Zpedia 

/ ¿Qué es una arquitectura de confianza cero?

¿Qué es una arquitectura de confianza cero?

La arquitectura de confianza cero es una arquitectura de seguridad diseñada para reducir la superficie de ataque de una red, prevenir el movimiento lateral de las amenazas y reducir el riesgo de una filtración de datos basada en el modelo de seguridad de confianza cero. Dicho modelo deja a un lado el "perímetro de red" tradicional (dentro del cual todos los dispositivos y usuarios son de confianza y tienen amplios permisos) a favor de los controles de acceso de privilegios mínimos, la microsegmentación granular y la autenticación multifactor (MFA).

7 elementos de la arquitectura de confianza cero

Arquitectura de confianza cero y acceso a la red de confianza cero: ¿cuál es la diferencia?

Antes de examinar la arquitecturade confianza cero con más detalle, distingamos entre estos dos términos interrelacionados:

  • Una arquitectura de confianza cero (ZTA) es un diseño que admite principios de confianza cero, como una gestión de acceso hermética, una autenticación estricta de dispositivos y usuarios, y una fuerte segmentación. Es distinta de una arquitectura de “castillo y foso”, que confía en todo lo que hay dentro de forma predeterminada.
  • El acceso a la red de confianza cero (ZTNA) es un caso de uso de confianza cero que ofrece a los usuarios acceso seguro a aplicaciones y datos cuando los usuarios, las aplicaciones o los datos pueden no estar dentro de un perímetro de seguridad tradicional, lo que se ha vuelto común en la era de la nube y trabajo híbrido.

Si combinamos ambos conceptos, una arquitectura de confianza cero proporciona la base que las organizaciones necesitan para ofrecer ZTNA y hacer que sus sistemas, servicios, API, datos y procesos sean accesibles desde cualquier lugar, en cualquier momento y desde cualquier dispositivo.

Comprender la necesidad de una arquitectura de confianza cero

Durante décadas, las organizaciones produjeron y reconfiguraron complejas redes de área ancha radiales. En estos entornos, los usuarios y los distintos ramales se conectan al centro de datos a través de conexiones privadas. Para acceder a las aplicaciones correspondientes, los usuarios tienen que estar en la red. Las redes radiales se protegen mediante pilas de aplicaciones como VPN y firewalls de próxima generación, con una arquitectura conocida como seguridad de red de castillo y foso.

Este enfoque resultó útil para las organizaciones cuando sus aplicaciones residían en sus centros de datos, pero ahora, con la mayor popularidad de los servicios en la nube y las crecientes preocupaciones sobre la seguridad de los datos, las está frenando.

Hoy en día, la transformación digital se está acelerando a medida que las organizaciones adoptan la nube, la movilidad, la inteligencia artificial, el Internet de las cosas (IoT) y la tecnología operativa (OT) para volverse más ágiles y competitivas. Los usuarios están en todas partes y los datos de las organizaciones ya no se encuentran exclusivamente en sus centros de datos. Para colaborar y mantener la productividad, los usuarios quieren acceder directamente a las aplicaciones desde cualquier lugar y en cualquier momento.

Enrutar el tráfico de vuelta al centro de datos para llegar de forma segura a las aplicaciones en la nube no tiene sentido. Es por ello que las organizaciones se están alejando del modelo de red radial y optando por uno que ofrece conectividad directa a la nube: una arquitectura de confianza cero.

Este vídeo ofrece un resumen conciso de la transformación digital segura.

¿Cuáles son los principios básicos de la confianza cero?

La confianza cero es más que la suma de la identidad del usuario, la segmentación y el acceso seguro. Es una estrategia de seguridad sobre la cual construir un ecosistema de seguridad completo. En esencia, hay tres principios:

  1. Terminar cada conexión: a diferencia de las técnicas de inspección de paso a través comunes a las tecnologías heredadas (por ejemplo, firewalls), una arquitectura de confianza cero eficaz finaliza cada conexión para permitir que una arquitectura de proxy en línea inspeccione todo el tráfico, incluido el tráfico cifrado, en tiempo real, antes de que llegue a su destino.
  2. Proteja los datos mediante políticas granulares basadas en el contexto: las políticas de confianza cero verifican las solicitudes de acceso y los derechos según el contexto, incluida la identidad del usuario, el dispositivo, la ubicación, el tipo de contenido y la aplicación que se solicita. Las políticas son adaptables, por lo que los privilegios de validación y acceso de los usuarios se reevalúan continuamente a medida que cambia el contexto.
  3. Reduzca el riesgo eliminando la superficie de ataque: con un enfoque de confianza cero, los usuarios se conectan directamente a aplicaciones y recursos, nunca a redes (consulte ZTNA). Las conexiones directas eliminan el riesgo de movimiento lateral y evitan que los dispositivos comprometidos infecten otros recursos. Además, los usuarios y las aplicaciones son invisibles en Internet, por lo que no pueden ser descubiertos ni atacados.

¿Cuáles son los cinco pilares de la arquitectura de confianza cero?

Los cinco “pilares” de la confianza cero los estableció por primera vez la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) para dar una guía de las capacidades clave de confianza cero que las agencias gubernamentales (y otras organizaciones) deberían implementar en sus estrategias de confianza cero.

Los cinco pilares son:

  • Identidad: avanzar hacia un enfoque de acceso con menos privilegios para la gestión de identidades.
  • Dispositivos: garantizar la integridad de los dispositivos utilizados para acceder a servicios y datos.
  • Redes: alinear la segmentación y las protecciones de la red de acuerdo con las necesidades de los flujos de trabajo de sus aplicaciones en lugar de la confianza implícita inherente a la segmentación de red tradicional.
  • Aplicaciones y cargas de trabajo: integración más estrecha de las protecciones con los flujos de trabajo de las aplicaciones, brindando acceso a las aplicaciones según la identidad, el cumplimiento del dispositivo y otros atributos.
  • Datos: pasar a un enfoque de ciberseguridad centrado en los datos, comenzando con la identificación, categorización e inventario de los activos de datos.

Cada capacidad puede progresar a su propio ritmo y puede estar más avanzada que otras y, en algún momento, se necesita coordinación entre estos pilares (haciendo hincapié en la interoperabilidad y las dependencias) para garantizar la compatibilidad. Esto permite una evolución gradual hacia la confianza cero y que se distribuyan los costes y esfuerzos a lo largo del tiempo.

¿Cómo funciona la arquitectura de confianza cero?

La confianza cero se basa en la sencilla idea de que es mejor verificar antes que confiar y supone que todo en la red es hostil o está en peligro. El acceso solo se concede después de que se haya verificado la identidad del usuario, la postura del dispositivo y el contexto empresarial, y se hayan aplicado comprobaciones de políticas. Todo el tráfico debe registrarse e inspeccionarse, lo que requiere un grado de visibilidad que los controles de seguridad tradicionales no pueden lograr.

Un verdadero enfoque de confianza cero se aplica mejor con una arquitectura basada en proxy que conecta a los usuarios directamente a las aplicaciones en lugar de a la red, lo que permite aplicar más controles antes de permitir o bloquear las conexiones.

Antes de establecer una conexión, una arquitectura de confianza cero somete cada conexión a un proceso de tres pasos:

  1. Verificar la identidad y el contexto. Una vez el
usuario/dispositivo, la carga de trabajo, o el dispositivo IoT/OT solicita una conexión, independientemente de la red subyacente, la arquitectura de confianza cero primero finaliza la conexión y verifica la identidad y el contexto al comprender "quién, qué y dónde" de la solicitud.
  • Controlar el riesgo. Una vez que se verifican la identidad y el contexto de la entidad solicitante y se aplican las reglas de segmentación, la arquitectura de confianza cero evalúa el riesgo asociado con la solicitud de conexión e inspecciona el tráfico en busca de ciberamenazas y datos confidenciales.
  • Hacer cumplir la política. Finalmente, se calcula una puntuación de riesgo para el usuario, la carga de trabajo o el dispositivo para determinar si está permitido o restringido. Si la entidad está permitida, la arquitectura de confianza cero establece una conexión segura a Internet, la aplicación SaaS o
  • IaaS/PaaS ambiente.
    promotional background

    Siete componentes de una arquitectura Zero Trust de éxito

    Obtenga un resumen detallado de la confianza cero de Nathan Howe, vicepresidente de tecnologías emergentes de Zscaler.

    Ventajas de la arquitectura de confianza cero

    Una arquitectura de confianza cero proporciona el acceso de usuario contextual y preciso que necesita para ejecutarse a la velocidad de los negocios modernos y, al mismo tiempo, protege a sus usuarios y datos contra malware y otros ataques cibernéticos. Como base de ZTNA, una arquitectura eficaz de confianza cero le ayuda a:

    • Otorgar acceso rápido y seguro a datos y aplicaciones para trabajadores remotos, incluidos empleados y socios, dondequiera que estén, mejorando la experiencia del usuario
    • Proporcionar acceso remoto confiable, así como administrar y hacer cumplir políticas de seguridad de manera más fácil y uniforme que con tecnología heredada como VPN
    • Proteger aplicaciones y datos confidenciales(en las instalaciones o en un entorno de nube, en tránsito o en reposo) con controles de seguridad estrictos, que incluyen cifrado, autenticación, controles de estado y más.
    • Detener las amenazas internas al dejar de otorgar confianza implícita y predeterminada a cualquier usuario o dispositivo dentro del perímetro de su red.
    • Limitar el movimiento lateral con políticas de acceso granular hasta el nivel de recursos, reduciendo la probabilidad de una infracción.
    • Detectar, dar respuesta y corregir infracciones más rápida y eficazmente para mitigar su impacto.
    • Obtener una visibilidad más profunda del qué, cuándo, cómo y dónde de las actividades de los usuarios y entidades con supervisión y registro detallados de las sesiones y acciones tomadas.
    • Evaluar el riesgo en tiempo real con registros de autenticación detallados, dispositivos y verificaciones de estado de recursos, análisis de comportamiento de usuarios y entidades, etc.

    (Adaptado de “Implementing a Zero Trust Architecture”, un Instituto Nacional de Estándares y Tecnología

    [NIST] Publicación especial)

    ¿Cómo supera la arquitectura Zero Trust a los modelos de seguridad tradicionales?

    La arquitectura de confianza cero supera a los modelos de seguridad tradicionales debido a su enfoque proactivo, adaptable y centrado en los datos. Los modelos tradicionales se basan en defensas perimetrales, mientras que la confianza cero es consciente de que las amenazas pueden provenir tanto del interior como del exterior de la red, y valida continuamente la identidad y la postura de seguridad de los usuarios y dispositivos.

    Al aplicar controles granulares de acceso con privilegios mínimos, la confianza cero otorga a los usuarios y dispositivos solo el acceso mínimo necesario. La supervisión continua, la autenticación multifactor (MFA) y el análisis de comportamiento detectan amenazas en tiempo real, antes de que puedan convertirse en ataques exitosos. Su adaptabilidad hace que la confianza cero sea más ágil, lo que a su vez la hace más adecuada que los modelos tradicionales para proteger las superficies de ataque masivas y las nuevas vulnerabilidades inherentes al trabajo remoto y al mundo que gira en torno a la nube de la actualidad.

    Esencialmente, Zero Trust se centra en proteger los datos, no la red, a través de la protección de la información en todos los ámbitos en los que resida o circule: en la red, la nube o en dispositivos remotos.

    Arquitectura One True Zero Trust: Zscaler Zero Trust Exchange

    Zscaler Zero Trust Exchange™ es una plataforma integrada nativa de la nube basada en el principio de acceso con privilegios mínimos y la idea de que ningún usuario, carga de trabajo o dispositivo es inherentemente confiable. En cambio, la plataforma otorga acceso según la identidad y el contexto, como el tipo de dispositivo, la ubicación, la aplicación y el contenido, para gestionar una conexión segura entre un usuario, una carga de trabajo o un dispositivo, a través de cualquier red, desde cualquier lugar, según la política empresarial.

    Zero Trust Exchange ayuda a su organización a:

    • Eliminar la superficie de ataquede Internet y el movimiento lateral de amenazas. El tráfico de usuarios nunca toca su red. En cambio, los usuarios se conectan directamente a las aplicaciones a través de túneles cifrados uno a uno, lo que evita el descubrimiento y los ataques dirigidos.
    • Mejorar la experiencia del usuario. A diferencia de las arquitecturas de red heredadas y estáticas con una "puerta de entrada" que envía los datos a los centros de procesamiento, Zero Trust Exchange gestiona y optimiza de forma inteligente las conexiones directas a cualquier nube o destino de Internet y aplica políticas y protecciones adaptables en línea en el borde, lo más cerca posible del usuario como sea posible.
    • Disfrute de una integración perfecta con proveedores líderes de nube, identidades, protección de extremos y SecOps. Nuestra plataforma integral combina funciones de seguridad básicas (por ejemplo, SWG, DLP, CASB, firewall, sandboxing) con tecnologías emergentes como aislamiento del navegador, supervisión de experiencia digital y ZTNA para una pila de seguridad en la nube con todas las funciones.
    • Reducir costes y complejidad.Zero Trust Exchange es fácil de implementar y administrar, sin necesidad de VPN ni políticas complejas de firewall perimetral de red.
    • Ofrezca seguridad uniforme a escala.Zscaler opera la nube de seguridad más grande del mundo, distribuida en más de 150 centros de datos en todo el mundo, procesa más de 240 mil millones de transacciones en períodos pico y previene 8,4 mil millones de amenazas cada día.

    promotional background

    Zero Trust Exchange conecta y protege usuarios, cargas de trabajo y dispositivos a través de cualquier red desde cualquier ubicación.

    Recursos sugeridos

    Siete elementos de una arquitectura de confianza cero de gran éxito
    Obtenga el libro electrónico
    Por qué los cortafuegos y las VPN no son adecuados para la confianza cero
    Ver a la carta
    Un breve historial de la confianza cero: los principales hitos a la hora de replantear la seguridad empresarial
    Obtenga la documentación técnica
    Informe sobre la adopción de la confianza cero | Cybersecurity Insiders
    Obtenga el informe completo
    ¿Qué es la confianza cero?
    Más información
    Guía de mercado para el acceso a la red de confianza cero de Gartner
    Obtenga el informe completo
    01 / 04
    Preguntas frecuentes