Cómo implantar una estrategia de seguridad de confianza cero

Zero Trust se basa en el supuesto de que existen amenazas constantes tanto fuera como dentro de la red. Zero Trust también asume que cualquier intento de acceder a la red o a una aplicación es una amenaza. Es una filosofía de seguridad de red que establece que no se debe confiar en nadie dentro o fuera de la red hasta que se haya verificado exhaustivamente su identidad. Estos supuestos subyacen en la estrategia de los administradores de red y les obligan a desarrollar medidas de seguridad estrictas y sin confianza.

Es demasiado común la idea de que la implantación de una arquitectura de confianza cero requiere una revisión completa de la red. No cabe duda de que es necesario un cierto esfuerzo, pero contar con el marco y las herramientas adecuadas para llevarla a cabo es esencial para el éxito de la implantación. Todos los entornos necesitan una arquitectura de confianza cero coherente. Se trata de un cambio cultural que a menudo es mayor que el cambio tecnológico. Se trata de una mentalidad y un compromiso para cambiar cómo se concede el acceso y cómo se ofrece la seguridad en toda la organización.

Una estrategia de seguridad de "confianza cero" determina el acceso y los requisitos adecuados

El primer paso para desarrollar una arquitectura de confianza cero es decidir quién puede hacer qué, y ésta es probablemente la tarea más difícil. Hay que determinar quién puede acceder a qué, en función de los recursos para que cada persona pueda hacer su trabajo. Y luego hay que asegurarse de que los dispositivos que utilizan las personas están debidamente protegidos.

La configuración de Zero Trust Access (ZTA) implica controles de acceso de extremo a extremo para las aplicaciones, potentes tecnologías de control de acceso a la red y sólidas capacidades de autenticación. Un aspecto de Zero Trust Access que se centra en controlar el acceso a las aplicaciones es Zero Trust Network Access (ZTNA). ZTNA amplía los principios de ZTA para verificar a los usuarios y dispositivos antes de cada sesión de aplicación con el fin de confirmar que cumplen la política de la organización para acceder a esa aplicación. ZTNA admite la autenticación multifactor para garantizar el máximo nivel de verificación.

El uso del modelo de confianza cero para el acceso a aplicaciones, o ZTNA, permite a las organizaciones depender menos de los túneles tradicionales de red privada virtual (VPN) para proteger los activos a los que se accede de forma remota. Una VPN a menudo proporciona acceso sin restricciones a la red, lo que puede permitir a los usuarios comprometidos o al malware moverse lateralmente en la red y explotar los recursos. Sin embargo, la ZTNA aplica las políticas por igual tanto si los usuarios están dentro como fuera de la red. Así, una organización tiene la misma protección independientemente del lugar desde el que se conecte un usuario.

La aplicación de una política de seguridad ZTA eficaz debe incluir una autenticación segura. Muchas brechas de seguridad tienen su origen en cuentas de usuario y contraseñas comprometidas, por lo que el uso de la autenticación multifactor es fundamental. Exigir a los usuarios que proporcionen dos o más factores de autenticación para acceder a una aplicación o a otros recursos de la red añade una capa adicional de seguridad para combatir las amenazas a la ciberseguridad.

También es importante garantizar que los usuarios no tengan derechos de acceso inadecuados o excesivos. Aplicar la práctica ZTA de "mínimo privilegio" como parte de la gestión de acceso significa que si una cuenta de usuario se ve comprometida, los ciberatacantes sólo tendrán acceso a un subconjunto limitado de los recursos de la empresa. Esto es similar a la segmentación de la red, pero por persona. Los usuarios sólo deben poder acceder a los recursos que necesitan para su tarea concreta.

Asegúrese de que todos los dispositivos están protegidos con Zero Trust

La seguridad de los dispositivos también desempeña un papel clave en la aplicación de una política de seguridad eficaz de Confianza Cero. Es esencial garantizar que los dispositivos que utilizan las personas estén debidamente protegidos. Esto es especialmente importante a medida que los dispositivos IoT se generalizan y se convierten en objetivos más grandes para los ciberatacantes.

Dado que los dispositivos IoT no pueden instalar software y carecen de funciones de seguridad integradas, están esencialmente "descabezados". A medida que ha avanzado la tecnología, también lo ha hecho la interconectividad de los ecosistemas IoT con la red corporativa y la Internet en general.

Esta nueva conectividad y la expansión de los dispositivos con IP significa que los dispositivos IoT se han convertido en un objetivo principal para los ciberdelincuentes. La mayoría de los dispositivos IoT no están diseñados pensando en la seguridad, y muchos no tienen ni sistemas operativos tradicionales ni suficiente potencia informática o memoria para incorporar funciones de seguridad.

Una ventaja de la ZTA es que puede autenticar puntos finales y dispositivos IoT para establecer y mantener un control de gestión exhaustivo y garantizar la visibilidad de cada componente conectado a la red. Para los dispositivos IoT sin auriculares, las soluciones de control de acceso a la red (NAC) pueden proporcionar descubrimiento y control de acceso. Mediante las políticas NAC, las organizaciones pueden aplicar los principios de confianza cero de mínimo acceso a los dispositivos IoT y conceder únicamente el acceso a la red que sea necesario para realizar sus tareas. Desarrollar una sólida política de seguridad de confianza cero

Cuando se trata de seguridad de confianza cero, es necesario desarrollar y ejecutar un plan que garantice protocolos y políticas coherentes que se apliquen en toda la red. Independientemente de quién, dónde o a qué se intente acceder, las normas deben ser coherentes. Esto significa encontrar herramientas de seguridad de confianza cero que no sean sólo para la nube, porque si está ejecutando una red híbrida, necesita aplicar las mismas reglas de confianza cero a su campus físico que a sus empleados/activos remotos. En comparación, hay pocas organizaciones dedicadas exclusivamente a la nube; la mayoría ha adoptado un enfoque híbrido y, sin embargo, muchos proveedores de soluciones de confianza cero están desarrollando soluciones exclusivas para la nube.

En el último año, las empresas han comenzado a confiar más en los entornos híbridos y multi-nube para apoyar sus necesidades de transformación digital en curso. Según un informe reciente de Fortinet, el 76 % de las empresas encuestadas afirmaron utilizar al menos dos proveedores de nube.

Un aspecto importante a tener en cuenta son las diferencias entre cada plataforma en la nube. Cada una tiene diferentes herramientas y funciones de seguridad integradas con diferentes capacidades, estructuras de comandos, sintaxis y lógica. El centro de datos sigue siendo un entorno diferente. Además, las empresas pueden migrar dentro y fuera de las nubes. Cada nube ofrece ventajas únicas y es importante que la organización pueda utilizar las nubes que satisfagan sus necesidades empresariales; la ciberseguridad no debe ser un obstáculo para ello. Sin embargo, como cada proveedor de nubes ofrece servicios de seguridad diferentes con herramientas y enfoques distintos, cada una de sus nubes se convierte en un silo independiente en una infraestructura de seguridad de red fragmentada, lo que no es una constelación ideal.

Sin embargo, si dispone de una superposición de seguridad común en todos estos centros de datos y nubes, proporcionará una capa de abstracción sobre cada herramienta que le dará visibilidad en todas las nubes, control sobre ellas y la capacidad de establecer una postura de seguridad común independientemente de dónde resida una aplicación o a dónde se mueva.

En consecuencia, las aplicaciones pueden estar en cualquier lugar: en el campus, en una sucursal, en el centro de datos o en la nube. Por eso es tan importante garantizar que su enfoque de confianza cero pueda ofrecer los mismos protocolos independientemente de dónde se encuentren físicamente los empleados y de cómo accedan a los recursos corporativos.

Implantar una arquitectura de confianza cero para reforzar la seguridad

A medida que los límites de la red siguen disolviéndose, debido en parte a las tecnologías de computación de borde y al cambio global del trabajo remoto, las organizaciones necesitan aprovechar todas las ventajas de seguridad que existen. Esto incluye saber cómo implantar una estrategia de seguridad de confianza cero. Dado que existen tantas amenazas, tanto externas como internas, conviene tratar a cada persona y cosa que intente acceder a la red y sus aplicaciones como una amenaza. Las medidas de seguridad de confianza cero no requieren una revisión completa de la red, pero darán como resultado una protección más sólida de la misma. Al hacer el esfuerzo de implantar el Acceso de Confianza Cero y su ramificación, el Acceso a la Red de Confianza Cero, aliviará a su equipo de seguridad informática de trabajo extra y aumentará significativamente su cociente de seguridad.