¿Qué es una arquitectura de confianza cero?

La importancia de una arquitectura zero trust 

Las organizaciones actuales están experimentando una rápida transformación digital, impulsada por la adopción de servicios en la nube, entornos de trabajo híbridos, dispositivos IoT y aplicaciones SaaS. Esta evolución ha dejado obsoletas las arquitecturas tradicionales de seguridad de red, exponiendo vulnerabilidades críticas en los modelos perimetrales, diseñados principalmente con cortafuegos y VPN. Estas herramientas heredadas, diseñadas para un entorno local, no han logrado adaptarse a la agilidad y sofisticación que requieren las empresas modernas y, de hecho, aumentan el riesgo cibernético en el mundo actual. 

La arquitectura zero trust (ZTA) ha emergido como la solución a estos desafíos. Al replantear la seguridad desde una perspectiva de "nunca confiar, siempre verificar",  zero trust supera las vulnerabilidades de las arquitecturas tradicionales, garantizando una conectividad segura e integral para usuarios, dispositivos y cargas de trabajo, sistemas IoT/OT y socios B2B. Este artículo explora por qué las arquitecturas tradicionales fallan y cómo zero trust transforma la seguridad para abordar el panorama de amenazas moderno. 

Las deficiencias de las arquitecturas tradicionales 

Las arquitecturas basadas en perímetro, a menudo denominadas modelos de “castillo y foso”, fueron diseñadas para una era en la que los usuarios, las aplicaciones y los datos residían principalmente en las instalaciones, conectados a la red corporativa. Estas arquitecturas dependen en gran medida de coertafuegos y VPN para proteger el perímetro de la red, al tiempo que otorgan un amplio acceso a las entidades dentro de la red. Si bien este modelo centrado en la red funcionó aceptablemente bien en el pasado, es cada vez más ineficaz en los entornos distribuidos e impulsados por la nube de la actualidad.

Cómo funcionan las arquitecturas tradicionales

Las arquitecturas tradicionales giran en torno a la red, y sus herramientas subyacentes, como cortafuegos y VPN, tienen como objetivo:

• Establecer un perímetro de seguridad: se asume que todo lo que está dentro de la red es confiable, todo lo que está fuera se considera no confiable y los cortafuegos se utilizan esencialmente como guardianes que separan a ambos. 
• Hacer retornar el tráfico: los usuarios remotos deben conectarse a centros de datos centralizados y a la red a través de VPN para acceder a las aplicaciones (incluidas las aplicaciones en la nube externas), lo que agrega latencia y complejidad.
• Analizar el tráfico: los cortafuegos realizan análisis superficiales del tráfico que entra y sale de la red, pero a menudo dejan pasar las amenazas a través de las defensas sin ser detectadas y tienen dificultades para proteger el tráfico cifrado.

Las cuatro principales debilidades de las arquitecturas tradicionales

1. Superficie de ataque ampliada:: los cortafuegos y las VPN tienen direcciones IP públicas por diseño para permitir el acceso de usuarios legítimos, pero esto también expone la red a los ciberdelincuentes en la web. A medida que las organizaciones se expanden a más ubicaciones, nubes y trabajadores remotos, aumenta la extensión de red, hay más cortafuegos y VPN, y más direcciones IP públicas. Por ello, la superficie de ataque crece, incrementando la vulnerabilidad.
2. Compromiso: tanto si se implementan como dispositivos virtuales o de hardware, los cortafuegos carecen del rendimiento necesario para inspeccionar el tráfico cifrado a escala. Dado que hoy en día el 95 % del tráfico web está cifrado, eso significa que las organizaciones son ciegas a la mayoría de las ciberamenazas que las atacan, porque la mayoría de las amenazas ahora se ocultan en el tráfico TLS/SSL.
3. Movimiento de amenaza lateral: una vez que los atacantes infringen el perímetro, pueden moverse lateralmente a través de la red y acceder a los recursos conectados. Si bien la segmentación de la red a través de cortafuegos adicionales es una solución que se propone a menudo, sólo sirve para aumentar el riesgo, la complejidad y el coste, y no logra abordar el problema subyacente: la arquitectura basada en cortafuegos y perímetro per se.
4. Pérdida de datos: la incapacidad de los cortafuegos para inspeccionar el tráfico cifrado permite que datos confidenciales salgan de la red sin ser detectados. Además, las herramientas tradicionales no están bien equipadas para proteger las rutas de filtración de datos modernas, como el intercambio de archivos dentro de aplicaciones SaaS.

Cómo una arquitectura zero trust transforma la seguridad

Zero trust es fundamentalmente diferente de las arquitecturas tradicionales. En lugar de proteger las redes, protege el acceso directamente a los recursos de TI. En lugar de gobernar el acceso en función de la identidad (que puede ser robada), gestiona el acceso en función del contexto y el riesgo. Una nube especialmente diseñada ofrece la arquitectura como servicio y en el perímetro, actuando como una centralita inteligente que permite conexiones seguras, uno a uno, entre usuarios, dispositivos, cargas de trabajo, sucursales y aplicaciones, independientemente de la ubicación. En otras palabras, desvincula la seguridad y la conectividad de la red. Con ella, las organizaciones pueden utilizar Internet de forma efectiva como su red corporativa.

