Contenido

¿Qué es la confianza cero para la nube?

Contenido

Cero Confianza es un modelo de seguridad informática que elimina la noción de confianza para proteger las redes, las aplicaciones y los datos. Esto contrasta fuertemente con el modelo tradicional de seguridad perimetral, que presupone que los malos actores están siempre en el lado no fiable de la red, y los usuarios fiables están siempre en el lado fiable. Con la Confianza Cero, estas suposiciones quedan anuladas y se presume que todos los usuarios son indignos de confianza.

Según Forrester Research, empresa líder en investigación y asesoramiento, una solución de Confianza Cero debe:

  • Asegúrese de que sólo se permite el tráfico conocido y permitido o la comunicación de aplicaciones legítimas segmentando y activando la política de capa 7.

  • Aproveche una estrategia de acceso de privilegios mínimos y aplique estrictamente el control de acceso.

  • Inspeccione y registre todo el tráfico. De lo contrario, puede resultar bastante sencillo para un atacante acceder a la red de una empresa.

Estos principios pueden ser sencillos de implementar en una red empresarial, pero ¿cómo se aplican a la nube? Puede aplicar los mismos conceptos a la nube conduciendo el acceso a través de una puerta de enlace de seguridad para un acceso seguro de privilegios mínimos. Sin embargo, ha quedado claro que la implementación de una puerta de enlace no es suficiente para lograr la confianza cero en la nube. Su implementación debe inspeccionar todo el tráfico para todas las aplicaciones, o no estará proporcionando realmente Confianza Cero.

 

Por qué las empresas necesitan confianza cero en un entorno de nube

La implementación de la confianza cero en una red empresarial se basa en que la propia organización controle la red. Establece dónde se pueden colocar los límites y aplica controles de acceso para proteger las aplicaciones sensibles, como las que se encuentran en los centros de datos en las instalaciones, de accesos no autorizados y movimientos laterales.

Hoy en día, a menudo resulta más rentable alojar una aplicación en la nube que en un centro de datos. De hecho, según IDG, una empresa líder en medios tecnológicos, más del 73% de las empresas tienen ahora aplicaciones o infraestructura en la nube.1 Estos entornos de nube, operados por proveedores de servicios en la nube y vendedores de SaaS , no forman parte de la red de una organización, por lo que no se aplica el mismo tipo de controles de red.

Como resultado, la mayoría de las empresas:

  • Tener las aplicaciones y los datos repartidos por varias ubicaciones. 

  • Están perdiendo la perspectiva:

    • Quién accede a sus aplicaciones y datos, o incluso qué dispositivos se utilizan para acceder a ellos (por ejemplo, teléfonos inteligentes, tabletas, computadores portátiles, etc.), ya que la mayoría de sus activos se encuentran en infraestructuras de terceros.

    • Cómo se utilizan y comparten los datos.

Para hacer frente a estos problemas, las empresas suelen utilizar diversas tecnologías de acceso, en función de dónde se encuentren sus activos. La mayoría de las empresas utilizan una mezcla de:

 

Ubicación 

Tecnología utilizada para el acceso

Centros de datos en las instalaciones

VPN de acceso remoto

Aplicaciones privadas (centro de datos, nube híbrida) 

Perímetro definido por software

Nube pública

Proxy de entrada o firewall virtualizado

Aplicaciones SaaS 

Proxy CASB

Esta mezcla de tecnologías crea una arquitectura de seguridad fragmentada en la que es difícil estar seguro de qué políticas se aplican para proteger cualquier dato en la nube. Los entornos de nube son fundamentalmente diferentes de las redes tradicionales y cambian continuamente, lo que significa que el enfoque de la seguridad de una empresa debe ser a la vez exhaustivo y adaptable.

Esta es la razón por la que 9 de cada 10 profesionales de la ciberseguridad están actualmente preocupados por la seguridad en la nube. Afirman que sus tres principales retos son: la protección contra la pérdida y fuga de datos (67%), las amenazas a la privacidad de los datos (61%) y las violaciones de la confidencialidad (53%). También luchan con problemas de control de la seguridad, como la obtención de visibilidad de la seguridad de la infraestructura (43%), el cumplimiento (38%) y el establecimiento de políticas de seguridad coherentes en los entornos de nube y en las instalaciones (35%)2.

Así, para tener éxito, las empresas deben implantar una arquitectura de seguridad única y unificada que:

  • Proporciona a los usuarios un acceso seguro a las aplicaciones y los datos de una empresa a través de la nube pública, las aplicaciones SaaS y la nube privada/centros de datos.

  • Controla y limita quién tiene acceso a esos activos y cómo pueden utilizarse.

  • Inspecciona el tráfico y aplica las políticas de seguridad de forma continua.

A medida que las organizaciones se trasladan a la nube, es importante incorporar la Confianza Cero al diseño de la nueva infraestructura de la nube. A continuación le ofrecemos algunas ideas sobre cómo empezar.

 

Cómo implementar la confianza cero para la nube utilizando una metodología de 5 pasos

Antes de empezar, es importante definir los objetivos de su empresa para la implementación de Zero Trust en la nube, así como los resultados empresariales deseados.

  • Paso 1: Identifique qué tipo de aplicaciones (por ejemplo, públicas, privadas, SaaS, etc.) y datos (por ejemplo, confidenciales, sensibles, sin importancia) tiene su empresa, dónde están y quién accede a ellos y los utiliza. A continuación, defina su superficie de protección: los datos, aplicaciones, activos y servicios más importantes para su empresa.

  • Paso 2: Mapee los flujos de transacciones (es decir, cómo funcionan realmente sus aplicaciones).

  • Paso 3: Diseñe la nueva infraestructura de la nube y cree fronteras entre los usuarios y las aplicaciones.

  • Paso 4: Desarrolle las políticas de Cero Confianza de su empresa basándose en quién debe tener acceso a qué y aplique controles de acceso contextuales basados en los principios de mínimos privilegios. Eduque a los usuarios sobre las políticas de seguridad de su empresa y sobre lo que se espera de ellos cuando acceden y utilizan las aplicaciones y los datos de su empresa en la nube.

  • Paso 5: Supervise y mantenga su entorno de Confianza Cero. Esto significa inspeccionar y registrar continuamente todo el tráfico para identificar actividades inusuales y decidir cómo hacer que las políticas sean más seguras. Con la supervisión activa, su superficie de protección puede crecer, lo que le permite realizar cambios en la arquitectura para mejorar aún más su seguridad.

 

Consejos para aplicar la confianza cero en un entorno de nube

Para facilitar el mantenimiento de la confianza cero en la nube:

  • Utilice medidas de seguridad proporcionadas por la nube para implementar la Confianza Cero en la nube.

  • Proporcione a los usuarios una experiencia segura, coherente y sin fisuras, independientemente de dónde se encuentren físicamente, cómo quieran conectarse o qué aplicaciones quieran utilizar. De lo contrario, si la experiencia del usuario es demasiado complicada o requiere demasiados cambios cada vez que trabajen desde una nueva ubicación o utilicen una aplicación diferente, no la aceptarán.

  • Reduzca la superficie de ataque limitando el acceso de los usuarios en función del contexto.

 

Beneficios

Algunas de las ventajas de implementar Zero Trust para la nube incluyen:

  • Mejor visibilidad de los datos, los activos y los riesgos.

  • Seguridad coherente y completa.

  • Velocidad y agilidad para adelantarse a las tecnologías en evolución.

  • Reducción de los costos operativos y de la complejidad.

Más artículos de Confianza Cero:

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas