¿Qué es Confianza Cero?
La arquitectura Zero Trust experimentó un ascenso meteórico en los últimos dos años y se convirtió en la opción preferida por muchas organizaciones que buscan un sistema de seguridad confiable.Este modelo se presentó por primera vez en 2010, pero ganó gran atención unos años más tarde cuando Google anunció que había implementado este concepto de seguridad en su negocio.A pesar de ganar popularidad entre las empresas grandes y pequeñas, el modelo Zero Trust sigue siendo relativamente desconocido entre los usuarios promedio de Internet.Por eso, antes de profundizar en su modelo de seguridad y la implementación de este sistema de seguridad, debemos entender qué es Zero Trust
Primero, echemos un vistazo a la historia de la seguridad de la redNos ha enseñado que los sistemas de seguridad como Zero Trust brindan seguridad confiable sin importar el tamaño de una empresaLas brechas masivas a principios de esta década demostraron que los sistemas de seguridad perimetral existentes estaban obsoletos e incapaces de brindar la máxima seguridad tanto a los usuarios como a las empresas.
Entonces, ¿qué es Zero Trust? En términos simples, la arquitectura de red Zero Trust es un modelo que permite a un usuario identificar una "superficie de protección específica".Esta superficie puede incluir aspectos particulares de los datos, aplicaciones o servicios más importantes de una red.Es una estrategia que elimina el concepto de confianza de la estructura de seguridad de una empresa.Basado en el principio de "siempre dudar", Zero Trust se crea para proteger las redes digitales modernas sin sacrificar la experiencia y el control del usuario.
¿Qué es un modelo de seguridad?
El modelo de seguridad Zero Trust se basa en tres valores fundamentales:
- Fácil acceso a todos los dispositivos independientemente de su ubicación
- Estrategia de abajo hacia arriba para los menos privilegiados y control estricto
- Monitoreo estricto del ecosistema
A juzgar por estos tres valores principales de la seguridad Zero Trust, podemos decir que este método de seguridad no requiere cambios en las medidas de seguridad existentes.En cambio, se basa en el modelo de seguridad familiar sobre el que operan la mayoría de las políticas de seguridad.Y, cuando miramos esto desde la definición de un modelo de seguridad, esto tiene perfecto sentido: “Un modelo de seguridad es cualquier modelo de computadora que se usa para identificar e imponer métodos de seguridadEs un marco sobre el que se desarrolla la política específica de la empresa”Si bien esta definición se creó años antes de la seguridad Zero Trust, todavía se aplica a este sistema de seguridad, lo que convierte a Zero Trust en el ejemplo más exitoso de un modelo de seguridad de red hasta la fecha.
The Technologies behind Zero TrustLas tecnologías detrás de Zero Trust
La filosofía principal detrás de la seguridad Zero Trust es suponer que la red es susceptible a atacantes tanto internos como externos.De acuerdo con esto, el principio de los productos Zero es asumir que no se debe confiar automáticamente en ningún usuario o dispositivo.Después de eso, la seguridad Zero Trust aplica el llamado modelo de acceso de "privilegio mínimo".Significa que el usuario solo obtiene el nivel mínimo de acceso que necesitaEsta base de necesidad de saber minimiza la exposición potencial del usuario a las partes de la red que contienen información confidencial.Además de limitar el acceso a los usuarios, Zero Trust hace lo mismo con los dispositivosEl modelo Zero Trust debe monitorear cuántos dispositivos diferentes intentan acceder al sistema y asegurarse de que cada dispositivo esté autorizado, independientemente de la actividad previa del usuario.
Otro aspecto esencial de Zero Trust es Autenticación multifactorHemos tocado este tema hace unas semanas cuando hablamos sobre todos los beneficios que MFA brinda a sus usuarios.Para resumirlo en unas pocas oraciones cortas, MFA requiere que un usuario ingrese más de una identificación al iniciar sesión en la redLos ejemplos más populares de esto son plataformas como Google y Facebook, que requieren que el usuario ingrese tanto la contraseña como el código enviado a otro dispositivo, generalmente a un número de teléfono móvil específico.
La forma en que funciona Zero Trust significa que no depende de una ubicación en particulartiene lados positivo y negativoLos aspectos positivos son que los usuarios pueden acceder a los datos desde cualquier lugar: trabajo, casa, cafeterías o incluso en el extranjero, siempre y cuando verifiquen su identidad al iniciar sesión.La parte negativa de esto recae en la empresa, y radica en que el método Zero Trust debe extenderse por todo el entorno de red de la empresa.Todo esto también significa que las cargas de trabajo son altamente dinámicas y pueden moverse a través de múltiples centros de datos, sin importar si son públicos, privados o híbridos.
¿Deberían las empresas de confianza cero realmente no confiar en nadie?
Si bien la seguridad Zero Trust ha demostrado ser un modelo de protección de red muy exitoso, muchos expertos en seguridad sugieren que podría operar de una manera ligeramente diferenteEn lugar de rechazar todos los sitios, los expertos sugieren que Zero Trust debería incluir en la lista blanca los sitios web confiables y conocidos.Sin embargo, a partir de ahora, es muy poco probable que suceda, principalmente por dos razones: la creación de un sistema de este tipo no reducirá la carga de trabajo de la empresa por un margen significativo.Además, aumentaría el riesgo potencial de infiltración a través de sitios legítimos, ya que los anuncios maliciosos o el malware pueden infectar incluso sitios confiables.
