El modelo de seguridad Zero Trust: Qué es y cómo adoptarlo en su organización

¿Qué es Zero Trust?

Zero Trust no es un producto o servicio, y ciertamente no es solo un término de moda. Más bien, es un enfoque particular sobre la ciberseguridad. Cambia la premisa de "verificar, luego confiar", por "nunca confiar y verificar siempre".

Básicamente, Zero Trust promueve proteger los datos, limitando el acceso a ellos sólo a aquellos usuarios cuya identidad ha sido exhaustivamente verificada y que se mantiene constante durante el periodo en que se accede a los datos. Al adoptar este modelo de seguridad, una organización no confiará automáticamente en nadie ni en nada, ya sea dentro o fuera del perímetro de su red. En su lugar, Zero Trust requiere una verificación detallada de la identidad para cada persona, dispositivo, cuenta, etc. que intente conectarse a las aplicaciones o sistemas de la organización antes de otorgar acceso.

Una pregunta que surge en este punto es: ¿Qué no es esto lo que se supone que deben realizar las herramientas de seguridad actuales? ¿Es Zero Trust simplemente la misma seguridad con algunos controles adicionales?

El modelo Zero Trust ciertamente incluye muchas tecnologías que ya son ampliamente utilizadas por las organizaciones para proteger sus datos. Sin embargo, Zero Trust representa un cambio de paradigma sobre cómo pensamos la seguridad (influenciados por el concepto tradicional de seguridad de perímetro). En lugar de defender un único perímetro empresarial, el enfoque traslada este perímetro a todas las redes, sistemas, usuarios y dispositivos dentro y fuera de la organización. Este movimiento está habilitado por identidades sólidas, autenticación multifactorial, dispositivos de usuario confiables, segmentación de red, controles de acceso y atribución de usuarios para delimitar el acceso a los datos y sistemas confidenciales.

En resumen, Zero Trust es una nueva forma de pensar en la seguridad para ayudar a las organizaciones a proteger sus datos, sus clientes y su propia ventaja competitiva ante un panorama de amenazas que cambia rápidamente.

¿Por qué ahora es el momento de Zero Trust en la ciberseguridad?

Según un informe reciente de Cybersecurity Ventures, se presume que el ciberdelito costará al mundo más de $ 6 billones de dólares anuales para 2021.

No es de extrañar que la alta dirección esté sujeta a la presión de proteger los sistemas y datos empresariales. Tanto los inversionistas como los clientes y consumidores insisten en contar con una mejor seguridad y privacidad de los datos. Los problemas se complican aún más cuando algunos datos y aplicaciones se encuentran en las premisas de la organización y otros en la nube, y todos, desde los empleados hasta los contratistas y socios, acceden a esas aplicaciones utilizando una variedad de dispositivos desde múltiples ubicaciones. Al mismo tiempo, las regulaciones gubernamentales y de industria están aumentando los requisitos para proteger los datos importantes. Zero Trust puede ayudar a demostrar el cumplimiento con estas regulaciones.

Tecnologías que habilitan Zero Trust

Afortunadamente, la tecnología que respalda a Zero Trust avanza rápidamente, lo que hace que el modelo sea más práctico de implementar al día de hoy. No existe un enfoque único para implementar un marco de seguridad Zero Trust, ni tampoco una tecnología única. Por el contrario, las piezas tecnológicas encajan para garantizar que solo los usuarios y dispositivos autenticados de forma segura tengan acceso a las aplicaciones y datos confidenciales.

Un ejemplo de lo anterior es el acceso que se otorga según el principio de “privilegio mínimo”, que proporciona a los usuarios solo los datos que necesitan para hacer su trabajo, cuando lo están haciendo. Esto incluye la implementación de privilegios que caducan y credenciales de un solo uso que se revocan automáticamente después de que no se requiere acceso. Además, el tráfico se inspecciona y registra de forma continua y el acceso se limita a los perímetros para ayudar a prevenir el movimiento lateral no autorizado a través de sistemas y redes.

