Zscaler Cloud Platform

Inicie su viaje hacia la confianza cero con estas sugerencias de Gartner

Un candado digital

Tanto si acaba de iniciarse en la seguridad en la nube y trata de averiguar cuáles son las últimas tendencias de seguridad como si tiene una amplia trayectoria en el sector con muchos años de experiencia, seguro que se ha encontrado alguna vez con el término "confianza cero". Pero puede que el uso explosivo de este término le confunda, similar al de otras palabras de moda en el ámbito de la seguridad como ransomware, spoofing, etc., que llevan años utilizándose habitualmente.

"Confianza cero" es la palabra de moda más reciente en el sector de la seguridad, y todas las empresas de seguridad parecen reclamar la solución de confianza cero más completa. En medio de todo este revuelo, puede ser difícil determinar qué es real y qué es ficción. ¿Qué es exactamente la confianza cero, por qué es importante y cómo puede aplicarse? En un documento de Gartner publicado a principios de este año, se describen los proyectos prácticos a los que las organizaciones deberían dar prioridad a la hora de implantar una verdadera arquitectura de confianza cero. A través de este blog, pretendo ayudar a que se comprenda mejor lo que es la confianza cero y cómo se puede implementar en una organización según las directrices de Gartner.

¿Qué es la confianza cero?

Hay mucha confusión acerca de qué es realmente la confianza cero: la mayoría piensa en ella como un producto, una solución o una plataforma, pero realmente no es nada de eso. La confianza cero es una mentalidad de seguridad basada en el principio de "nunca confíes, siempre verifica" y el acceso con menos privilegios, que asume que ningún usuario o aplicación debe ser inherentemente confiable. La seguridad de confianza cero asume que hay riesgos para la seguridad tanto dentro como fuera de la red. Por defecto, no se confía en nada dentro de la red, de ahí el nombre "confianza cero". 

La confianza cero es una evolución de las arquitecturas de seguridad de red tradicionales que aprovechaban los cortafuegos y las VPN, y que se basaban en el principio de seguridad "verifica, después confía", que confía por defecto en los usuarios verificados dentro de la red. La confianza cero solo establece confianza en función de la identidad y el contexto del usuario, como la ubicación del usuario, la postura de seguridad del dispositivo y la aplicación o servicio que se solicita, con políticas que sirven como guardianes en cada paso del camino. 

Como analogía, piense en la confianza cero como en la aptitud física. La actividad física es un objetivo conceptual con varios puntos de referencia, varía según los objetivos individuales y personales, y se puede lograr con actividades como caminar, correr, montar en bicicleta, levantar pesas, bailar, entre otras, pero el objetivo final es estar físicamente en forma. Del mismo modo, la confianza cero es también un principio conceptual global de seguridad que puede lograrse con una combinación de soluciones como ZTNA, la segmentación de la carga de trabajo, la protección de datos, el aislamiento del navegador, etc., con el objetivo final de proteger completamente a los usuarios y las aplicaciones.

Según Gartner, la mayoría de las organizaciones todavía están en la fase de planificación o en la estrategia de implantación de la confianza cero. Se sugiere que las organizaciones necesitan dos iniciativas primarias para lograr la confianza cero: 

ZTNA para segmentación de usuario a aplicación

ZTNA admite una arquitectura de confianza cero a través de un modelo de confianza adaptable, en el que la confianza nunca es implícita y el acceso se concede en función de la "necesidad de conocer" y de los mínimos privilegios definidos por políticas granulares. ZTNA conecta de forma segura a los usuarios con aplicaciones privadas sin tener que colocarlos en la red ni exponer aplicaciones a Internet. Este aislamiento reduce los riesgos para la red, como la infección por dispositivos en peligro, y solo otorga acceso a la aplicación a usuarios autorizados. Gartner sugiere que las organizaciones comiencen con un piloto de un producto ZTNA y prueben las aplicaciones con él para asegurarse de que todos los elementos —usuarios, dispositivos (gestionados y no gestionados) y aplicaciones (nuevas y heredadas)—funcionan como se desea.

Segmentación basada en la identidad

Gartner afirma que la segmentación de carga de trabajo a carga de trabajo reduce la excesiva confianza implícita al permitir a las organizaciones mover las cargas de trabajo individuales a un modelo de denegación por defecto para la comunicación, en lugar de un modelo de permiso implícito. Para perfilar una estrategia basada en la identidad, Gartner recomienda abordar cargas de trabajo heterogéneas que abarquen entornos locales, híbridos, virtuales y de contenedores.

Una vez implementado ZTNA y la segmentación basada en la identidad, las organizaciones pueden pasar a otras iniciativas de seguridad para ampliar un enfoque de confianza cero a toda su infraestructura tecnológica.

Simplifique y acelere su viaje hacia la confianza cero

Zscaler Zero Trust Exchange (ZTE), construido en la mayor nube de seguridad del planeta, proporciona la arquitectura de confianza cero para acelerar de forma segura la transformación del negocio. Al operar en 150 centros de datos en todo el mundo, ZTE garantiza que el servicio esté cerca de los usuarios, junto con los proveedores de la nube y las aplicaciones a las que acceden. Insistiendo en nuestra analogía de la confianza cero como una aptitud física, Zero Trust Exchange sería el gimnasio más sofisticado, el que cuenta con todo el equipamiento necesario para alcanzar el mejor estado físico, o la confianza cero según nuestra analogía. Zero Trust Exchange proporciona acceso remoto con protección contra amenazas cibernéticas, protección de datos, acceso seguro a Internet, acceso a aplicaciones B2B, segmentación de red, puntuaciones de rendimiento y muchas otras capacidades fundamentales que son clave para implementar la confianza cero.

Lea el documento: ¿Cuáles son los proyectos prácticos para implementar la confianza cero?

Manténgase informado sobre los últimos consejos y noticias en materia de transformación digital.

Al enviar el formulario, declara estar de acuerdo con nuestra política de privacidad.