión automáticos, lo que garantiza que las sesiones abandonadas no puedan ser explotadas por personas no autorizadas.
Segmentación y aislamiento de la red
MyQ X implementa una segmentación completa de la red para limitar las superficies de ataque y contener posibles brechas de seguridad:
Controles de los límites de la red: el sistema aplica estrictas reglas de firewall que bloquean los puertos no utilizados y limitan el acceso a la red solo a los canales de comunicación necesarios. Las configuraciones predeterminadas desactivan los servicios y protocolos innecesarios.
Segmentación basada en certificados: MyQ X admite tres modos de gestión de certificados (autoridad de certificación integrada, autoridad de certificación de la empresa y gestión manual de certificados), lo que permite a las organizaciones implementar límites de confianza adecuados en función de sus políticas de seguridad.
Aplicación de FQDN: Todas las comunicaciones de red deben utilizar nombres de dominio completos (FQDN) en lugar de direcciones IP o nombres de una sola etiqueta, lo que evita los ataques de intermediarios basados en DNS y garantiza la validación adecuada de los certificados.
Gestión de puertos: el sistema gestiona automáticamente las reglas del cortafuegos y proporciona un control explícito sobre los puertos de red a los que se puede acceder, lo que reduce la superficie de ataque mediante el bloqueo sistemático de puertos.
Autenticación y verificación robustas
MyQ X mantiene una validación de seguridad continua a través de múltiples capas de autenticación y supervisión en tiempo real:
Autenticación multimétodo: el sistema admite diversos métodos de autenticación, incluidos LDAP, Microsoft Entra ID, RADIUS y la autenticación local de MyQ, con capacidades de conmutación automática por error que garantizan un control de acceso continuo.
Integración del servidor de autenticación: la integración segura con servidores de autenticación externos utiliza conexiones cifradas (TLS para LDAP, protocolos seguros para RADIUS) y aplica secretos compartidos sólidos específicos para cada implementación de MyQ.
Supervisión de inicio de sesión: el registro mejorado de los eventos de autenticación, en particular los intentos de inicio de sesión fallidos, permite a los administradores detectar y responder a posibles amenazas de seguridad. Los intentos de autenticación fallidos activan mecanismos de bloqueo automático: por defecto, los dispositivos se bloquean durante 5 minutos después de más de 5 intentos no válidos en 60 segundos.
Controles de persistencia de sesión: el sistema implementa políticas de tiempo de espera de sesión configurables y una función de cierre de sesión automático, lo que garantiza que las sesiones inactivas no puedan ser explotadas.
Verificación de dispositivos y puntos finales
MyQ X aplica estrictos protocolos de verificación de dispositivos para garantizar que solo los terminales autorizados puedan acceder a los recursos de impresión:
Gestión de certificados de dispositivos: Todos los dispositivos conectados deben presentar certificados válidos para la comunicación en red. El sistema mantiene un almacén de certificados completo con la validación adecuada de la cadena y admite la implementación automática de certificados a través de la política de grupo o la gestión de dispositivos móviles (MDM).
Controles de seguridad de terminales: Los dispositivos de impresión se someten a una validación de seguridad continua, que incluye la autenticación SNMP v3 con contraseñas seguras y algoritmos criptográficos (SHA1 y AES). Las credenciales de la impresora se gestionan a través de protocolos de seguridad específicos del proveedor con contraseñas seguras generadas aleatoriamente.
Autenticación de dispositivos móviles: MyQ X Mobile Client implementa la concesión de autorización de dispositivos OAuth 2.0 para una autenticación segura de los dispositivos móviles, sustituyendo los sistemas heredados basados en PIN por una seguridad moderna habilitada para la biometría.
Marco de seguridad BYOD: el sistema es compatible con entornos Bring-Your-Own-Device (BYOD) a través de la propagación segura de la impresión mediante AirPrint y Mopria, manteniendo los principios de confianza cero incluso en redes sin visibilidad directa del Print Server.
Gestión de tokens de acceso: se emiten tokens de acceso únicos para cada tipo de dispositivo, siendo obligatorio el uso de Transport Layer Security (TLS) para todas las comunicaciones. El sistema implementa controles de acceso Just-in-Time (JIT) que ajustan dinámicamente los privilegios en función del contexto y la evaluación continua de riesgos.
Esta implementación integral de confianza cero garantiza que MyQ X mantenga los más altos estándares de seguridad, al tiempo que da soporte a diversas necesidades organizativas y escenarios de implementación. La arquitectura proporciona una protección de defensa en profundidad que se adapta a los cambiantes escenarios de amenazas, al tiempo que mantiene la eficiencia operativa y la experiencia del usuario.