La verdad es que limitar el acceso a usuarios y dispositivos a veces crea obstáculos para los usuarios, y también requiere trabajo y recursos adicionales por parte de la empresa que implementa dicho sistema.Por un lado, los usuarios deben solicitar acceso constantemente, mientras que por otro lado, el personal de TI de la empresa debe desviar su atención de otros asuntos importantes de la red para monitorear e investigar las solicitudes de los usuarios.Pero sea como sea, los sitios web que buscan la máxima seguridad de la red no deben confiar en ningún sitio web o usuario.No hay forma de mantener un sistema de seguridad 100% efectivo, pero implementar dicho sistema es lo más parecido a tener uno.
Confianza cero para la web
Como mencionamos al comienzo de esta página, Google fue la primera empresa importante en implementar la verificación Zero Trust.Ayudó significativamente a Zero Trust a ganar protagonismo en el mundo en línea.Dado que Google depende principalmente de su tecnología en la nube, la posibilidad potencial de infracciones sigue aumentando a medida que la cantidad de empleados de Google continúa creciendo a lo largo de los años.Google implementó el sistema Zero Trust con cuatro niveles separados: no confiable, acceso básico, acceso privilegiado y acceso altamente privilegiado.Según el nivel de autorización que tenga el dispositivo o el usuario, Google proporciona una cantidad adecuada de información accesible
Otras empresas que utilizan Zero Trust
Después de Google, muchas otras grandes empresas han seguido implementando esta medida de seguridad.De los muchos nombres importantes que utilizan la seguridad Zero Trust en sus redes, tomaremos dos empresas muy diferentes pero influyentes en su campo: Siemens y Kayak.empecemos por lo ultimoKayak es un motor de búsqueda de viajes líder en la industria con varios miles de millones de búsquedas relacionadas con viajes cada año.La estructura de la empresa con empleados en todo el mundo también contribuye al riesgo de ataques de piratas informáticos y otros comportamientos malévolos.Por ello, Kayak utiliza un sistema de seguridad Zero Trust que limita los posibles riesgos de seguridad, tanto para sus empleados como para los visitantes.
Al otro lado del espectro, Siemens no opera en la misma línea de negocios que Kayak.La Red de Digitalización de la empresa es uno de los mayores fabricantes de aplicaciones digitalesCon eso en línea, la experiencia del usuario, la confiabilidad y la seguridad de su plataforma son algunos de los aspectos más críticos de sus productos.Debido a la gran escala de su negocio, Zero Trust fue la mejor opción para Siemens, ya que les permitió hacer exactamente lo que mencionamos anteriormente en el artículo.La empresa amplió y dividió su negocio basado en la nube en varios modelos de seguridad, lo que permite la máxima seguridad para los datos que lo requieren.
Hideez también incorpora el enfoque Zero Trust en nuestros productosSi desea saber más sobre cómo podemos hacer que su negocio sea más seguro
Implementación de confianza cero
Con toda la información que rodea a la arquitectura Zero Trust, este modelo de seguridad puede parecer abrumador y muy difícil de implementar.Pero, este no es el caso en absoluto.Dado que Zero Trust no requiere ningún producto específico para funcionar, no es tan complicado ni costoso de implementar.Está integrado en su arquitectura de seguridad existente y no tiene que reemplazar ningún dispositivo existente con nuevos productos de alta tecnología.Aquí hay un proceso rápido de cinco pasos sobre cómo implementar la seguridad Zero Trust:
- Identifique la superficie que desea proteger
- Mapear el flujo de la red
- Cree un modelo de confianza cero
- Construya una política de seguridad Zero Trust
- Supervisar y mantener el entorno
Un modelo de seguridad Zero Trust implementado con éxito puede ayudarlo a identificar datos, usuarios, flujos de información y riesgos potenciales de manera más eficiente.Agregar otros métodos de seguridad, como la autenticación de dos factores, en superficies mapeadas, además protege su red y le permite verificar la información aún más correctamente
Se necesita mucho trabajo para determinar correctamente todos los pasos necesariosPrimero, debe identificar la superficie, que es una tarea difícil en sí misma.Después de esto, debe observar y comprender la forma en que los usuarios usan su red y sus servicios.Es un paso crucial para determinar su política de Confianza CeroUna vez que realice todos estos pasos, lo único que queda es monitorear y controlar la superficie en tiempo real.Al hacerlo, podrá verificar las características y los mecanismos que necesitan ajustes y mejorar su política a medida que avanza.
Implementación de microsegmentación
Mientras estamos en el tema de la implementación de Zero Trust, otro aspecto al que vale la pena prestar atención es la microsegmentación.Es un método seguro para crear zonas de seguridad especiales en centros de datos.Al implementar la microsegmentación, las empresas pueden aislar cargas de trabajo específicas y protegerlas individualmenteEl objetivo principal es hacer que la seguridad de la red sea más granular y proteger las diferentes partes de los datos implementados por separado.
Por supuesto, al igual que cualquier modelo de seguridad, la microsegmentación tiene sus ventajas y desventajas.La principal ventaja de la microsegmentación es que permite a las empresas disminuir la superficie de amenaza general.Significa que, incluso si un centro de datos se ve comprometido, el riesgo de que otras cargas de trabajo o aplicaciones sean pirateadas se reduce significativamente.Otra clara ventaja de la microsegmentación es la eficiencia operativa que conlleva.Cuando todo está dividido con precisión, el personal de la empresa puede ser mucho más eficiente en la supervisión, el acceso y el control de todos los datos y sistemas de seguridad existentes.
Por otro lado, el mayor inconveniente de un sistema de este tipo viene en la forma de consolidación en sí misma.Las empresas que operaron durante años sin consolidar sus datos en segmentos específicos tendrán mucho trabajo entre manos cuando decidan implementar la microsegmentación.Dicho esto, la microsegmentación, junto con la seguridad Zero Trust, puede contribuir en gran medida a proteger el negocio y ayudar a minimizar la amenaza potencial a los datos de la empresa.