¿Qué es la confianza cero?

Explicación de la arquitectura de confianza cero

La confianza cero es una estrategia de ciberseguridad en la que se aplica una política de seguridad basada en el contexto establecido a través de controles de acceso con privilegios mínimos y autenticación estricta de los usuarios, sin asumir que son fiables. Una arquitectura de confianza cero bien ajustada conduce a una infraestructura de red más sencilla, una mejor experiencia de usuario y una mejor defensa frente a las ciberamenazas.

Una arquitectura de confianza cero sigue la máxima "nunca confíe, siempre verifique". Este principio guía lleva en uso desde que John Kindervag, que entonces trabajaba en Forrester Research, acuñó el término. Una arquitectura de confianza cero aplica políticas de acceso basadas en el contexto, en el que se incluyen el rol y la ubicación del usuario, su dispositivo y los datos que está solicitando, para bloquear el acceso inapropiado y el movimiento lateral en todo un entorno.

Establecer una arquitectura de confianza cero requiere visibilidad y control sobre los usuarios y el tráfico del entorno, incluido el que está cifrado; supervisión y verificación del tráfico entre las partes del entorno; y métodos potentes de autenticación multifactor (MFA) que vayan más allá de las contraseñas, como la biometría o los códigos de un solo uso.

Lo más importante es que, en una arquitectura de confianza cero, la ubicación de un recurso en la red ya no es el principal factor de su postura de seguridad. En lugar de tener una segmentación de red rígida, sus datos, flujos de trabajo, servicios, etc., están protegidos por microsegmentación definida por software, lo que le permite mantenerlos seguros en cualquier lugar, ya sea en su centro de datos o en entornos híbridos y multinube distribuidos.

Cómo implementar la confianza cero

Implementar la confianza cero consiste en realizar una transformación segura. Hoy en día, más organizaciones saben por qué deberían buscar una arquitectura de confianza cero, pero muchas aún no están seguras de por dónde empezar y cada proveedor de seguridad parece tener su propia definición de seguridad de confianza cero. La verdadera confianza cero no se aplica en un instante. Es un viaje que comienza con el empoderamiento y la seguridad de su personal.

Obtenga más información en nuestro artículo específico: ¿Cómo se implementa la confianza cero?

¿Cómo funciona la seguridad de confianza cero?

Como concepto central, la confianza cero asume por defecto que cada componente o conexión es hostil, a diferencia de los modelos anteriores basados en perímetros de red seguros. A nivel tecnológico, la falta de confianza se define por:

• La arquitecturasubyacente: los modelos tradicionales utilizaban direcciones IP, puertos y protocolos aprobados para los controles de acceso y VPN de acceso remoto para validar la confianza.
• Un enfoque en línea: considera todo el tráfico como potencialmente hostil, incluso el que se encuentra dentro del perímetro de la red. El tráfico se bloquea hasta que se valide mediante atributos específicos, como una huella digital o una identidad.
• Políticas sensibles al contexto: este enfoque de seguridad más sólido no se separa de la carga de trabajo, independientemente de dónde se comunique, ya sea una nube pública, un entorno híbrido, un contenedor o una arquitectura de red local.
• Autenticación multifactor: la validación se basa en el usuario, la identidad, el dispositivo y la ubicación.
• Seguridad independiente del entorno: la protección se aplica independientemente del entorno de comunicación, lo que promueve comunicaciones seguras entre redes sin necesidad de cambios arquitectónicos o actualizaciones de políticas.
• Conectividad orientada a los negocios: un modelo de confianza cero utiliza políticas comerciales para conectar usuarios, dispositivos y aplicaciones de forma segura en cualquier red, lo que facilita una transformación digital segura.

