La Confianza Cero se convirtió en una de las palabras de moda de la ciberseguridad. Es importante tener en claro qué es y qué no es la Confianza Cero.
La Confianza Cero es una iniciativa estratégica que elimina el concepto de confianza de la arquitectura de red de una organización para evitar vulneraciones de datos exitosas. Basada en el principio “nunca confiar, siempre verificar”, la Confianza Cero está diseñada para proteger entornos digitales modernos al aprovechar la segmentación de red, prever el movimiento lateral, brindar threat prevention de Capa 7 y simplificar el control de acceso detallado de usuarios.
John Kindervag creó la Confianza Cero durante su período como vicepresidente y analista principal en Forrester Research. Se basó en que los modelos de seguridad tradicionales operan en función de la suposición obsoleta de que se debe confiar en todo lo que se encuentra en la red de una organización. En este modelo en el que se rompe el pacto de confianza, se asume que la identidad de un usuario no está comprometida y que todos los usuarios actúan de forma responsable y son confiables. El modelo de Confianza Cero reconoce que la confianza es una vulnerabilidad. Una vez que se encuentran en la red, los usuarios, incluidos los actores de amenazas y los infiltrados malintencionados, pueden moverse lateralmente con total libertad y acceder o extraer todos los datos para los que no tienen restricciones. Recuerde que el punto por el que se infiltra un ataque no suele ser el destino.
Según el informe de Forrester Wave™: Privileged Identity Management, cuarto trimestre de 2018, este modelo de confianza sigue abusando de las credenciales.1 La Confianza Cero no se trata de que un sistema sea confiable, sino de eliminar la confianza.
Una arquitectura de Confianza Cero
En la Confianza Cero, se identifica una “superficie de protección”. La superficie de protección está conformada por los datos, los recursos, las aplicaciones y los servicios (DAAS) más esenciales de la red. Las superficies de protección son únicas en cada organización. Como contiene solo lo más esencial de las operaciones de una organización, la superficie de protección es mucho más pequeña que la superficie de ataque y siempre se puede reconocer.
Una vez que identifique la superficie de protección, podrá ver cómo se mueve el tráfico en la organización en relación con la superficie de protección. La única forma de determinar y aplicar políticas que garanticen el acceso seguro a los datos es mediante la comprensión de quiénes son los usuarios, qué aplicaciones usan y cómo se conectan. Una vez que comprenda las interdependencias entre los DAAS, la infraestructura, los servicios y los usuarios, debe configurar controles lo más cerca posible de la superficie de protección a fin de crear un microperímetro a su alrededor. Este microperímetro se mueve con la superficie de protección donde sea que vaya. Para crear un microperímetro, puede implementar una puerta de enlace de segmentación, más conocida como un firewall de nueva generación, a fin de garantizar que solo las aplicaciones legítimas o el tráfico permitido y conocido tengan acceso a la superficie de protección.
Esta puerta de enlace de segmentación brinda visibilidad detallada del tráfico y aplica capas adicionales de inspección y control de acceso, con políticas detalladas de Capa 7 basadas en el método Kipling, que define la política de Confianza Cero en función de quién, qué, cuándo, dónde, por qué y cómo. La política de Confianza Cero determina quién puede atravesar el microperímetro en cualquier momento, lo que evita que usuarios no autorizados accedan a la superficie de protección y que se filtren datos confidenciales. La Confianza Cero solo está disponible en la Capa 7.
Una vez que haya establecido la política de Confianza Cero alrededor de la superficie de protección, siga supervisándola y manteniéndola en tiempo real a fin de detectar elementos que deberían incluirse en ella, interdependencias que aún no se tuvieron en cuenta y formas de mejorar la política.
Confianza Cero: tan dinámica como su empresa
La Confianza Cero no depende de la ubicación. Los usuarios, los dispositivos y las cargas de trabajo de las aplicaciones están en todas partes, por lo que no puede aplicar la Confianza Cero en una ubicación; debe proliferar por todo el entorno. Los usuarios correctos deben tener acceso a las aplicaciones y los datos adecuados.
Además, los usuarios acceden a aplicaciones esenciales y cargas de trabajo desde cualquier sitio: sus casas, cafeterías, oficinas y sucursales pequeñas. La Confianza Cero requiere visibilidad, aplicación y control constantes que pueden entregarse directamente en el dispositivo o mediante la nube. Un perímetro definido por software brinda acceso seguro a los usuarios y evita la pérdida de datos, sin importar dónde se encuentren los usuarios, qué dispositivos estén en uso o dónde se alojan las cargas de trabajo y los datos (es decir, centros de datos, nubes públicas o aplicaciones de SaaS).
Las cargas de trabajo son muy dinámicas y se mueven a través de varios centros de datos y nubes públicas, privadas e híbridas. Con Confianza Cero, debe contar con visibilidad profunda de la actividad y las interdependencias entre usuarios, dispositivos, redes, aplicaciones y datos. Las puertas de enlace de segmentación supervisan el tráfico, detienen amenazas y aplican acceso detallado en el tráfico norte-sur y este-oeste en el centro de datos local y los entornos de nubes múltiples.
Implementación de la Confianza Cero
Muchas veces se cree que lograr la Confianza Cero es un proceso costoso y complejo. Sin embargo, la Confianza Cero se basa en la arquitectura que ya posee y no requiere que reemplace la tecnología existente. No hay productos de Confianza Cero. Hay productos que funcionan bien en entornos de Confianza Cero y otros que no lo hacen. La Confianza Cero es fácil de implementar y mantener mediante una metodología de cinco pasos. Este proceso guiado permite identificar dónde se encuentra y adónde ir a continuación:
Identificación de la superficie de protección
Asignación de los flujos de transacción
Creación de una arquitectura de Confianza Cero
Creación de la política de Confianza Cero
Supervisión y mantenimiento
La creación de un entorno de Confianza Cero, que conste de una superficie de protección con un solo elemento de DAAS protegido por un microperímetro aplicado en la Capa 7 mediante la política del método Kipling con una puerta de enlace de segmentación, es un proceso simple e iterativo que puede repetir en una superficie de protección o un elemento de DAAS a la vez.
Para obtener más información sobre la Confianza Cero y su implementación en la organización, lea el informe técnico Simplificación de la implementación de la Confianza Cero con una metodología de cinco pasos.
Cómo lograr una arquitectura de Confianza Cero
Use la Confianza Cero a fin de obtener visibilidad y contexto de todo el tráfico en usuarios, dispositivos, ubicaciones y aplicaciones, además de capacidades de zonas para la visibilidad del tráfico interno. Si desea obtener contexto y visibilidad del tráfico, debe atravesar un firewall de nueva generación con capacidades de descifrado. El firewall de nueva generación habilita la microsegmentación de perímetros y funciona como un control de perímetro en la organización. Si bien es necesario proteger el perímetro externo, es incluso más importante obtener visibilidad a fin de verificar el tráfico a medida que cruza entre las diferentes funciones en la red. Agregar la autenticación de dos factores y otros métodos de verificación aumentará su capacidad de verificar usuarios de forma correcta. Aproveche el enfoque de Confianza Cero a fin de identificar los procesos comerciales, los usuarios, los datos, los flujos de datos y los riesgos asociados para establecer reglas de políticas que puedan actualizarse automáticamente con cada iteración en función de los riesgos asociados.
Para obtener más información sobre la Confianza Cero y la implementación de redes de Confianza Cero, lea el informe técnico Cinco pasos para lograr la Confianza Cero o vea el seminario web Cómo habilitar la seguridad de Confianza Cero en el centro de datos.
También puede consultar las siguientes páginas en el sitio web de Palo Alto Networks para obtener información adicional:
- Segmentación de la Red/Confianza Cero
- Firewall de nueva generación
- Firewall de nueva generación virtualizado de VM-Series
- User-ID
- App-ID
1 The Forrester Wave™: Privileged Identity Management, cuarto trimestre del 2018. https://www.forrester.com/report/The+Forrester+Wave+Privileged+Identity+Management+Q4+2018/-/E-RES141474