¿Cómo se implementa la confianza cero?

¿Qué es la confianza cero?

La confianza cero es un marco de seguridad que afirma que no se debe confiar en ningún usuario o aplicación de forma predeterminada. Una arquitectura de confianza cero aplica controles de acceso con menos privilegios que establecen la confianza basándose en el contexto (por ejemplo, la identidad y la ubicación del usuario, la postura de seguridad del punto final, la aplicación o el servicio que se solicita) con comprobaciones de políticas en cada paso. Las solicitudes de acceso, incluso de personas conocidas, nunca se conceden hasta que pasan una autenticación estricta.

¿Cuáles son los principios básicos de la confianza cero?

"Nunca confíe, verifique siempre" es la máxima clave del modelo de seguridad de confianza cero. Para entender por qué, veamos el modelo establecido a largo plazo de seguridad de red basada en cortafuegos.

Los enfoques que emplean cortafuegos tradicionales para la seguridad cibernética asumen que las solicitudes de acceso desde fuera del perímetro de la red no son intrínsecamente confiables, pero cualquier cosa que venga de dentro sí lo es. Además, suponen que los cortafuegos pueden bloquear eficazmente las amenazas externas y que ninguna está ya dentro de las defensas de la red, algo que, sencillamente, no es la realidad.

Los ciberdelincuentes aprovechan la confianza asumida para eludir las defensas y entregar ransomware y otro malware avanzado o exfiltrar datos confidenciales, entre otros. La confianza cero contrarresta el riesgo de la confianza asumida al reconocer que cualquiera podría verse comprometido. En el núcleo del modelo subyacen tres principios:

1. Terminar todas las conexiones. Los cortafuegos tradicionales utilizan un enfoque de "paso" e inspeccionan los archivos a medida que se entregan. Una verdadera solución de confianza cero termina cada conexión para que una arquitectura proxy en línea pueda inspeccionar todo el tráfico, incluido el tráfico cifrado, antes de que llegue a su destino.
2. Proteger los datos con políticas granulares basadas en el contexto. Las políticas de confianza cero verifican las solicitudes de acceso y los derechos basándose en el contexto completo de la solicitud, incluida la identidad, el dispositivo, la ubicación, el contenido, etc. Las políticas son adaptables, por lo que los privilegios de acceso de los usuarios se evalúan continuamente a medida que cambia el contexto.
3. Reducir el riesgo eliminando la superficie de ataque. Con un verdadero enfoque de confianza cero, los usuarios y las entidades se conectan directamente a aplicaciones y recursos, nunca a redes (ver ZTNA), a diferencia de lo que sucede con una VPN. Esto elimina el riesgo de movimiento lateral y, dado que los usuarios y las aplicaciones son invisibles en Internet, no pueden ser descubiertos ni atacados.

¿Cuál es la diferencia entre la arquitectura de confianza cero (ZTA) y el acceso a la red de confianza cero (ZTNA)?

Antes de pasar a analizar la implementación de la confianza cero, vamos a distinguir entre dos términos:

• Una arquitectura de confianza cero (ZTA) es un diseño que admite la segmentación, la autenticación y la gestión de acceso herméticos. Es diferente de una arquitectura de "castillo y foso" (en muchos aspectos está diseñada para reemplazarla), que confía en cualquier cosa que se encuentre dentro de forma predeterminada.
• El acceso a la red de confianza cero (ZTNA) es un caso de uso de confianza cero que ofrece a los usuarios acceso seguro a aplicaciones y datos cuando los usuarios, las cargas de trabajo o los datos pueden no estar dentro de un perímetro tradicional, algo muy habitual en la era de la nube y el trabajo híbrido.

De otra manera, una arquitectura de confianza cero proporciona la base que las organizaciones necesitan para ofrecer ZTNA y hacer que sus recursos sean accesibles desde cualquier lugar, en cualquier momento y desde cualquier dispositivo. ZTNA es un enfoque de seguridad más ágil y receptivo, más adecuado para las configuraciones multinube y el trabajo remoto.

Desafíos al implementar la confianza cero

Ante las tendencias de trabajo remoto, el auge de los dispositivos IoT y la adopción de la nube, la tarea de elaborar una estrategia de confianza cero puede parecer abrumadora. Veamos algunos obstáculos habituales y lo que puede hacer para superarlos.

No saber por dónde empezar

Para comenzar su viaje de confianza cero, intente identificar un punto problemático en su ecosistema. Tal vez sea un riesgo de seguridad, como una superficie de ataque expuesta o un acceso con privilegios excesivos. Podría ser la mala experiencia del usuario o los costes de la deuda técnica, la infraestructura o la conectividad. Empezar poco a poco le da una base desde la que afrontar problemas más complejos.

Estar atado a inversiones heredadas

Es difícil mirar más allá de las inversiones pasadas, incluso si ya no satisfacen sus necesidades. Cuando es preciso realizar renovaciones y actualizaciones, es un buen momento para analizar si sus herramientas y tecnologías heredadas siguen apoyando sus objetivos empresariales actuales, cumpliendo con los requisitos capex y opex, y manteniéndole realmente seguro en medio de las tendencias continuas de la nube, la movilidad y el IoT.

Se necesita que las partes interesadas se involucren y participen

La confianza cero puede llegar a cada rincón de su organización, lo que significa contar con muchas partes interesadas. Sea honesto con ellos acerca de los beneficios y los puntos de fricción de una transformación de confianza cero. Comprenda sus motivaciones y preocupaciones, incluidas aquellas de las que quizá ellos no sean conscientes (como los riesgos legales o de cumplimiento). Identifique los casos de uso clave. Compartir sus pequeños casos de uso inicial también puede contribuir a una aceptación temprana.

Cómo implementar la confianza cero

La transformación de confianza cero lleva tiempo, pero es necesaria para que las organizaciones actuales sobrevivan y prosperen. Una transformación exitosa cuenta con tres elementos fundamentales:

• Conocimiento y convicción: comprender las nuevas y mejores formas de utilizar la tecnología para reducir costes, eliminar la complejidad y avanzar en sus objetivos.
• Tecnologías innovadoras: dejar atrás las soluciones heredadas que no son adecuadas después de todos los cambios que han experimentado Internet, las amenazas y los trabajadores en las últimas tres décadas.
• Cambio cultural y de mentalidad: impulsar el éxito acompañando a sus equipos. Cuando los profesionales de TI comprenden las ventajas de la confianza cero, empiezan a promoverla.

Es importante reconocer que el cambio puede resultar incómodo, especialmente si su arquitectura y sus flujos de trabajo están profundamente arraigados. Trabajar por fases ayuda a superar esto, por lo que Zscaler divide el camino hacia la confianza cero en cuatro pasos:

1. Capacite y proteja a su personal
2. Proteja sus datos en cargas de trabajo en la nube
3. Modernice su seguridad IoT/OT
4. Involucre a sus clientes y proveedores de forma segura

Al alcanzar cada uno de estos objetivos, (transformando su red y su seguridad a la vez que los consigue) obtendrá una arquitectura de confianza cero que conecta de forma segura a usuarios, dispositivos y aplicaciones en cualquier red, dondequiera que estén.

Mejores prácticas de confianza cero

La confianza cero no solo consiste en configurar la microsegmentación, la autenticación multifactor (MFA), los permisos y en reconsiderar su seguridad local. Se trata de cumplir con las realidades de las redes, el personal y las amenazas actuales para hacer que sus operaciones sean más seguras, más ágiles y más competitivas.

Cuando se trata de mejores prácticas de implementación de confianza cero, no solo hay necesidades técnicas. Por supuesto, debe proteger sus puntos finales, aplicar el principio de privilegio mínimo y aprovechar la IA, el aprendizaje automático y la automatización. Pero antes de que pueda hacer todo esto de manera efectiva, debe abordar los desafíos de implementar su nueva estrategia de seguridad con un plan:

• Póngase en marcha para encontrar un punto de partida. Utilice ese punto de partida (ya sea un riesgo, un problema de experiencia del usuario, una preocupación sobre los costes, etc.) para impulsar su estrategia. Presente la confianza cero gradualmente en lugar de intentar embarcarse en tareas imposibles.
• Vuelva a evaluar las inversiones antiguas. Busque deficiencias en la seguridad de su red y en la nube, la experiencia del usuario y las relaciones con proveedores en toda su organización, e identifique lugares donde la confianza cero podría marcar la mayor diferencia.
• Incorpore a las partes interesadas clave. Empiece por conocer las prioridades y las necesidades de los equipos clave. Esto pondrá de relieve casos de uso que pueden ayudarle a asegurar la aceptación y guiarle hacia ese punto de partida crucial.
• No sienta la necesidad de hacerlo solo. Es posible que su equipo no tenga la experiencia necesaria para trabajar íntegramente con la confianza cero. Aproveche la ayuda de expertos, como servicios profesionales probados y proveedores de servicios de seguridad gestionada.
• Considere un plan de entrega mutua.Este acuerdo entre su organización y su proveedor le dará una imagen clara y organizada de lo que necesita lograr y los pasos individuales que dará.

¿Necesita ayuda profesional? Zscaler puede ayudarle

Zscaler ofrece confianza cero con la plataforma Zscaler Zero Trust Exchange™ nativa de la nube. Construida sobre una arquitectura de proxy, la plataforma conecta de forma segura a usuarios, dispositivos y aplicaciones utilizando políticas comerciales en cualquier red. La plataforma lo hace en cuatro pasos:

1. Termina todas las conexiones y realiza una inspección profunda de datos y amenazas en tiempo real en todo el tráfico, incluido el tráfico cifrado.
2. Determina la identidad y el dispositivo y verifica los derechos de acceso utilizando políticas empresariales basadas en el contexto, incluidos el usuario, el dispositivo, la aplicación y el contenido.
3. Aplica políticas para proporcionar segmentación de usuario a aplicación a través de túneles uno a uno cifrados.
4. Conecta directamente a los usuarios a las aplicaciones a través de Zero Trust Exchange por Internet, sin pasar por su red.

Ventajas de Zero Trust Exchange

• Evita el movimiento lateral de las amenazas: los usuarios se conectan a las aplicaciones directamente, sin acceder a la red, lo que garantiza que las amenazas no puedan moverse lateralmente para infectar otros dispositivos o aplicaciones.
• Elimina la superficie de ataque de Internet: las aplicaciones se ubican detrás del intercambio, invisibles en Internet, lo que elimina su superficie de ataque y previene ataques cibernéticos dirigidos.
• Brinda una excelente experiencia de usuario: los usuarios disfrutan de conexiones directas optimizadas y administradas de manera inteligente a aplicaciones en la nube, con políticas aplicadas en el perímetro en más de 150 centros de datos en todo el mundo.
• Reduce los costes y la complejidad: la gestión y la implementación son sencillas, sin necesidad de VPN, cortafuegos complejos ni hardware adicional.
• Se ajusta a medida que crece su negocio: el diseño multiusuario nativo en la nube de la plataforma está totalmente distribuido en más de 150 centros de datos globales para ofrecerle la conectividad segura que necesita.