Zscaler Cloud Platform

Breve historia de la confianza cero: principales hitos en el replanteamiento de la seguridad empresarial

Un candado digital

¿Por qué contar la historia de la confianza cero?

Muchos de quienes trabajan en seguridad informática creen que la confianza cero es un punto de inflexión, un replanteamiento esencial de la seguridad empresarial y la protección de las redes y los recursos que albergan nuestras mejores ideas, conectan nuestro talento más brillante y dan acceso a herramientas de productividad transformadoras. 

Pero para entender hasta qué punto es realmente revolucionario el modelo de confianza cero en ciberseguridad, es necesario entender cómo la idea de una arquitectura de confianza cero ha evolucionado hasta convertirse en algo que cambia fundamentalmente las estrategias de décadas anteriores. 

A continuación encontrará una breve historia de algunos de los momentos clave en la creación del movimiento de confianza cero.

Momentos clave en la historia de la confianza cero

1987 – Los ingenieros de Digital Equipment Corporation (DEC) publican el primer artículo sobre tecnología de cortafuegos, que marca el inicio de décadas de pensamiento de seguridad de red de "castillo y foso"

2001 – La IEEE Standards Association publica el protocolo 802.1X para el control de acceso a la red (NAC

2004– Se constituye el Foro de Jericó, que introduce el principio de la desperimetrización

2007 - La Agencia de Sistemas de Información de Defensa (DISA) publica su modelo "black core" para un perímetro definido por software; que luchaba por afianzarse. 

2009 – Se fundó BeyondCorp de Google para reinventar la arquitectura de seguridad tras la Operación Aurora

2010 – El analista John Kindervag acuña el término "confianza cero" en un documento para el Forrester Research Group

2013 - El perímetro definido por software de la Cloud Security Alliance, que depende de SPA, se tambalea debido a limitaciones tecnológicas; el Foro de Jericó declara que la eliminación de la desperimetrización es un "hecho" y se disuelve

2017 - Gartner diseña la evaluación continua de riesgo y confianza adaptativa (CARTA) como un marco de gestión de riesgos

2019 - Gartner introduce el concepto de perímetro de servicio de acceso seguro (SASE)

2020 – NIST publica SP 800-207 como marco unificado para establecer una arquitectura de confianza cero (ZTA)

2021 - Gartner especifica que los componentes de seguridad de SASE son una nueva categoría de mercado, conocida como secure service edge (SSE)

2022 – La Oficina de Gestión y Presupuesto del Gobierno de los Estados Unidos exige la adopción de principios de confianza cero para todas las agencias para el año 2024

 

802.1X y control de acceso a la red

El protocolo 802.1X se publicó en 2001 como un estándar que regula el control de acceso a la red (NAC) para dispositivos inalámbricos. La creciente adopción de estos dispositivos móviles complicaba las nociones de un perímetro corporativo estrictamente definido y las organizaciones sentían la necesidad de abordar su creciente uso.

El suplicante, o cliente, 802.1X estaba destinado a permitir que las redes autentificaran un punto final antes de permitir una conexión. Lamentablemente, no todos los dispositivos eran compatibles con 802.1X. Impresoras, sistemas IoT y otros dispositivos conectados impedían que este método sirviera como solución universal al problema del acceso no autorizado a la red. 

 

El Foro de Jericó abre un audaz camino de progreso

En 2003, un grupo de líderes tecnológicos europeos reconoció los problemas inherentes a la  arquitectura de red de castillo y foso y comenzó a debatir formas de derribar los muros de la red.  

En 2004, convocaron un grupo de trabajo conocido como el Foro de Jericó, que introdujo la idea de "desperimetrización" y dio al mundo un conjunto de "mandamientos" que sentaron las bases para las mejores prácticas para gestionar las redes sin perímetro.

 

Más que una palabra de moda: introduzca "confianza cero"

En 2010, el analista de Forrester John Kindervag publicó un artículo titulado "No más centros en peligro: presentamos el modelo de confianza cero de seguridad de la información". Más que una palabra de moda, dio al sector de la seguridad informática algo a lo que aferrarse a la hora de diseñar un nuevo modelo de conectividad.

La premisa era que la mera presencia en una red no era motivo suficiente para otorgar confianza. La identidad (y la capacidad de verificarla) reemplazó al perímetro como criterio central para el acceso. Desafortunadamente, hasta ese momento no había cambiado nada fundamental en el entorno empresarial propiamente dicho. Las redes aún eran un espacio de todo o nada, dentro o fuera.

 

Más allá (del perímetro) Corp

Como ocurre a menudo en el ámbito de la ciberseguridad, los actores de las amenazas impulsaron la siguiente evolución de la seguridad de las redes. El Ejército Popular de Liberación de China llevó a cabo una importante operación contra empresas tecnológicas estadounidenses como Akamai, Adobe y Juniper Network , y Google respondió con  BeyondCorp. 

La intención,  según Google, era "trasladar los controles de acceso del perímetro de la red a los usuarios individuales... [permitiendo] trabajar de forma segura desde prácticamente cualquier lugar sin necesidad de una VPN tradicional". La confianza cero, en su sentido más puro de desinterés por la distinción entre dentro y fuera de la red, había llegado. 

Pero Google buscaba resolver un problema difícil, y a pesar de intentar "allanar el camino para que otras organizaciones implementaran su propia red de confianza cero", la estrategia seguía estando más allá de las capacidades de la mayoría de las empresas en 2010.

 

"El hombre" pesa en la confianza cero

En 2020, el National Institute for Standards and Technology (NIST) redefinió el debate con su estándar NIST 800-207 para la arquitectura de confianza cero. 

Este nuevo paradigma de ciberseguridad se centró en la protección de recursos y en la premisa de que la confianza nunca debería otorgarse implícitamente, sino que debe evaluarse continuamente. Se descartaron los límites del perímetro y la noción de red privada virtual. 

Sus fundamentos son clave para entender cómo funciona la confianza cero y por qué se aleja de los enfoques anteriores. La norma 800-207 estipula los principios y supuestos clave para la confianza cero. Tres de los puntos más importantes (de una lista mucho más larga) son:

  1. Ningún recurso es inherentemente confiable.
  2. Toda la comunicación está protegida independientemente de la ubicación de la red.
  3. Todas las autenticaciones y autorizaciones de recursos son dinámicas y se aplican estrictamente antes de permitir el acceso.

Si este fue un cambio de paradigma en términos de pensar en la confianza cero, la revolución real en cuanto a avances llegó con la directiva M-22-09 de la Oficina de Gestión y Presupuesto de los EE. UU. (OMB), publicada en 2022. De repente, la confianza cero se convirtió en la ley del país, al menos en lo que respecta a las agencias federales de Estados Unidos. 

Pero las implicaciones eran más amplias. Con el respaldo del ejecutivo (casi con toda seguridad, teniendo en cuenta un ataque a la cadena de suministro de gran repercusión en 2021 que  comprometió a agencias federales como Estado, Tesoro, Seguridad Nacional, Comercio y Energía) la metodología de confianza cero contaba con el peso del gobierno estadounidense.

 

Seguir perfeccionando la confianza cero

El respaldo del gobierno estadounidense a los principios de confianza cero no marcó el fin del avance de este modelo. El enfoque de Zscaler para la arquitectura de confianza cero se alinea estrechamente con el marco ZTA del NIST y la definición de Gartner para SSE. Incluso va más allá de estos estándares, con tres avances fundamentales en el pensamiento de confianza cero:

  1. Todo el tráfico es tráfico de confianza cero
  2. La identidad y el contexto siempre van por delante de la conectividad
  3. Las aplicaciones (e incluso los entornos de las aplicaciones) deben permanecer invisibles para los usuarios no autorizados

Para saber más sobre este enfoque moderno de la confianza cero, incluyendo cómo Zscaler está impulsando los próximos hitos en el replanteamiento de la seguridad empresarial, lea el informe técnico completo "Una breve historia de la confianza cero: principales hitos en el replanteamiento de la seguridad empresarial".

También puede ver la grabación de mi presentación en LinkedIn Live sobre el tema con Greg Simpson.

Manténgase informado sobre los últimos consejos y noticias en materia de transformación digital.