La confianza cero es un marco de seguridad que afirma que no se debe confiar en ningún usuario o aplicación de forma predeterminada. Una arquitectura de confianza cero aplica controles de acceso con menos privilegios que establecen la confianza basándose en el contexto (por ejemplo, la identidad y la ubicación del usuario, la postura de seguridad del punto final, la aplicación o el servicio que se solicita) con comprobaciones de políticas en cada paso. Las solicitudes de acceso, incluso de personas conocidas, nunca se conceden hasta que pasan una autenticación estricta.
"Nunca confíe, verifique siempre" es la máxima clave del modelo de seguridad de confianza cero. Para entender por qué, veamos el modelo establecido a largo plazo de seguridad de red basada en cortafuegos.
Los enfoques que emplean cortafuegos tradicionales para la seguridad cibernética asumen que las solicitudes de acceso desde fuera del perímetro de la red no son intrínsecamente confiables, pero cualquier cosa que venga de dentro sí lo es. Además, suponen que los cortafuegos pueden bloquear eficazmente las amenazas externas y que ninguna está ya dentro de las defensas de la red, algo que, sencillamente, no es la realidad.
Los ciberdelincuentes aprovechan la confianza asumida para eludir las defensas y entregar ransomware y otro malware avanzado o exfiltrar datos confidenciales, entre otros. La confianza cero contrarresta el riesgo de la confianza asumida al reconocer que cualquiera podría verse comprometido. En el núcleo del modelo subyacen tres principios:
Antes de pasar a analizar la implementación de la confianza cero, vamos a distinguir entre dos términos:
De otra manera, una arquitectura de confianza cero proporciona la base que las organizaciones necesitan para ofrecer ZTNA y hacer que sus recursos sean accesibles desde cualquier lugar, en cualquier momento y desde cualquier dispositivo. ZTNA es un enfoque de seguridad más ágil y receptivo, más adecuado para las configuraciones multinube y el trabajo remoto.
Ante las tendencias de trabajo remoto, el auge de los dispositivos IoT y la adopción de la nube, la tarea de elaborar una estrategia de confianza cero puede parecer abrumadora. Veamos algunos obstáculos habituales y lo que puede hacer para superarlos.
No saber por dónde empezar
Para comenzar su viaje de confianza cero, intente identificar un punto problemático en su ecosistema. Tal vez sea un riesgo de seguridad, como una superficie de ataque expuesta o un acceso con privilegios excesivos. Podría ser la mala experiencia del usuario o los costes de la deuda técnica, la infraestructura o la conectividad. Empezar poco a poco le da una base desde la que afrontar problemas más complejos.
Estar atado a inversiones heredadas
Es difícil mirar más allá de las inversiones pasadas, incluso si ya no satisfacen sus necesidades. Cuando es preciso realizar renovaciones y actualizaciones, es un buen momento para analizar si sus herramientas y tecnologías heredadas siguen apoyando sus objetivos empresariales actuales, cumpliendo con los requisitos capex y opex, y manteniéndole realmente seguro en medio de las tendencias continuas de la nube, la movilidad y el IoT.
Se necesita que las partes interesadas se involucren y participen
La confianza cero puede llegar a cada rincón de su organización, lo que significa contar con muchas partes interesadas. Sea honesto con ellos acerca de los beneficios y los puntos de fricción de una transformación de confianza cero. Comprenda sus motivaciones y preocupaciones, incluidas aquellas de las que quizá ellos no sean conscientes (como los riesgos legales o de cumplimiento). Identifique los casos de uso clave. Compartir sus pequeños casos de uso inicial también puede contribuir a una aceptación temprana.
La transformación de confianza cero lleva tiempo, pero es necesaria para que las organizaciones actuales sobrevivan y prosperen. Una transformación exitosa cuenta con tres elementos fundamentales:
Es importante reconocer que el cambio puede resultar incómodo, especialmente si su arquitectura y sus flujos de trabajo están profundamente arraigados. Trabajar por fases ayuda a superar esto, por lo que Zscaler divide el camino hacia la confianza cero en cuatro pasos:
Al alcanzar cada uno de estos objetivos, (transformando su red y su seguridad a la vez que los consigue) obtendrá una arquitectura de confianza cero que conecta de forma segura a usuarios, dispositivos y aplicaciones en cualquier red, dondequiera que estén.
