Zero Trust (ZT) es un enfoque de arquitectura y meta para la seguridad de las redes que asume que cada transacción, entidad e identidad no es de confianza hasta que esta sea establecida y mantenida a lo largo del tiempo. Las estrategias ZT contrastan con la vista legacy de que una red es segura a menos de que los sistemas de seguridad identifiquen una brecha.
Seguridad más allá del borde
Durante la última década, las empresas se han vuelto cada vez más digitalizadas. Ahora incluyen arquitectura en la nube, incorporan más trabajo remoto y tienen soluciones as-a-service agregadas entre otros cambios transformativos. Los equipos de seguridad han escalado la seguridad de las redes de acuerdo con estos cambios, a menudo fortaleciendo las protecciones por medio de la segmentación de la red en zonas más pequeñas.
Esta estrategia, desafortunadamente, creaba más oportunidades para los atacantes. Cuando los atacantes acceden a la información de inicio de sesión de un usuario, pueden moverse lateralmente a lo largo de la red, propagando el ransomware y agregando privilegios mientras avanzan.
La autenticación multi-factor (MFA) mejoró la seguridad de las credenciales, pero agregó sólo una capa extra de autentificación. Una vez dentro, los hackers aún tienen acceso continuo hasta que finalizan la sesión o el sistema lo hace por ellos.
Nuevas formas de trabajar, incluyendo bring-your-own-device (BYOD), el trabajo remoto y la arquitectura en la nube agregaron un nuevo conjunto de vulnerabilidades. Pero incluso las nuevas protecciones de ciberseguridad con mejor visibilidad y que se encuentran al borde de la red empresarial no tienen visibilidad más allá de ese punto.
Modelo de seguridad Zero Trust
El enfoque ZT a la ciberseguridad cambia por completo el paradigma. La ciberseguridad ya no es definida por los segmentos de la red o dentro del borde de la red empresarial. La confianza no se otorga basándose en si una conexión o activo es propiedad de una empresa o un individuo. Tampoco se otorga basándose en ubicaciones físicas o de la red – internet o red de área local.
En su lugar, ZT se enfoca en recursos, usuarios y activos de forma individual, sin importar de quién son propiedad o dónde se encuentran ubicados. La autenticación se realiza de forma individual para los recursos empresariales antes de que le otorgue acceso a un usuario.
La meta es llegar a la confianza cero de cualquier elemento de la red hasta que es verificado.
Estándares Zero Trust
La versión corta respecto a la certificación y estándares de Zero Trust es que no hay ninguno. El National Institute of Standards and Technology (NIST), fundado en 1901 y ahora parte del Departamento de Comercio de los Estados Unidos, ofrece información estandarizada para tecnología, medidas y estándares para los Estados Unidos. Su meta es incrementar la competitividad en la tecnología.
NIST crea estándares para las prácticas de comunicaciones, tecnología y ciberseguridad. El grupo aún no ha creado estándares o certificaciones para zero trust, pero ha creado una Publicación Especial (SP) para discutir las metas de las arquitecturas ZT.
El abstracto del documento describe zero trust de la siguiente forma: “Zero Trust es un término para un conjunto en constante evolución de paradigmas de ciberseguridad que pasan de enfocar las defensas en perímetros estáticos basados en la red hacia los individuos, activos y recursos.” El documento continúa describiendo a profundidad el enfoque zero trust.
Confusión Zero Trust
Existe algo de confusión en el mundo de la ciberseguridad respecto a lo que ZT es. Algunos vendors están aprovechando esta confusión para vender productos etiquetados como ZT. Para quien no está bien informado, esto podría llevar al malentendido de que ZT está basado en productos.
ZT no se trata de productos particulares, aunque productos nuevos y legacy pueden ser bloques para construir la arquitectura ZT. ZT es un enfoque revolucionario de la ciberseguridad. Se mantiene firmemente en la realidad de cómo las organizaciones y los empleados se conectan y trabajan juntos actualmente.
Migrando hacia Zero Trust
Si una empresa está creando su infraestructura desde cero, es posible, y tal vez incluso más sencillo, identificar flujos y componentes de trabajo esenciales y crear solamente una arquitectura ZT. Conforme cambian el negocio y la arquitectura, el crecimiento puede adherirse a los principios de ZT a largo plazo.
En la práctica, la mayoría de las implementaciones ZT serán un proceso. Las organización retendrán algún balance de seguridad basada en perímetros y ZT con el tiempo, gradualmente implementando iniciativas de modernización.
Es probable que tome varios años establecer completamente la arquitectura ZT y que tome varios proyectos para alcanzar la meta de zero trust. Sin embargo, no existe un “destino” de ZT. Se trata de continuar implementando y cumplir con la estrategia ZT a lo largo del tiempo, tomando en cuenta cambios futuros en el negocio y la infraestructura.
Desarrollar un plan antes de actuar puede acotar el proceso a piezas más pequeñas y asegurar el éxito con el tiempo. Comenzar con un catálogo detallado de sujetos, procesos de negocio, flujos de tráfico y mapas de dependencias puede prepararle para abordar sujetos, activos y procesos de negocio específicos.
Migrando hacia Zero Trust
Si una empresa está creando su infraestructura desde cero, es posible, y tal vez incluso más sencillo, identificar flujos y componentes de trabajo esenciales y crear solamente una arquitectura ZT. Conforme cambian el negocio y la arquitectura, el crecimiento puede adherirse a los principios de ZT a largo plazo.
En la práctica, la mayoría de las implementaciones ZT serán un proceso. Las organización retendrán algún balance de seguridad basada en perímetros y ZT con el tiempo, gradualmente implementando iniciativas de modernización.
Es probable que tome varios años establecer completamente la arquitectura ZT y que tome varios proyectos para alcanzar la meta de zero trust. Sin embargo, no existe un “destino” de ZT. Se trata de continuar implementando y cumplir con la estrategia ZT a lo largo del tiempo, tomando en cuenta cambios futuros en el negocio y la infraestructura.
Desarrollar un plan antes de actuar puede acotar el proceso a piezas más pequeñas y asegurar el éxito con el tiempo. Comenzar con un catálogo detallado de sujetos, procesos de negocio, flujos de tráfico y mapas de dependencias puede prepararle para abordar sujetos, activos y procesos de negocio específicos.
La arquitectura ZT es una meta y un enfoque cuya implementación toma tiempo y atención. No se trata de una instalación que puede desplegarse una única ocasión. Es una filosofía de ciberseguridad que está soportada por cuatro principios principales. Un principio particular puede depender de una técnica particular de seguridad como MFA para verificar identidades, pero la técnica usada puede cambiar a lo largo del tiempo.
Existen tres funciones básicas que componen el enfoque ZT.
ZT debe implementarse progresivamente y hacerse cumplir continuamente. No es un reemplazo completo o un despliegue de una sola vez que entonces forma parte de la red. Es un proceso incremental de varios años y de varios proyectos que involucra múltiples aspectos de la red, y que necesitará evaluarse continuamente conforme cambian los hábitos laborales, la tecnología y las amenazas.
La forma en cómo su organización implemente el enfoque ZT depende de su operación. Sus activos de mayor valor son un buen lugar para comenzar.
El viaje ZT incluye cuatro componentes:
Investigaciones Relacionadas
Artículos Relacionados