Ir al contenido

El término ‘Zero Trust’, acuñado por primera vez por Forrester en 2010, hace referencia a un nuevo enfoque de la seguridad que se basa en la verificación continua de la fiabilidad de cada dispositivo, usuario y aplicación de una empresa.

Antes de que surgiera el concepto de “Zero Trust”, la mayoría de los equipos de seguridad se basaban en un enfoque de «confiar, pero verificar», que hacía hincapié en un perímetro defensivo sólido. Este modelo parte de la base de que todo lo que se encuentra dentro del perímetro de la red (incluidos los usuarios, los recursos y las aplicaciones de una organización) es fiable, por lo que los equipos de seguridad concedían acceso y privilegios a dichos usuarios y recursos de forma predeterminada. Por el contrario, todo lo que se encontraba fuera del perímetro debía ser autorizado antes de poder acceder.

Mientras que la seguridad tradicional se rige por el lema “confía, pero verifica”, el modelo Zero Trust se basa en “nunca confíes, siempre verifica”. La seguridad Zero Trust nunca ‘autoriza’ nada de forma definitiva. En su lugar, el modelo Zero Trust considera que todos los recursos son externos a la red de una organización, verificando continuamente a los usuarios, los recursos, los dispositivos y las aplicaciones antes de conceder únicamente el nivel mínimo de acceso necesario. Establecer un programa de seguridad Zero Trust implica la coordinación entre varios componentes de TI y requiere un enfoque integral.

¿Cómo ha evolucionado el concepto de «Zero Trust» a lo largo del tiempo?

Las implementaciones de «Zero Trust» han ido cambiando con el tiempo. A pesar de su nombre llamativo, las organizaciones no tienen por qué ser Los defensores acérrimos del modelo «Zero Trust» - verificar siempre todo sería poco práctico, si no imposible.

En cambio, el modelo «Zero Trust» ha evolucionado desde un concepto binario —en el que nada es seguro por naturaleza y todo debe verificarse— hacia algo mucho más matizado y dinámico. Hoy en día, el modelo «Zero Trust» incorpora conjuntos de datos más amplios, principios de gestión de riesgos y políticas dinámicas basadas en el riesgo para proporcionar una base sólida sobre la que tomar decisiones de acceso y llevar a cabo una supervisión continua. La defensa basada en el modelo «Zero Trust» recurre a diversas fuentes, como la inteligencia sobre amenazas, los registros de red, los datos de los terminales y otra información, para evaluar las solicitudes de acceso y el comportamiento de los usuarios. NIST ha publicado documentos en los que defiende el modelo «Zero Trust» y profundiza en este enfoque más amplio y dinámico.

Recientemente, el interés por el modelo «Zero Trust» se ha disparado, impulsado por unas tendencias del mercado que se han acelerado como consecuencia de la pandemia mundial, entre las que se incluyen:

  • Transformación digital acelerada (la adopción de tecnología y soluciones nuevas y emergentes para modernizar y acelerar las interacciones empresariales con clientes, empleados y socios).
  • Migración a la nube / SaaS
  • Trabajo a distancia
  • Evaporación de las zonas de confianza protegidas por VPN (perímetro de la red) y constatación de que los cortafuegos son menos útiles para detectar y bloquear los ataques desde el interior y no pueden proteger a los sujetos fuera del perímetro de la empresa.
¿En qué se diferencia Zero Trust de los enfoques anteriores de la seguridad informática?

Anteriormente, en la mayoría de los entornos informáticos corporativos, la confianza se establecía principalmente en función de la ubicación. Los usuarios accedían a los recursos corporativos, desde un ordenador propiedad de la empresa, desde dentro de un campus corporativo. Estar físicamente presente en un campus corporativo implicaba que un usuario había cumplido los requisitos de investigación y credenciales para acceder a los recursos de TI corporativos, que normalmente residían en un centro de datos local. La "zona de confianza" estaba protegida por tecnologías permitidas (de protección) como cortafuegos, detección/protección de intrusiones y otros recursos.

Con el tiempo, los perímetros de TI del campus se ampliaron para incluir oficinas remotas y satélites, ampliando efectivamente la burbuja de la Zona de Confianza a través de conexiones seguras y privadas entre ubicaciones. A principios de la década de 2000, cuando empezaron a aparecer nuevos métodos de acceso como VPN y WiFi, las nuevas tecnologías añadieron autenticación y credenciales de acceso para preservar la integridad relativa del perímetro. Entre ellas autenticación de dos factores (2FA) y el estándar IEEE 802.1x para el Control de Acceso a la Red (NAC) basado en puertos.

