Siete elementos de una arquitectura de confianza cero de gran éxito
Guía del arquitecto para Zscaler Zero Trust Exchange
Eche un vistazo a la sección uno: Verificar identidad y contexto
La arquitectura de confianza cero está diseñada para que el acceso se bloquee por completo hasta que se permita explícitamente. Esta forma de actuar difiere de la mayoría de los entornos tradicionales donde el acceso a la red se otorgaba y administraba implícitamente a través de controles de red antiguos. Cuando un iniciador presenta la identidad correcta, el acceso solo puede concederse al conjunto específico de servicios permitidos, y a nada más. Este enfoque de "nunca confíe, siempre verifique" es la base de la arquitectura de confianza cero. Por lo tanto, es imprescindible que las empresas garanticen una integración correcta con un proveedor de IdP fiable.
La identidad y el perfil de la entidad solicitante se consideran en función de la política granular implementada en el elemento 7. Por ejemplo:
Un usuario verificado con los valores de perfil correctos
- necesitaría acceder a SAP;
- no necesitaría acceso a un sensor IoT; y
- podría necesitar acceso a YouTube.
Mientras que un dispositivo IoT/OT verificado con valores de perfil correctos
- necesitaría acceso a un motor de IoT; y
- no necesitaría acceso a YouTube.
Además, una carga de trabajo verificada
- necesitaría acceder a una carga de trabajo comparable; y
- podría necesitar acceso a Internet.
En este ejemplo simplificado, las políticas de acceso pueden determinarse únicamente diferenciando el tipo de iniciador. Posteriormente, la identidad se puede evaluar y enriquecer aún más con contexto. Por ejemplo, un usuario válido que inicia sesión desde un dispositivo de la empresa, para entregar una declaración de identidad más completa (consulte el elemento 2).
Llegados a este punto, la autenticación pasa de un simple sí/no contextual a una etapa de autorización, en la que los valores relacionados con la identidad autenticada, como el rol, la responsabilidad, la ubicación, etc., pueden utilizarse para reforzar la validación del iniciador.
Combinando estos valores, el control de la identidad se vuelve bastante potente y cada identidad debe ser única en el momento de la autorización (la reevaluación se tratará en el elemento 4 con la puntuación de riesgo dinámica).
Las arquitecturas heredadas le hacen vulnerable a los ataques
Los enfoques tradicionales de red y seguridad, como las redes privadas virtuales (VPN) y los cortafuegos, se vuelven ineficaces a medida que las aplicaciones se trasladan a la nube y los usuarios trabajan desde cualquier lugar. Estos enfoques requieren que los usuarios se conecten a la red, lo que abre la puerta a los atacantes para comprometer los datos confidenciales y producir un daño sustancial a su empresa.
Arquitectura de confianza cero:
Seguridad integral para la transformación digital
Para tener éxito en el entorno de trabajo híbrido actual, los equipos de TI y de seguridad deben replantearse el trabajo en red y la seguridad. Aquí es donde entra en juego una arquitectura de confianza cero.
La confianza cero es un enfoque de seguridad global basado en el acceso menos privilegiado y la idea de que ningún usuario o aplicación es fiable de forma inherente. Asume que todas las conexiones son hostiles y solo concede el acceso una vez que se verifica la identidad y el contexto, y se aplican las comprobaciones de las políticas correspondientes.
Zscaler ofrece confianza cero a través de Zero Trust Exchange, una plataforma integrada y nativa de la nube que conecta de forma segura a los usuarios, las cargas de trabajo y los dispositivos con las aplicaciones sin conectarlos a la red. Este enfoque único elimina la superficie de ataque, impide el movimiento lateral de amenazas, protege frente a posibles riesgos y permite evitar la pérdida de datos.
Los siete elementos de la confianza cero
Vea una arquitectura de confianza cero en acción
La confianza cero es la próxima evolución de la seguridad que ya no se basa en la seguridad de castillo y foso para proteger las redes radiales. Una verdadera arquitectura de confianza cero conecta de forma segura a usuarios, cargas de trabajo y dispositivos solo con las aplicaciones a las que están autorizados a acceder, a través de cualquier red y desde cualquier ubicación, sin poner ni al iniciador ni a la aplicación de destino en una red enrutable donde se puedan descubrir y explotar.
Verificación de la identidad y el contexto
Cuando se solicita una conexión, la arquitectura de confianza cero finaliza la conexión y verifica la identidad y el contexto:
- ¿Quién se está conectando? – Verifica la identidad del usuario/dispositivo, del dispositivo IoT/OT o de la carga de trabajo.
