¿Qué es la red de confianza cero?

El enfoque esencial de confianza cero en la red consiste en que ningún usuario, dispositivo o activo conectado a la red quede de ningún modo inherentemente protegido. Se desconfía de toda conexión hasta que se demuestra lo contrario. La red de confianza cero tiene en cuenta la forma de trabajo actual de las empresas, incorporando dispositivos BYOD, de trabajo remoto, elementos de nube y soluciones como servicio en la consideración de ciberseguridad con una supervisión constante y una autorización de todo intento de acceso.

Seguridad perimetral

El enfoque tradicional de la ciberseguridad crea una «barrera» de seguridad alrededor de la red que proporciona acceso a los activos empresariales esenciales de tal manera que los agentes maliciosos no pueden penetrarla ni introducir malware y ransomware. Esto es lo que, a menudo, se conoce como «perímetro de seguridad». Sin embargo, este enfoque presenta algunas deficiencias. No importa cuán protegido está el gateway, que una vez atravesado, el hacker tiene acceso a todo lo que hay detrás del firewall. Asimismo, el perímetro de la red se ha difuminado en los últimos años, yendo más allá del perímetro empresarial tradicional para incorporar el trabajo remoto y las aplicaciones SaaS.

Las estrategias como la autenticación multifactor (MFA) han fortalecido el gateway, y esto ha sido un gran paso, pero tales estrategias no han resuelto el peligro que envuelve las distintas redes. Quizás lleve más tiempo en atravesarlo, pero una vez dentro, los hackers pueden moverse lateralmente en la red e introducir ransomware o robar información.

Albert Einstein solía decir que «Los problemas no se pueden resolver con la misma mentalidad con la que se crearon». La confianza cero es una mentalidad distinta que enfoca la seguridad de un modo diferente.

La seguridad perimetral asume que un usuario o conexión es fiable hasta que los sistemas de seguridad alertan de una filtración. La confianza cero es su forma más pura asume que los atacantes siempre están acechando y ya sea que esté dentro del perímetro empresarial o no, ningún intento de conexión es seguro hasta que se procede con su autenticación.

Migración a la confianza cero

La confianza cero es un enfoque de ciberseguridad y no un evento un conjunto de servicios o productos. La migración hacia la seguridad de red de confianza cero es un proceso que requiere tiempo. A medida que se adapta, es probable que continúe utilizando algunos de los mismos productos y servicios que utiliza actualmente, pero los utilizará de otro modo. La mayoría terminará con un enfoque híbrido durante un periodo de tiempo a medida que el centro de operaciones de seguridad (SOC) lleva a cabo los proyectos de modernización. La única red de confianza cero «pura» es aquella que se implementa desde el inicio con base a los principios de confianza cero.  

Por ello, un punto de inicio importante es contar con un plan para la conversión a la confianza cero. El plan comienza con la identificación de todos los activos, sujetos, procesos empresariales, flujos de tráfico y dependencias de la infraestructura empresarial. La creación de proyectos graduales puede ayudar a su progreso y realizar un seguimiento del éxito.

El plan debe incluir todos los activos empresariales:

  • Dispositivos
  • Componentes de la infraestructura
  • Aplicaciones
  • Componentes virtuales
  • Componentes de la nube

También debería incluir todos los sujetos:

  • Usuarios finales
  • Aplicaciones
  • Entidades no humanas que solicitan información

Elementos de la red de confianza cero

La adopción del enfoque de confianza cero tiene algunas consideraciones que debe tener en cuenta a medida que migra su red. Las siguientes secciones abordan algunos pasos que puede realizar para acercar su infraestructura al marco de confianza cero.

Implementar microsegmentación

Uno de los principios básicos de la red de confianza cero es la microsegmentación. Consiste en la práctica de aislamiento de los workloads y protección de los mismos de forma individual para limitar el acceso. En la seguridad perimetral, una filtración proporciona a los hackers acceso a toda la red. La microsegmentación reduce la superficie de ataque y limita el daño de una sola filtración.

Aislar la tecnología vulnerable

A menudo, los dispositivos de tecnología de información y comunicaciones (ICT, por sus siglas en inglés) tales como teléfonos móviles, ordenadores personales, emails o televisión tienen sistemas operativos fijos a los que no se pueden aplicar parches para las vulnerabilidades. Los dispositivos de tecnología operacional (OT, por sus siglas en inglés) tales como robots industriales o equipos médicos presentan un desafío similar. Aún así están cada vez más integrados en los flujos de trabajo empresariales. Dispositivos como estos se deben aislar utilizando rigurosas políticas con el fin de reducir la posibilidad de una filtración.

Proteger las subredes

Las subredes son una parte discreta de una red más grande. Pueden mejorar la seguridad de la red, el rendimiento y la resiliencia. También necesitan ser parte de su estrategia de confianza cero para detener el malware y otras herramientas maliciosas. Asegúrese de que las alertas y los registros de las subredes informan a su consola consolidada para su investigación y resolución.

Proteger el acceso remoto

Antes de la confianza cero, las técnicas para establecer la seguridad de conexiones remotas se consideraban fiables hasta que notificaban un aviso. Pero los avisos de seguridad en las técnicas más comunes han ido siendo más evidentes. Las redes se han vuelto más definidas por software y la movilidad ha aumentado, especialmente durante la COVID-19. Esto ha conducido a endpoints sin gestión, SaaS impunes y SD-WAN sin protección.

  • Red privada virtual (VPN): las garantías de la conexión VPN se detuvieron al límite y aún así concedieron al usuario acceso a toda la red. Crearon una ilusión de que eran fiables. La seguridad VPN tampoco conectó bien con las redes definidas por software cada vez más usadas.
  • Cloud Access Security Broker (CASB): el principal problema con el CASB fue la naturaleza fija de sus precauciones de seguridad. A medida que las redes definidas por software fueron cada vez más fluidas y los empleados más móviles, las precauciones de seguridad no pudieron flexibilizarse como debían.
  • Secure web gateway (SWG): los SWG presentaron problemas con los empleados que trabajaban desde cualquier lugar.

 

Las soluciones para las conexiones remotas continúan evolucionando, pero las opciones que ahora están disponibles ofrecen soluciones de ciberseguridad acordes a los hábitos de trabajo móvil y al enfoque de confianza cero.

  • Secure access service edge (SASE): el SASE cae bajo el ámbito de la confianza cero y detalla los principios de la confianza cero para secciones específicas de la empresa. La firma de analistas Gartner utiliza este término. Los componentes de las soluciones SASE pueden variar, pero normalmente consisten en tecnologías CASB, SWG, ZTNA y SD-WAN para proporcionar acceso tanto a aplicaciones SaaS públicas como privadas (en un IaaS o datacenter corporativo).
  • Zero Trust Edge (ZTE): es otra etiqueta para SASE. La firma de analistas Forrester utiliza este término.
  • Acceso a la red de confianza cero (ZTNA): el ZTNA se enmarca dentro de la definición de SASE o ZTE y es una solución de seguridad de confianza cero basada en la nube que solo proporciona acceso a los usuarios a aplicaciones para los que están autorizados específicamente. Conforme al enfoque de confianza cero, esto limita el daño en caso de filtración. Al igual que la VPN, el ZTNA cifra los datos para la seguridad, pero ofrece una experiencia de usuario significativamente mejor y es mucho más flexible.

Investigaciones relacionadas

Artículos relacionados