Principios básicos del modelo de confianza cero

La confianza cero va más allá de la identidad del usuario, la segmentación y el acceso seguro. Es una estrategia sobre la que construir un ecosistema de ciberseguridad. Se basa en tres principios:

1. Terminar cada conexión: las tecnologías como los cortafuegos utilizan un enfoque "de paso" que inspecciona los archivos a medida que se entregan. Cuando se detecta un archivo malicioso, las alertas suelen llegar demasiado tarde. Una solución eficaz de confianza cero termina cada conexión para permitir que una arquitectura de proxy en línea inspeccione todo el tráfico, incluido el cifrado, en tiempo real, antes de que llegue a su destino, para evitar el ransomware, el malware, etc.
2. Proteger los datos mediante políticas granulares basadas en el contexto: las políticas de confianza cero verifican las solicitudes de acceso y los derechos basándose en el contexto, que incluye la identidad del usuario, el dispositivo, la ubicación, el tipo de contenido y la aplicación que se solicita. Las políticas son adaptables, por lo que los privilegios de acceso de los usuarios se reevalúan continuamente a medida que cambia el contexto.
3. Reducir el riesgo eliminando la superficie de ataque: con un enfoque de confianza cero, los usuarios se conectan directamente a las aplicaciones y los recursos que necesitan, nunca a las redes (véase ZTNA). Las conexiones directas de usuario a aplicación y de aplicación a aplicación eliminan el riesgo de movimiento lateral y evitan que los dispositivos comprometidos infecten otros recursos. Además, los usuarios y las aplicaciones son invisibles en Internet, por lo que no se pueden descubrir ni atacar.

Ventajas de elegir una arquitectura de confianza cero

Los actuales entornos de nube pueden ser objetivos atractivos para los ciberdelincuentes que quieren robar, destruir o secuestrar los datos esenciales y confidenciales de la empresa, como información de identificación personal (PII), propiedad intelectual (PI) e información financiera. ‍‍

A pesar de que ninguna estrategia de seguridad es perfecta, la confianza cero se encuentra entre las estrategias más efectivas de la actualidad porque:

• Reduce la superficie de ataque y el riesgo de una infracción de datos
• Proporciona control de acceso granular sobre entornos de nube y contenedores
• Mitiga el impacto y la gravedad de los ataques con éxito, lo cual reduce el tiempo y el coste de limpieza
• Apoya las iniciativas de cumplimiento

Un modelo de seguridad de confianza cero es el medio más eficaz del mundo para garantizar la seguridad en la nube. Con el enorme grado de expansión de la nube, los terminales y los datos en los entornos de TI actuales, es esencial no confiar en ninguna conexión sin una verificación adecuada. Además, el aumento de la visibilidad facilitará la vida de los departamentos de TI y de seguridad, desde el nivel de administrador hasta el CISO.

Áreas de defensa de la confianza cero

Aplicada en todo su ecosistema de TI, la confianza cero puede ofrecer protección granular para sus:

• Aplicaciones
• Datos
• Puntos finales
• Identidades
• Infraestructura
• Red

Casos de uso de confianza cero

1. Reducir el riesgo empresarial y organizativo

Las soluciones de confianza cero impiden que todas las aplicaciones y servicios se comuniquen hasta que se verifiquen por sus atributos de identidad, propiedades inmutables que cumplen con los principios de confianza predefinidos, como los requisitos de autenticación y autorización.

Por lo tanto, la confianza cero reduce el riesgo porque revela lo que hay en la red y cómo se comunican esos activos. A medida que se establecen las líneas de base, una estrategia de confianza cero reduce aún más el riesgo al eliminar el software y los servicios sobreaprovisionados, así como al comprobar continuamente las credenciales de cada activo que se comunica.

2. Ganar control de acceso en los entornos de nube y contenedores

La gestión del acceso y la pérdida de visibilidad son los mayores temores de los profesionales de la seguridad a la hora de pasar a la nube. A pesar de las mejoras en la seguridad del proveedor de servicios en la nube (CSP), la seguridad de la carga de trabajo sigue siendo una responsabilidad que comparten su organización y el CSP. Dicho esto, solo hay determinados aspectos que usted puede controlar dentro de la nube del CSP.