Los principios de zero trust

1. Verificar la identidad: cada solicitud de acceso comienza con la autenticación de la identidad del usuario u otra entidad que intenta acceder.
2. Determinar el destino: la plataforma zero trust identifica el destino que se solicita y garantiza que sea legítimo y seguro.
3. Evaluar el riesgo: IA/ML evalúa el contexto del intento de acceso para comprender el riesgo, teniendo en cuenta el comportamiento del usuario, la postura del dispositivo, la ubicación e innumerables otras variables.
4. Hacer cumplir la política: se aplica la política en tiempo real por sesión, otorgando, denegando o proporcionando un nivel intermedio de acceso en función del riesgo para garantizar un acceso con los privilegios mínimos.

Las cuatro fortalezas de Zero Trust

1. Minimiza la superficie de ataque: al ocultar las aplicaciones detrás de una nube de zero trust, zero trust elimina la necesidad de direcciones IP públicas y evita las conexiones entrantes. Las aplicaciones son invisibles para Internet, lo que reduce la superficie de ataque.
2. Detiene los riesgos: zero trust aprovecha una nube de seguridad de alto rendimiento para representar e inspeccionar todo el tráfico, incluido el tráfico cifrado, a escala. Las políticas en tiempo real bloquean las amenazas antes de que lleguen a los usuarios o las aplicaciones.
3. Evita el movimiento lateral: zero trust conecta a los usuarios directamente con las aplicaciones, no con la red. Esta segmentación granular garantiza que los atacantes no puedan moverse lateralmente entre los recursos, conteniendo eficazmente las infracciones.
4. Bloquea la pérdida de datos: la arquitectura zero trust protege la información confidencial en todos los posibles canales de filtración de datos, tanto en movimiento hacia la web (incluso a través de tráfico cifrado), como en reposo en la nube o en uso en terminales.

Zero Trust en acción: cómo proteger la conectividad entre cualquier dispositivo 

Una de las fortalezas que definen zero trust es su capacidad de proteger la conectividad entre cualquier sistema. Esto significa que puede proteger a cualquiera de las entidades que necesitan acceso a sus recursos de TI, incluidos:

• Personal: los usuarios pueden acceder de forma segura a la web, aplicaciones SaaS y aplicaciones privadas sin necesidad de acceso a la red
• Nubes: zero trust protege las comunicaciones para cargas de trabajo en entornos de nube pública, privada e híbrida, y protege los datos en reposo en sus nubes y aplicaciones SaaS.
• Dispositivos IoT/OT: zero trust garantiza una conectividad segura para los sistemas IoT y de tecnología operativa (OT), protegiendo estos activos críticos de los ciberataques.
• Socios B2B: terceros, como socios de canal, obtienen acceso seguro directamente a aplicaciones específicas, sin necesidad de VPN ni acceso a nivel de red

Consideraciones al evaluar plataformas zero trust

Adoptar una plataforma zero trust es una decisión fundamental para las organizaciones que buscan modernizar su infraestructura de seguridad. Con tantas opciones disponibles en el mercado, es esencial evaluar las posibles soluciones en función de un conjunto de criterios clave para garantizar que la plataforma satisfaga las necesidades únicas de su organización. A continuación se presentan algunas consideraciones fundamentales para guiar su proceso de evaluación:

Cobertura integral en todas las entidades

Una verdadera plataforma de zero trust debe proteger el acceso de todas las entidades críticas dentro de una organización, incluido el personal, las aplicaciones y las nubes los sistemas IoT/OT y los socios. Garantizar una protección unificada en todos estos vectores es fundamental para mantener una postura de seguridad uniforme y potente sin dejar brechas que los atacantes puedan explotar.

Estabilidad financiera del proveedor

No se pueden pasar por alto la salud financiera y la longevidad del proveedor de la plataforma. Una plataforma zero trust suele ser un servicio esencial y las organizaciones deben asegurarse de que el proveedor elegido tenga la estabilidad financiera y los recursos para invertir continuamente en innovación, evitando al mismo tiempo cualquier interrupción en la prestación del servicio.

Historial comprobado con los clientes

Una plataforma zero trust debe contar con un historial de éxito en una amplia gama de sectores y clientes. Busque casos prácticos documentados, respaldos o testimonios que demuestren la eficacia de la plataforma para proteger organizaciones de tamaño, complejidad o sector similar al suyo. La validación a partir de implementaciones en el mundo real ayuda a infundir confianza en sus capacidades.

Escalabilidad y rendimiento a nivel global

En la actualidad, las organizaciones operan a nivel global y requieren una plataforma zero trust que pueda escalar sin problemas y al mismo tiempo ofrecer un rendimiento constante. La plataforma debe tener la infraestructura para soportar usuarios, aplicaciones y cargas de trabajo en múltiples áreas geográficas con baja latencia, alta disponibilidad y conectividad confiable.

Resiliencia para afrontar lo inesperado

En una era de amenazas en constante evolución, la resiliencia no es negociable. La plataforma debe ser capaz de manejar contingencias inesperadas, tanto si se trata de un aumento en la actividad de los usuarios, como desafíos emergentes de ciberseguridad o fallos técnicos imprevistos. Una solución zero trust resiliente garantiza un servicio ininterrumpido, incluso en las condiciones más adversas.

Integración de IA para mayor seguridad y eficiencia

Por último, a medida que las organizaciones evalúan las plataformas de zero trust, es importante considerar cómo se integra la inteligencia artificial (IA) en la solución. Las plataformas modernas de zero trust, como Zscaler Zero Trust Exchange, utilizan inteligencia artificial y aprendizaje automático (ML) para optimizar la aplicación de políticas, detectar anomalías y agilizar los procesos de toma de decisiones. La IA permite a las organizaciones responder a las amenazas con velocidad y precisión, preparando el escenario para futuros avances en ciberseguridad.

Evaluar las plataformas de zero trust teniendo en cuenta estas consideraciones ayudará a garantizar que su organización seleccione una solución que sea segura, confiable y adaptable. A medida que avanzamos, el papel de la IA en la mejora de zero trust se convertirá en un motor inestimable de innovación y eficiencia.

El papel de la IA en Zero Trust 

La arquitectura zero trust es la base ideal para implementar la seguridad basada en IA. Esto se debe a que el enorme volumen de datos que procesa una plataforma de zero trust a medida que maneja el tráfico de clientes es ideal para capacitar a los LLM. A su vez, la IA mejora las capacidades de zero trust al dotarlo de mayor inteligencia, eficacia y automatización. Zscaler, por ejemplo, integra AI/ML a lo largo de su Zero Trust Exchange con el fin de mejorar innumerables capacidades como:

• Detección y bloqueo de amenazas: los modelos de aprendizaje automático ayudan a identificar y mitigar amenazas sofisticadas, como ataques de día cero, en tiempo real.
• Automatización de la segmentación: la segmentación de aplicaciones impulsada por IA garantiza que las aplicaciones sean accesibles exclusivamente para usuarios autorizados, lo que reduce la superficie de ataque interna y la posibilidad de error humano asociado con la segmentación manual.
• Descubrimiento de datos confidenciales: AI Auto Data Discovery encuentra y clasifica automáticamente información confidencial en todos los posibles canales de filtración de datos.
• Mejora de la productividad del usuario: el análisis de causa raíz impulsado por IA identifica automáticamente los problemas subyacentes que provocan problemas en la experiencia del usuario, lo que mejora la productividad del personal y el servicio de atención al cliente de TI.

Más allá de la seguridad: los beneficios empresariales de zero trust 

Además de reducir el riesgo cibernético, zero trust ofrece varios beneficios operativos y financieros:

• Menor complejidad: al reemplazar cortafuegos, VPN y varias soluciones puntuales con una plataforma unificada y moderna, las organizaciones pueden simplificar sus entornos de TI.
• Ahorro de costes: eliminar herramientas heredadas y al mismo tiempo simplificar la seguridad y la red reduce los gastos generales de administración y disminuye el coste total de propiedad (TCO).
• Experiencia de usuario mejorada: la conectividad directa a la aplicación elimina la latencia asociada con el tráfico de retorno, lo que garantiza un acceso rápido y sin inconvenientes para los usuarios y mejora la productividad.
• Agilidad empresarial: zero trust es una arquitectura flexible que permite a las organizaciones proteger las aplicaciones en la nube y el trabajo híbrido, lo que les permite adaptarse de manera rápida y segura a las necesidades comerciales cambiantes.

Conclusión 

El rápido ritmo de la transformación digital exige una arquitectura de seguridad que pueda seguir el ritmo. Los enfoques tradicionales basados en perímetros, con sus debilidades inherentes, ya no son suficientes. La arquitectura zero trust, con su enfoque en la conectividad segura entre cualquier dispositivo y en políticas dinámicas basadas en el contexto, ofrece una solución moderna a los desafíos actuales de ciberseguridad. 

Al integrar IA en zero trust, las organizaciones pueden mejorar aún más su postura de seguridad, agilizar las operaciones y mejorar las experiencias de los usuarios. Con Zscaler Zero Trust Exchange, las empresas pueden adoptar con confianza la transformación digital y, al mismo tiempo, proteger a sus usuarios, datos y aplicaciones, junto con todo lo demás en su ecosistema de TI. 

Para las organizaciones que están listas para dar el siguiente paso, el camino hacia zero trust comienza por comprender sus principios, fortalezas y estrategias de implementación. Proteja su futuro hoy con Zscaler.

Comience su viaje hacia zero trust: explore más