La confianza cero no solo consiste en configurar la microsegmentación, la autenticación multifactor (MFA), los permisos y en reconsiderar su seguridad local. Se trata de cumplir con las realidades de las redes, el personal y las amenazas actuales para hacer que sus operaciones sean más seguras, más ágiles y más competitivas.
Cuando se trata de mejores prácticas de implementación de confianza cero, no solo hay necesidades técnicas. Por supuesto, debe proteger sus puntos finales, aplicar el principio de privilegio mínimo y aprovechar la IA, el aprendizaje automático y la automatización. Pero antes de que pueda hacer todo esto de manera efectiva, debe abordar los desafíos de implementar su nueva estrategia de seguridad con un plan:
Zscaler ofrece confianza cero con la plataforma Zscaler Zero Trust Exchange™ nativa de la nube. Construida sobre una arquitectura de proxy, la plataforma conecta de forma segura a usuarios, dispositivos y aplicaciones utilizando políticas comerciales en cualquier red. La plataforma lo hace en cuatro pasos:
Ventajas de Zero Trust Exchange
¿Qué es la confianza cero?
Lea el artículoSiete elementos de una arquitectura de confianza cero de gran éxito
Vea la infografía/Obtenga el libro electrónicoZscaler Zero Trust Exchange
Más informaciónMejores prácticas para la adopción de la confianza cero
Los modelos de seguridad heredados que se basan en la confianza asumida pueden exponer peligrosamente a su red y a los usuarios a medida que las amenazas cibernéticas continúan evolucionando para aprovechar las relaciones confiables. El modelo de confianza cero impone una autenticación estricta para todas las solicitudes, sin importar de quién o de dónde provengan, lo que ofrece una protección más completa.
Los modelos tradicionales de ciberseguridad exponen las aplicaciones a Internet. Hoy en día, como cada vez más aplicaciones y datos residen en la nube, estos modelos hacen que las superficies de ataque de la red sean más amplias que nunca. Un verdadero modelo de confianza cero conecta a los usuarios directamente a los recursos, no a su red, manteniendo su tráfico confidencial invisible para Internet.
El panorama moderno de las ciberamenazas ha expuesto la necesidad de reemplazar la tecnología VPN heredada. Con una VPN tradicional, los usuarios se autentican una vez y luego se colocan en la red. Con la confianza cero, los usuarios y los dispositivos se validan continuamente y solo se les concede acceso a aplicaciones específicas autorizadas.
Busque un proveedor de confianza cero que satisfaga sus necesidades en función del historial del proveedor, las ofertas integrales y el nivel de soporte personalizado. El proveedor de confianza cero correcto comprenderá su entorno y podrá hacer recomendaciones específicas para proteger sus datos y empoderar a su personal.
La mejor manera de iniciarse en la confianza cero es empezar poco a poco. Por ejemplo, encuentre un problema relacionado con el riesgo, el coste o la experiencia del usuario y aplique una estrategia de confianza cero para solucionarlo. Puede hacer alusión a estos pequeños éxitos cuando busque la participación de las partes interesadas y planes de presupuesto y de futuro. No crea que tiene que hacerlo solo. Si su equipo carece de la experiencia para implementar la confianza cero, considere un proveedor de servicios con el que pueda trabajar como socio de confianza.
Una transformación correcta derivada de la confianza cero lleva tiempo, pero para garantizar el éxito a largo plazo, es fundamental desarrollar los conocimientos de su equipo; comprender las formas en que puede usar la tecnología para reducir costes y complejidad y avanzar en sus objetivos; y fomentar un cambio cultural y de mentalidad hacia la confianza cero en toda su organización.
Los pasos para crear una red de confianza cero incluyen: