Una introducción a la arquitectura Zero Trust

Gracias a la reciente publicación del informe de orientación de seguridad de la infraestructura de red de la Agencia de Seguridad Nacional (NSA), la eliminación de las debilidades y vulnerabilidades comunes de la red se ha convertido en una prioridad de la agenda para muchos responsables de la toma de decisiones empresariales.

Después de todo, las consecuencias financieras promedio de una violación de datos han alcanzado la asombrosa cifra de $4,24 millones , el máximo en 17 años. Las organizaciones de hoy deben priorizar la seguridad de los datos y los beneficios de Zero Trust Architecture (ZTA), pero antes de continuar, echemos un vistazo más de cerca a qué es ZTA y de dónde proviene este concepto.

¿Qué es Confianza Cero?

También conocida como seguridad sin perímetro, Zero Trust es un modelo de seguridad basado en un marco de principios para el diseño e implementación de sistemas de TI para abordar las ciberamenazas en entornos cada vez más descentralizados. Los usuarios deben estar autenticados, autorizados y validados continuamente antes de que se les conceda acceso a los sistemas y datos. En resumen, Zero Trust inherentemente no confía en nadie.

El punto de entrada de los piratas informáticos a menudo no es su ubicación objetivo dentro de una red. En cambio, identifican una vulnerabilidad en un área y se mueven lateralmente hasta alcanzar su objetivo. ZTA evita que esto suceda al obligar a los usuarios a identificarse en varios puntos, lo que esencialmente limita el daño que puede causar un mal actor.

Zero Trust no es un concepto nuevo. Fue presentado por primera vez en 2009 por John Kindervag , exanalista principal de Forrester Research. Sin embargo, su popularidad se ha disparado en los últimos dos años. De hecho, un informe de Microsoft de 2021 encontró que el 90 % de los responsables de la toma de decisiones de seguridad estaban familiarizados con el concepto, en comparación con solo el 20 % hace solo un año. Sin duda, esta tendencia ha sido catalizada por el crecimiento del trabajo remoto y una mayor adopción de la nube. Sin mencionar el número vertiginoso de ataques cibernéticos, que parecen crecer aún más según las advertencias recientes de la Casa Blanca sobre los ataques cibernéticos rusos entrantes a empresas estadounidenses.

“Está bien, pero ¿cómo puedo implementar Zero Trust en la práctica?”

No existe un modelo único para implementar ZTA. Sin embargo, las organizaciones normalmente deberían considerar lo siguiente:

• Gobierno de la identidad: asegúrese de administrar y proteger todas las identidades de los usuarios mediante políticas sólidas y derechos de acceso. Los controles de acceso basados en roles pueden ayudarlo a hacer cumplir estas políticas al aprovechar los roles de los usuarios para otorgar acceso a los sistemas y aplicaciones que necesitan para hacer su trabajo, y nada más.
• Gestión de acceso privilegiado: Las cuentas privilegiadas son aquellas con el nivel más alto de acceso y presentan un mayor riesgo de seguridad que el usuario promedio dado el grado de información confidencial que podría estar expuesta. Adhiérase al principio de privilegios mínimos proporcionando acceso suficiente a terceros o administradores para completar una tarea a través del control granular de políticas a nivel del sistema.
• Autenticación multifactorial (MFA): uno de los vectores de ataque inicial más comunes son las credenciales de usuario comprometidas, que es lo que MFA pretende evitar. Esta capa de seguridad requiere dos métodos de autenticación antes de otorgar acceso a un sistema o aplicación: algo que conoces (contraseña o PIN), algo que tienes (teléfono inteligente o token) y algo que eres (datos biométricos).
• Inicio de sesión único (SSO): la seguridad es tan buena como aquellos que la usan, y cuando los usuarios notan la seguridad, a menudo la ignoran. De hecho, el 57 % admite escribir contraseñas en notas adhesivas, mientras que muchos otros usuarios comparten sus credenciales con colegas. SSO permite a las organizaciones implementar una seguridad más sólida al eliminar la necesidad de recordar y escribir repetidamente nombres de usuario y contraseñas para acceder a los sistemas.
• Motor de políticas de confianza cero: como describen los documentos del Instituto Nacional de Estándares y Tecnología (NIST), este es el "cerebro" de su ZTA. Cada vez que una identidad digital, ya sea una persona o una máquina, intenta acceder a un recurso empresarial, se le pregunta al motor de políticas ZTA si debe acceder a él. Por supuesto, usted establece los parámetros para su motor de políticas. Efectivamente, si su gestión de identidad digital es estricta, también puede usar el motor de políticas ZTA para eliminar algunos requisitos de nombre de usuario o contraseña, así como los requisitos de MFA. Esencialmente, puede mejorar la seguridad al mismo tiempo que brinda un acceso más fácil, ¿no le suena familiar?

Gestión de identidades y accesos: es hora de poner su casa en orden

Podría decirse que la gestión y protección efectiva de las identidades digitales es el componente más importante de ZTA. En pocas palabras, sin una estrategia de administración de identidades y accesos (IAM), puede olvidarse de Zero Trust. O, al menos, olvídese de cualquiera de los beneficios que se derivan de ello.

Hay una gran variedad de herramientas que las organizaciones pueden usar al implementar su estrategia de IAM, pero contar con las soluciones anteriores es solo una pieza del rompecabezas. Gracias a una variedad de sistemas heredados que la mayoría de las organizaciones todavía tienen, es común ver una herramienta para el aprovisionamiento y desaprovisionamiento, otra para MFA, una tercera para SSO, etc. Sin pretenderlo, las organizaciones con este tipo de enfoque fragmentado suelen introducir los mismos riesgos que intentan evitar.

En cambio, las organizaciones con visión de futuro deberían buscar consolidar estas herramientas con una estrategia unificada que elimine las brechas y permita un único punto de control.

En general, es difícil exagerar la gran cantidad de desafíos relacionados con la ciberseguridad que enfrentan actualmente las organizaciones. Es cierto que, para muchos, se trata de descubrir cómo proteger los sistemas, los datos y los usuarios en el plazo inmediato. Pero una vez que han terminado con la extinción de incendios, la implementación de ZTA, basada en una estrategia eficaz de administración de identidades y accesos, es una obviedad.