Un marco de seguridad Zero Trust utiliza una serie de tecnologías de seguridad para aumentar la granularidad del acceso a datos y sistemas confidenciales. Los ejemplos incluyen la gestión de identidad y acceso (IAM); control de acceso basado en roles (RBAC); control de acceso a la red (NAC), autenticación multifactor (MFA), cifrado, aplicación y orquestación de políticas, registro, análisis y calificación de riesgos y permisos del sistema de archivos.

De suma importancia son los estándares y protocolos de tecnología que están disponibles para respaldar el modelo Zero Trust. La “Cloud Security Alliance” (CSA) ha desarrollado un marco de seguridad llamado perímetro definido por software (SDP) que es una de las arquitecturas de referencia para implementar Zero Trust. El Grupo de Trabajo de Ingeniería de Internet (IETF) hizo su contribución a los modelos de seguridad de Zero Trust al desarrollar el Protocolo de Identidad de Host (HIP), que representa una nueva capa de red de seguridad dentro del modelo OSI. Numerosos proveedores están aprovechando estos avances técnicos para llevar las soluciones Zero Trust al mercado.

Con base en estas tecnologías, estándares y protocolos, las organizaciones pueden utilizar tres enfoques diferentes para adoptar la seguridad Zero Trust:

1. Microsegmentación de red, con redes divididas en pequeños nodos granulares hasta un solo host o aplicación. Los protocolos de seguridad y los modelos de entrega de servicios se diseñan para cada segmento único.

2. SDP, basado en una estrategia de necesidad de conocimiento (need-to-know) en la que se verifica la postura y la identidad del dispositivo antes de otorgar acceso a la infraestructura de la aplicación.

3. Proxies Zero Trust que funcionan como retransmisores entre el cliente y el servidor, lo que ayuda a evitar que un atacante invada una red privada.

Cuál de estos enfoques es mejor para una situación determinada dependerá de qué aplicaciones se estén protegiendo, qué infraestructura existe actualmente, si la implementación es nueva o abarca entornos heredados y otros factores.

Adoptando el modelo Zero Trust: Pasos para implementar un ambiente Zero Trust

La construcción de un ambiente Zero Trust no significa necesariamente una transformación tecnológica completa. Al utilizar un enfoque por fases, las organizaciones pueden proceder de manera controlada e iterativa, lo que ayuda a garantizar los mejores resultados con un mínimo de interrupciones para los usuarios y las operaciones.

 A continuación describimos cinco fases propuestas para implementar un ambiente Zero Trust en su organización:

1. Defina los elementos a proteger (superficie de protección)

Con Zero Trust, no se centra en su superficie de ataque, sino solo en su superficie de protección: los datos, las aplicaciones, los activos y los servicios críticos (DAAS) más valiosos para su empresa. Los ejemplos de una superficie protegida incluyen información de tarjetas de crédito, bases de datos utilizadas por aplicaciones de negocio, información de identificación personal (datos personales), propiedad intelectual (PI), aplicaciones (software estándar o personalizado); activos como controles SCADA, terminales de punto de venta, equipos médicos, sistemas de control y dispositivos IoT; así como servicios como DNS, DHCP y Active Directory.

Una vez que se define la superficie de protección, es posible mover sus controles lo más cerca posible de ella, lo que le permite crear un micro-perímetro (o micro-perímetros entre los componentes a proteger) con definición de políticas que son delimitadas, precisas y entendibles.

2. Realice el mapeo de los flujos de tráfico entre aplicaciones

La forma en que el tráfico se mueve a través de una red determina cómo debe protegerse. Por lo tanto, necesita obtener información contextual sobre las interdependencias de su DAAS. Documentar cómo interactúan los recursos específicos le permite hacer cumplir los controles de manera adecuada y proporciona un contexto valioso para ayudar a garantizar una ciberseguridad óptima con una interrupción mínima para los usuarios y las operaciones comerciales.

3. Diseñe su red Zero Trust

Las redes Zero Trust están completamente personalizadas, no se derivan de un diseño único y universal. En cambio, la arquitectura se construye alrededor de la superficie protegida. Una vez que haya definido la superficie de protección y los flujos mapeados en relación con las necesidades de su negocio, puede mapear la arquitectura Zero Trust, empleando para ello alguna de las tecnologías disponibles en el mercado. Una de las más opciones de tecnología más utilizadas para desplegar Zero Trust es SDP, que permite el establecimiento de micro-perímetros entre usuarios y recursos protegidos (o entre recursos cuyas conexiones que deben ser segmentadas entre sí) y que permite establecer capas adicionales de inspección y control de acceso que limitan a cualquier conexión no autorizada que intente acceder a dichos recursos.

4. Cree sus políticas de seguridad Zero Trust

Una vez que se diseñe la red, deberá crear políticas que determinen el acceso. Necesita saber quiénes son sus usuarios, a qué aplicaciones necesitan acceder, por qué necesitan acceso, cómo tienden a conectarse a esas aplicaciones y qué controles se pueden utilizar para asegurar ese acceso.

Con este nivel de aplicación de políticas granular, puede estar seguro de que solo se permite el tráfico permitido conocido o la comunicación de aplicaciones legítimas.

5. Monitorear y mantener su red Zero Trust

Este último paso incluye revisar todos los registros, internos y externos, y centrarse en los aspectos operativos de la red Zero Trust. Inspeccionar y registrar todo el tráfico proporcionará información valiosa para mejorar y optimizar la configuración de la red con el tiempo.

Consideraciones adicionales y mejores prácticas de seguridad Zero Trust

Si está considerando implementar Zero Trust en su organización, a continuación se describen algunas consideraciones y prácticas sugeridas que pueden ayudarle a alcanzar los resultados esperados en su implementación:

• Asegúrese de definir una estrategia de adopción antes de elegir una arquitectura o tecnología. Zero Trust se centra en los datos, por lo que es importante identificar dónde se encuentran esos datos, quién debe tener acceso a ellos y bajo qué condiciones (contexto) de seguridad. Forrester sugiere dividir los datos en tres categorías: Público, Interno y Confidencial, con “fragmentos” de datos que tienen sus propios micro-perímetros.
• Empiece poco a poco y gane experiencia. La escala y el alcance para implementar Zero Trust para toda una empresa pueden ser abrumadores. Como ejemplo, Google tardó siete años en implementar su propio proyecto conocido como BeyondCorp.
• Considere la experiencia del usuario. Un proceso de implementación de Zero Trust no tiene por qué ser disruptivo para los procesos de trabajo normales de los empleados, a pesar de que ellos (y sus dispositivos) están siendo examinados para validar y otorgar el acceso. Varios de esos procesos pueden estar en segundo plano donde los usuarios no los experimentan en lo absoluto.
• Implemente medidas sólidas para la autenticación de usuarios y dispositivos. La base misma de Zero Trust es que no se puede confiar en nadie ni en ningún dispositivo hasta que se verifique minuciosamente que tiene derecho a acceder a un recurso. Por lo tanto, un proceso de validación basado en identidades sólidas, autenticación fuerte y ajustes dinámicos de los permisos de acceso (ante cambios en la postura de seguridad o contexto de conexión del usuario) es un componente clave para la implementación de Zero Trust.
• Considere al modelo Zero Trust en sus proyectos de transformación digital. Cuando rediseña los procesos de trabajo, también puede transformar su modelo de seguridad.

A pesar de que el modelo Zero Trust fue concebido hace más de 10 años, no es sino hasta esta época en que se cuenta con las condiciones adecuadas para su adopción. Las tecnologías han madurado y se encuentran disponibles, los protocolos y los estándares se han establecido y las amenazas de ciberseguridad actuales requieren nuevos enfoques para reducir sus impactos. Es un momento adecuado para concebir la necesidad de un nuevo enfoque de seguridad como lo es Zero Trust.

El equipo de Appgate México