¿Qué es ZeroTrust?
Zero Trust no es un producto o servicio, y ciertamente no es sólo una palabra de moda. Más bien, es un enfoque particular de la ciberseguridad. Significa exactamente lo que dice: no ‘verificar, luego confiar’ sino ‘nunca confíes y siempre verifiques’.
Esencialmente, Zero Trust se trata de proteger los datos limitando el acceso a los datos. Una organización no confiará automáticamente en nadie ni en nada, ya sea dentro o fuera del perímetro de la red. En su lugar, el enfoque de confianza cero requiere la verificación para cada persona, dispositivo, cuenta, etc. que intenta conectarse a las aplicaciones o sistemas de la organización antes de conceder acceso.
Pero espera. ¿No están los sistemas de ciberseguridad ya diseñados para hacer eso? ¿Es Zero Trust simplemente ciberseguridad con algunos controles añadidos?
Buena pregunta. Los marcos de Zero Trust ciertamente incluyen muchas tecnologías que ya son ampliamente utilizadas por las organizaciones para proteger sus datos. Sin embargo, Zero Trust representa un claro pivote en cómo pensar en la defensa contra la ciberseguridad.
En lugar de defender solo un único perímetro de toda la empresa, el enfoque de confianza cero mueve este perímetro a todas las redes, sistemas, usuarios y dispositivos dentro y
fuera de la organización. Este movimiento está habilitado por identidades sólidas, autenticación multifactor, puntos de conexión de confianza, segmentación de red, controles de acceso y atribución de usuarios para compartimentar y regular el acceso a datos y sistemas confidenciales.
En resumen, Zero Trust es una nueva forma de pensar en la ciberseguridad para ayudar a las organizaciones a proteger sus datos, sus clientes y su propia ventaja competitiva en el panorama actual de amenazas que cambia rápidamente.
¿Por qué ahora es el momento de Zero Trust en ciberseguridad?
Según un informe reciente de RiskIG, la ciberdelincuencia cuesta a la economía mundial 2,9 millones de dólares cada minuto el año pasado, por un total de 1,5 billones de dólares. Otro informe realizado por Cybersecurity Ventures y patrocinado por Herjavec Group predice que la ciberdelincuencia costará al mundo más de 6 billones de dólares anuales para 2021.
No es de extrañar que los ejecutivos corporativos sientan la presión de proteger los sistemas y datos empresariales. Los inversores y los “interesados” –clientes y consumidores– también están insistiendo en una mejor seguridad de los datos. Los problemas de seguridad se complican aún más cuando algunos datos y aplicaciones están en las instalaciones y algunos están en la nube, y todos, desde empleados hasta contratistas y socios, acceden a esas aplicaciones mediante una variedad de dispositivos de varias ubicaciones.
Al mismo tiempo, las regulaciones gubernamentales y de la industria están aumentando los requisitos para proteger datos importantes, y Zero Trust puede ayudar a demostrar el cumplimiento de estas regulaciones.
Tecnologías de ciberseguridad Zero Trust
Afortunadamente, la tecnología de apoyo a Zero Trust está avanzando rápidamente, lo que hace que el enfoque sea más práctico de implementar hoy en día. No existe un enfoque único para implementar un marco de ciberseguridad de Zero Trust, y tampoco existe una sola tecnología. Por el contrario, las piezas tecnológicas encajan para garantizar que solo los usuarios y dispositivos autenticados de forma segura tengan acceso a las aplicaciones y los datos de destino.
Por ejemplo, el acceso se concede en función del principio de “privilegio mínimo”, proporcionando a los usuarios solo los datos que necesitan para hacer su trabajo, cuando lo están haciendo. Esto incluye la implementación de privilegios de expiración y credenciales de uso único que se revocan automáticamente después de que no se requiere acceso.
Además, el tráfico se inspecciona y registra de forma continua y el acceso se limita a los perímetros para ayudar a evitar el movimiento lateral no autorizado de los datos a través de sistemas y redes.
Un marco de confianza cero utiliza una serie de tecnologías de seguridad para aumentar la granularidad del acceso a los datos y sistemas confidenciales.
Algunos ejemplos son la administración de identidades y accesos (IAM); control de acceso basado en roles (RBAC); control de acceso a la red (NAC), autenticación multifactor (MFA), cifrado, motores de aplicación de directivas, orquestación de directivas, registro, análisis y permisos de puntuación y sistema de archivos.
Igualmente, importante los estándares y protocolos tecnológicos están disponibles para apoyar el enfoque de Zero Trust. Cloud Security Alliance (CSA) ha desarrollado un marco de seguridad denominado perímetro definido por software (SDP) que se ha utilizado en algunas implementaciones de Zero Trust.
El Internet Engineering Task Force (IETF) hizo su contribución a los modelos de seguridad de Zero Trust al sancionar el Protocolo de Identidad de Host (HIP), que representa una nueva capa de red de seguridad dentro de la pila OSI. Numerosos proveedores se están basando en estos avances técnicos para llevar soluciones de Zero Trust al mercado.
Basándose en estas tecnologías, estándares y protocolos, las organizaciones pueden utilizar tres enfoques diferentes para implementar la seguridad de Zero Trust:
- Microsegmentación de red, con redes talladas en pequeños nodos granulares hasta una sola máquina o aplicación. Los protocolos de seguridad y los modelos de prestación de servicios están diseñados para cada segmento único.
- SDP, basado en una estrategia de necesidad de saber en la cual se verifica la postura y la identidad del dispositivo antes de que se conceda el acceso a la infraestructura de la aplicación.
