Siete elementos de una arquitectura de confianza cero de gran éxito

Guía del arquitecto para Zscaler Zero Trust Exchange

Eche un vistazo a la sección uno: Verificar identidad y contexto

La arquitectura de confianza cero está diseñada para que el acceso se bloquee por completo hasta que se permita explícitamente. Esta forma de actuar difiere de la mayoría de los entornos tradicionales donde el acceso a la red se otorgaba y administraba implícitamente a través de controles de red antiguos. Cuando un iniciador presenta la identidad correcta, el acceso solo puede concederse al conjunto específico de servicios permitidos y a nada más. Este enfoque de "nunca confíe, siempre verifique" es la base de la arquitectura de confianza cero. Por lo tanto, es imprescindible que las empresas garanticen una integración correcta con un proveedor de IdP confiable.
 

La identidad y el perfil de la entidad solicitante se consideran en función de la política granular implementada en el elemento 7. Por ejemplo:

Un usuario verificado con los valores de perfil correctos

  • necesitaría acceder a SAP;
  • no necesitaría acceso a un sensor IoT; y
  • podría necesitar acceso a YouTube.

Mientras que un dispositivo IoT/OT verificado con valores de perfil correctos

  • necesitaría acceso a un motor de IoT; y
  • no necesitaría acceso a YouTube.

Además, una carga de trabajo verificada

  • necesitaría acceder a una carga de trabajo comparable; y
  • podría necesitar acceso a Internet.

En este ejemplo simplificado, las políticas de acceso pueden determinarse únicamente diferenciando el tipo de iniciador. Posteriormente, la identidad se puede evaluar y enriquecer aún más con contexto. Por ejemplo, un usuario válido que inicia sesión desde un dispositivo de la empresa, para entregar una declaración de identidad más completa (consulte el elemento 2).

Llegados a este punto, la autenticación pasa de un simple sí/no contextual a una etapa de autorización, en la que los valores relacionados con la identidad autenticada, como el rol, la responsabilidad, la ubicación, etc., pueden utilizarse para reforzar la validación del iniciador.

Combinando estos valores, el control de la identidad se vuelve bastante potente y cada identidad debe ser única en el momento de la autorización (la reevaluación se tratará en el elemento 4 con la puntuación de riesgo dinámica).

Las arquitecturas heredadas le hacen vulnerable a los ataques

Los enfoques tradicionales de red y seguridad, como las redes privadas virtuales (VPN) y los cortafuegos, se vuelven ineficaces a medida que las aplicaciones se trasladan a la nube y los usuarios trabajan desde cualquier lugar. Estos enfoques requieren que los usuarios se conecten a la red, lo que abre la puerta a los atacantes para comprometer los datos confidenciales e infligir un daño sustancial a su empresa.

Su superficie de ataque
Le encuentran
—su superficie de ataque
Infectan usuarios, dispositivos y cargas de trabajo
Le comprometen
—infectan usuarios, dispositivos y cargas de trabajo
Se mueven lateralmente a través de su red enrutable para encontrar objetivos de alto valor
Se mueven lateralmente
a través de su red enrutable
Evitan la detección del cortafuegos
Roban sus datos
y evitan la detección de los cortafuegos
Seguridad integral para la transformación digital

Arquitectura de confianza cero:

Seguridad integral para la transformación digital

Para tener éxito en el entorno de trabajo híbrido actual, los equipos de TI y de seguridad deben replantearse el trabajo en red y la seguridad. Aquí es donde entra en juego una arquitectura de confianza cero.

La confianza cero es un enfoque de seguridad holístico basado en el acceso menos privilegiado y la idea de que ningún usuario o aplicación debe ser inherentemente confiable. Asume que todas las conexiones son hostiles y solo concede el acceso una vez que se verifica la identidad y el contexto y se aplican las comprobaciones de las políticas.

Zscaler ofrece confianza cero a través de Zero Trust Exchange, una plataforma integrada y nativa de la nube que conecta de forma segura a los usuarios, las cargas de trabajo y los dispositivos con las aplicaciones sin conectarlos a la red. Este enfoque único elimina la superficie de ataque, evita el movimiento lateral de amenazas y protege frente al riesgo y la pérdida de datos.

Eche un vistazo

Los siete elementos de la confianza cero

Vea una arquitectura de confianza cero en acción

La confianza cero es la próxima evolución de la seguridad que ya no se basa en la seguridad de castillo y foso para proteger las redes radiales. Una verdadera arquitectura de confianza cero conecta de forma segura a usuarios, cargas de trabajo y dispositivos solo con las aplicaciones a las que están autorizados a acceder, a través de cualquier red y desde cualquier ubicación, sin poner ni al iniciador ni a la aplicación de destino en una red enrutable donde se puedan descubrir y explotar.