- ¿Cuál es el contexto de acceso? – Valida el contexto del solicitante de la conexión, buscando atributos como el rol, la responsabilidad y la ubicación.
- ¿A dónde va la conexión? – Confirma que el destino es conocido, comprendido y categorizado contextualmente para el acceso.
Control del contenido y el acceso
A continuación, la arquitectura de confianza cero evalúa el riesgo asociado con la solicitud de conexión e inspecciona el tráfico en busca de ciberamenazas y datos confidenciales:
- Evaluar el riesgo – Usa IA para calcular dinámicamente una puntuación de riesgo del acceso solicitado.
- Evitar verse comprometido – Inspecciona el tráfico entrante para identificar y bloquear el contenido malicioso.
- Prevenir la pérdida de datos – Descifra e inspecciona el tráfico y el contenido salientes para evitar la exfiltración de datos confidenciales.
Aplicación de políticas: decisiones por sesión y aplicación
Después de controlar el riesgo, se aplica la política antes de establecer en última instancia una conexión con la aplicación interna o externa:
- Aplique la política – Determina la acción condicional que debe realizarse con respecto a la conexión solicitada.
Si se toma la decisión de permiso, se establece una conexión segura con Internet, la aplicación SaaS o la aplicación interna. En el caso de las aplicaciones internas, se trata de un túnel cifrado, solo de salida, que elimina cualquier superficie de ataque.
Los siete elementos de la confianza cero
Vea una arquitectura de confianza cero en acción
La confianza cero es la próxima evolución de la seguridad que ya no se basa en la seguridad de castillo y foso para proteger las redes radiales. Una verdadera arquitectura de confianza cero conecta de forma segura a usuarios, cargas de trabajo y dispositivos solo con las aplicaciones a las que están autorizados a acceder, a través de cualquier red y desde cualquier ubicación, sin poner ni al iniciador ni a la aplicación de destino en una red enrutable donde se puedan descubrir y explotar.
Verificación de la identidad y el contexto
Cuando se solicita una conexión, la arquitectura de confianza cero finaliza la conexión y verifica la identidad y el contexto:
- ¿Quién se está conectando? – Verifica la identidad del usuario/dispositivo, del dispositivo IoT/OT o de la carga de trabajo.
- ¿Cuál es el contexto de acceso? – Valida el contexto del solicitante de la conexión, buscando atributos como el rol, la responsabilidad y la ubicación.
- ¿A dónde va la conexión? – Confirma que el destino es conocido, comprendido y categorizado contextualmente para el acceso.
Control del contenido y el acceso
A continuación, la arquitectura de confianza cero evalúa el riesgo asociado con la solicitud de conexión e inspecciona el tráfico en busca de ciberamenazas y datos confidenciales:
- Evaluar el riesgo – Usa IA para calcular dinámicamente una puntuación de riesgo del acceso solicitado.
- Evitar verse comprometido – Inspecciona el tráfico entrante para identificar y bloquear el contenido malicioso.
- Prevenir la pérdida de datos – Descifra e inspecciona el tráfico y el contenido salientes para evitar la exfiltración de datos confidenciales.
Aplicación de políticas: decisiones por sesión y aplicación
Después de controlar el riesgo, se aplica la política antes de establecer en última instancia una conexión con la aplicación interna o externa:
- Aplique la política – Determina la acción condicional que debe realizarse con respecto a la conexión solicitada.
Si se toma la decisión de permiso, se establece una conexión segura con Internet, la aplicación SaaS o la aplicación interna. En el caso de las aplicaciones internas, se trata de un túnel cifrado, solo de salida, que elimina cualquier superficie de ataque.
Vea Zero Trust Exchange en acción
Siga a Jane y John Doe en su recorrido a través del proceso de confianza cero de acceder a las aplicaciones para ver cómo se aplican los siete elementos con Zscaler Zero Trust Exchange.
Explorar recursos
LIBRO ELECTRÓNICO
Siete elementos de una arquitectura de confianza cero de gran éxito
DE UN VISTAZO
Las ventajas de Zscaler Zero Trust
Exchange de un vistazo
Documento técnico
La plataforma One True Zero Trust
Vídeo
Clarificando la confianza cero en siete simples pasos
ARTÍCULO
Trazando el camino hacia la confianza cero: por dónde empezar
CERTIFICACIÓN