Con una arquitectura de seguridad de confianza cero, las políticas de seguridad se aplican en función de la identidad de las cargas de trabajo que se comunican y se vinculan directamente a las propias cargas de trabajo. Esto mantiene la seguridad lo más cerca posible de los activos que necesitan protección, sin que se vean afectados por constructos de red como direcciones IP, puertos y protocolos. La protección viaja con la carga de trabajo y es constante incluso a medida que cambia el entorno.

3. Reducir el riesgo de una infracción de datos

Siguiendo el principio de privilegio mínimo, se asume que cada entidad es hostil. Se inspecciona cada solicitud, se autentican los usuarios y dispositivos y se evalúan los permisos antes de concederles la "confianza". Esta "confianza" se vuelve a evaluar continuamente a medida que cambia el contexto, como la ubicación del usuario o los datos a los que se accede.

Incluso si un dispositivo comprometido u otra vulnerabilidad permite la entrada a una red o instancia de nube, un atacante que no sea de confianza no puede acceder ni robar datos.Además, el modelo de confianza cero crea un “único segmento seguro” sin posibilidad de que haya movimiento lateral, por lo que los atacantes no tienen opciones.

4. Apoyar las iniciativas de cumplimiento

La confianza cero protege todas las conexiones de los usuarios y las cargas de trabajo de Internet, de modo que no pueden ser expuestas ni explotadas. Esta invisibilidad hace que sea más fácil demostrar el cumplimiento de las normas y regulaciones de privacidad (por ejemplo, PCI DSS, NIST 800-207) y da como resultado menos hallazgos durante las auditorías.

La implementación de la microsegmentación de confianza cero le permite crear perímetros alrededor de ciertos tipos de datos confidenciales (por ejemplo, datos de tarjetas de pago, copias de seguridad de datos) utilizando controles minuciosos para separar los datos regulados de los no regulados. Durante las auditorías, o en el caso de una infracción de datos, la microsegmentación proporciona una visibilidad y un control superiores en comparación con el acceso con exceso de privilegios de muchas arquitecturas de red planas.

Cómo empezar con la confianza cero

A la hora de diseñar una arquitectura de confianza cero, sus equipos de seguridad y de TI deben centrarse primero en responder a dos preguntas:

1. ¿Qué están intentando proteger?
2. ¿De quién intentan protegerlo?

Esta estrategia determinará la forma en que diseña su arquitectura. A partir de ahí, el enfoque más eficaz es superponer las tecnologías y los procesos a la estrategia, y no al revés.

En su marco Zero Trust Network Access (ZTNA), Gartner recomienda aprovechar la confianza cero proporcionada como servicio. También puede adoptar un enfoque por fases y comenzar con sus activos más críticos o con un caso de prueba de activos no críticos antes de implementar la confianza cero de manera más generalizada. Sea cual sea su punto de partida, una solución de confianza cero óptima le ofrecerá un rendimiento inmediato en materia de reducción de riesgos y control de seguridad.

¿Por qué elegir Zscaler como su solución de confianza cero?

Zscaler es el único proveedor de ciberseguridad que ofrece una plataforma de confianza cero nacida en la nube y diseñada para organizaciones en la nube. Además, Zscaler constantemente es nominado como líder en los informes y clasificaciones de analistas más prestigiosos del sector, y tenemos el respaldo de nuestros innovadores socios y clientes para demostrarlo.

Todo esto es posible gracias a nuestra plataforma estrella: Zscaler Zero Trust Exchange.

Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™ es una plataforma nativa de la nube construida sobre la confianza cero. Se basa en el principio de privilegios mínimos, por lo que establece la confianza a través del contexto, como la ubicación de un usuario, la postura de seguridad de su dispositivo, el contenido que se intercambia y la aplicación que se solicita. Una vez que se establece la confianza, sus empleados obtienen conexiones rápidas y fiables, dondequiera que estén, sin tener que estar ubicados directamente en su red.

Zero Trust Exchange opera en 150 centros de datos en todo el mundo, lo que garantiza que el servicio esté cerca de sus usuarios, situado junto con los proveedores de nube y las aplicaciones a las que acceden. Asimismo, garantiza el camino más corto entre sus usuarios y sus destinos, proporcionando una seguridad integral y una experiencia de usuario sorprendente.