Verificación de la identidad y el contexto

Cuando se solicita una conexión, la arquitectura de confianza cero finaliza la conexión y verifica la identidad y el contexto:

  1. ¿Quién se está conectando? – Verifica la identidad del usuario/dispositivo, del dispositivo IoT/OT o de la carga de trabajo.
  2. ¿Cuál es el contexto de acceso? – Valida el contexto del solicitante de la conexión, buscando atributos como el rol, la responsabilidad y la ubicación.
  3. ¿A dónde va la conexión? – Confirma que el destino es conocido, comprendido y categorizado contextualmente para el acceso.

Control del contenido y el acceso

A continuación, la arquitectura de confianza cero evalúa el riesgo asociado con la solicitud de conexión e inspecciona el tráfico en busca de ciberamenazas y datos confidenciales:

  1. Evaluar el riesgo – Aprovecha la IA para calcular dinámicamente una puntuación de riesgo del acceso solicitado.
  2. Evitar verse comprometido – Inspecciona el tráfico entrante para identificar y bloquear el contenido malicioso.
  3. Prevenir la pérdida de datos – Desencripta e inspecciona el tráfico y el contenido salientes para evitar la exfiltración de datos confidenciales.

Aplicación de políticas: decisiones por sesión y aplicación

Después de controlar el riesgo, se aplica la política antes de establecer en última instancia una conexión con la aplicación interna o externa:

  1. Aplique la política – Determina la acción condicional que debe realizarse con respecto a la conexión solicitada.

Si se toma la decisión de permiso, se establece una conexión segura con Internet, la aplicación SaaS o la aplicación interna. En el caso de las aplicaciones internas, se trata de un túnel cifrado, solo de salida, que elimina cualquier superficie de ataque.

Vea una arquitectura de confianza cero en acción - vacía
Vea una arquitectura de confianza cero en acción - vacía
Vea una arquitectura de confianza cero en acción - verificación
Vea una arquitectura de confianza cero en acción - control
Vea una arquitectura de confianza cero en acción - completa

Los siete elementos de la confianza cero

Vea una arquitectura de confianza cero en acción

Vea una arquitectura de confianza cero en acción - vacía

La confianza cero es la próxima evolución de la seguridad que ya no se basa en la seguridad de castillo y foso para proteger las redes radiales. Una verdadera arquitectura de confianza cero conecta de forma segura a usuarios, cargas de trabajo y dispositivos solo con las aplicaciones a las que están autorizados a acceder, a través de cualquier red y desde cualquier ubicación, sin poner ni al iniciador ni a la aplicación de destino en una red enrutable donde se puedan descubrir y explotar.

Verificación de la identidad y el contexto

Vea una arquitectura de confianza cero en acción - verificación

Cuando se solicita una conexión, la arquitectura de confianza cero finaliza la conexión y verifica la identidad y el contexto:

  1. ¿Quién se está conectando? – Verifica la identidad del usuario/dispositivo, del dispositivo IoT/OT o de la carga de trabajo.
  2. ¿Cuál es el contexto de acceso? – Valida el contexto del solicitante de la conexión, buscando atributos como el rol, la responsabilidad y la ubicación.
  3. ¿A dónde va la conexión? – Confirma que el destino es conocido, comprendido y categorizado contextualmente para el acceso.

Control del contenido y el acceso

Vea una arquitectura de confianza cero en acción - control

A continuación, la arquitectura de confianza cero evalúa el riesgo asociado con la solicitud de conexión e inspecciona el tráfico en busca de ciberamenazas y datos confidenciales:

  1. Evaluar el riesgo – Aprovecha la IA para calcular dinámicamente una puntuación de riesgo del acceso solicitado.
  2. Evitar verse comprometido – Inspecciona el tráfico entrante para identificar y bloquear el contenido malicioso.
  3. Prevenir la pérdida de datos – Desencripta e inspecciona el tráfico y el contenido salientes para evitar la exfiltración de datos confidenciales.

Aplicación de políticas: decisiones por sesión y aplicación

Vea una arquitectura de confianza cero en acción - completa

Después de controlar el riesgo, se aplica la política antes de establecer en última instancia una conexión con la aplicación interna o externa:

  1. Aplique la política – Determina la acción condicional que debe realizarse con respecto a la conexión solicitada.

Si se toma la decisión de permitir, se establece una conexión segura con Internet, la aplicación SaaS o la aplicación interna. En el caso de las aplicaciones internas, se trata de un túnel cifrado, solo de salida, que elimina cualquier superficie de ataque.

Vea Zero Trust Exchange en acción

Siga a Jane y John Doe en su recorrido a través del proceso de confianza cero de acceder a las aplicaciones para ver cómo se aplican los siete elementos con Zscaler Zero Trust Exchange.

zscaler-diagrama-siete-elementos-zte-acción
zscaler-diagrama-siete-elementos-zte-acción

Explorar recursos

LIBRO ELECTRÓNICO

Siete elementos de una arquitectura de confianza cero de gran éxito

DE UN VISTAZO

Los beneficios de Zscaler Zero Trust
Exchange de un vistazo

Webinar

Habilitación del negocio a través de la confianza cero: un seminario web con IDC