2. Proxies de confianza cero que funcionan como una retransmisión entre el cliente y el servidor, ayudando a evitar que un atacante invada una red privada.
El enfoque que es mejor para una situación determinada depende de qué aplicaciones se están protegendo, qué infraestructura existe actualmente, si la implementación es greenfield o abarca entornos heredados y otros factores.
Adoptar la confianza cero en TI: cinco pasos para construir un entorno de confianzacero
Construir un marco de confianza cero no significa necesariamente una transformación tecnológica completa. Mediante el uso de este enfoque paso a paso, las organizaciones pueden proceder de forma controlada e iterativa, lo que ayuda a garantizar los mejores resultados con un mínimo de interrupción para los usuarios y las operaciones.
Defina la superficie de protección
Con Zero Trust, no se centra en su superficie de ataque, sino solo en su superficie de protección, los datos, aplicaciones, activos y servicios críticos (DAAS) más valiosos para su empresa.
Ejemplos de una superficie de protección incluyen información de tarjetas de crédito, información médica protegida (PHI), información de identificación personal (PII), propiedad intelectual (P.I.), aplicaciones (software listo o personalizado); como los controles SCADA, terminales de punto de venta, equipos médicos, activos de fabricación y dispositivos IoT; así como servicios como DNS, DHCP y Active Directory.
Una vez definida la superficie de protección, puede mover los controles lo más cerca posible de ella, lo que le permite crear un microperímetro (o microperímetros compartimentados) con instrucciones de política limitadas, precisas y comprensibles.
Asignar flujos de transacciones
La forma en que el tráfico se mueve a través de una red determina cómo debe protegerse. Por lo tanto, debe obtener información contextual sobre las interdependencias de su DAAS.
Documentar cómo interactúan los recursos específicos le permite aplicar correctamente los controles y proporciona un contexto valioso para ayudar a garantizar una seguridad cibernética óptima con una interrupción mínima para los usuarios y las operaciones empresariales.
Arquitecto de su red de TI Zero Trust
Las redes Zero Trust están completamente personalizadas, no se derivan de un único diseño universal. En su lugar, la arquitectura se construye alrededor de la superficie de protección. Una vez que haya definido la superficie de protección y los flujos asignados en relación con las necesidades de su negocio, puede asignar la arquitectura de confianza cero, empezando por un firewall de próxima generación.
El firewall de próxima generación actúa como una puerta de enlace de segmentación, creando un microperímetro alrededor de la superficie de protección. Con una puerta de enlace de segmentación, puede aplicar capas adicionales de inspección y control de acceso, hasta la capa 7, para cualquier cosa que intente acceder a los recursos dentro de la superficie de protección.
Cree sus políticas de seguridad de Zero Trust
Una vez que la red está diseñada, deberá crear directivas de confianza cero que determinen el acceso. Debe saber quiénes son sus usuarios, qué aplicaciones necesitan acceder, por qué necesitan acceso, cómo tienden a conectarse a esas aplicaciones y qué controles se pueden usar para proteger ese acceso.
Con este nivel de aplicación de directivas granular, puede estar seguro de que solo se permite el tráfico permitido conocido o la comunicación de aplicación legítima.
Supervise y mantenga las redes
Este último paso incluye revisar todos los registros, internos y externos, y centrarse en los aspectos operativos de Zero Trust. Puesto que Zero Trust es un proceso iterativo, inspeccionar y registrar todo el tráfico proporcionará información valiosa sobre cómo mejorar la red con el tiempo.
Consideraciones adicionales y prácticas recomendadas de seguridad de confianza cero
Para las organizaciones que están considerando emprender un modelo de seguridad de Zero Trust, estas son algunas prácticas recomendadas para ayudar a garantizar el éxito:
Asegúrese de tener la estrategia correcta antes de elegir una arquitectura o tecnología. Zero Trust está centrado en los datos, por lo que es importante pensar dónde están esos datos, quién necesita tener acceso a ellos y qué enfoque se puede usar para protegerlos. Forrester sugiere dividir los datos en tres categorías: Público, Interno y Confidencial, con “chunks” de datos que tienen sus propios microperímetros.
- Comience poco a poco para ganar experiencia. La escala y el alcance para implementar Zero Trust para toda una empresa pueden ser abrumadores. Por ejemplo, Google tardó siete años en implementar su propio proyecto conocido como BeyondCorp.
- Considere la experiencia del usuario. Un marco de confianza cero no tiene que ser perjudicial para los procesos de trabajo normales de los empleados, a pesar de que ellos (y sus dispositivos) están siendo examinados para la verificación de acceso. Algunos de esos procesos pueden estar en segundo plano donde los usuarios no los ven en absoluto.
- Implementar medidas sólidas para la autenticación de usuarios y dispositivos. La base misma de Zero Trust es que no se puede confiar en ningún dispositivo hasta que se verifique a fondo como que tiene derecho a acceder a un recurso. Por lo tanto, un sistema de IAM de toda la empresa basado en identidades sólidas, autenticación rigurosa y permisos no persistentes es un bloque de creación clave para un marco de trabajo de confianza cero.
- Incorporar un Marco de Confianza Cero en proyectos de transformación digital. Al rediseñar procesos de trabajo, también puede transformar el modelo de seguridad.
Nunca ha habido un mejor momento que ahora para adoptar modelos de seguridad de Zero Trust. Las tecnologías han madurado, los protocolos y los estándares se establecen, y no se puede ignorar la necesidad de un nuevo enfoque de la seguridad.