Las evoluciones posteriores de la computación en nube, el "trae tu propio dispositivo" y la hipermovilidad lo cambiaron todo. Las organizaciones dependen ahora de recursos informáticos que van mucho más allá de los límites de una única zona de confianza. Además, ahora los empleados, socios y clientes necesitan acceder a los sistemas desde cualquier lugar, momento y dispositivo. Las vulnerabilidades y grietas en la seguridad resultantes marcaron el comienzo de una nueva era de piratería informática, en la que las brechas de seguridad se convirtieron en algo habitual. El perímetro de antaño está obsoleta.

La erosión de la seguridad perimetral allanó el camino para el modelo “Zero Trust”. Sin embargo, cabe destacar que el concepto no era del todo nuevo, ni siquiera en 2010. Aunque el nombre «Zero Trust» era novedoso y llamó la atención, la cuestión de cómo establecer la fiabilidad en el mundo de Internet, intrínsecamente poco fiable, ha sido objeto de investigación académica durante más de cuatro décadas. De hecho, la fundación de RSA, hace casi cuatro décadas, tuvo su origen en los trabajos académicos realizados a finales de la década de 1970, que establecieron comunicaciones y transacciones seguras en un espacio no fiable.

A medida que los años se convertían en décadas y la transformación digital se apoderaba de las empresas y la sociedad, los enfoques de la confianza seguían evolucionando.

¿Por qué los equipos de seguridad deben plantearse ahora la confianza cero?

El modelo «Zero Trust» ha ido ganando popularidad de forma constante en los últimos años. Sin embargo, las perturbaciones derivadas de la pandemia de COVID-19 han acelerado el interés por cómo pueden las organizaciones reforzar su resistencia tras una perturbación grave.

Como en la mayoría de los demás años, los responsables de seguridad y riesgos entraron en la nueva década con planes bastante sofisticados para madurar sus prácticas de gestión de riesgos digitales. Sin embargo, el estallido inicial de COVID-19 hizo que los equipos de seguridad se centraran en necesidades más tácticas, tales como facilitar el trabajo a distancia, La empresa se vio obligada a realizar cambios en las operaciones para mantener las funciones empresariales o aprovechar nuevas oportunidades, reevaluar los riesgos de terceros y de la cadena de suministro, acelerar la incorporación y mucho más. Los presupuestos se recortaron o congelaron, las largas listas de proyectos pendientes se redujeron al principio, pero luego se aceleraron rápidamente. Los equipos se enfrentan ahora a nuevas iniciativas digitales que no encajan necesariamente en los complejos regímenes de seguridad y riesgo existentes.

El modelo «Zero Trust» ofrece una base para un enfoque ágil y contrastado a las organizaciones que tienen dificultades para seguir el ritmo de la transformación digital.

¿Qué tecnologías e infraestructuras deben implantar las organizaciones para respaldar la confianza cero?

En agosto de 2020, el NIST publicó Publicación especial 800-207 del NIST: Arquitectura de confianza cero, que incluye los componentes lógicos de una arquitectura «Zero Trust», posibles escenarios de diseño y amenazas. Además, presenta una hoja de ruta general para las organizaciones que deseen aplicar los principios de «Zero Trust».

A continuación se describen los elementos de la arquitectura y se resumen brevemente los productos y las funcionalidades de la cartera de RSA que se ajustan a la arquitectura Zero Trust.

A continuación se describen cada uno de los elementos (tal y como se definen en NIST SP 800-207) con referencias añadidas a los productos y servicios de RSA cuando proceda.

Motor de política: Este componente es responsable de la decisión final de conceder acceso a un recurso a un sujeto determinado. El motor de políticas utiliza la política de la empresa, así como la información procedente de fuentes externas (por ejemplo, sistemas CDM, servicios de inteligencia sobre amenazas descritos más adelante) como datos de entrada a un algoritmo de confianza para conceder, denegar o revocar el acceso al recurso. El motor de políticas está emparejado con el componente administrador de políticas. El motor de políticas toma y registra la decisión, y el administrador de políticas ejecuta la decisión.

RSA El acceso basado en roles y atributos, el acceso condicional y el análisis basado en riesgos son componentes fundamentales para el establecimiento tanto de un punto de decisión como de un motor de políticas.

Administrador de la política: Este componente se encarga de establecer y/o cerrar la vía de comunicación entre un sujeto y un recurso. Generaría cualquier token o credencial de autenticación y autentificación utilizado por un cliente para acceder a un recurso de la empresa. Está estrechamente vinculado al motor de políticas y depende de su decisión para permitir o denegar una sesión en última instancia. Algunas implementaciones pueden tratar el motor de políticas y el administrador de políticas como un único servicio. El administrador de políticas se comunica con el punto de aplicación de políticas al crear la ruta de comunicación. Esta comunicación se realiza a través del plano de control.

RSA ofrece una gama de métodos de autenticación y experiencias de usuario (es decir, elección de autenticación, BYOA) para administrar la autenticación y determinar el acceso cuando lo solicite el punto de aplicación de políticas.

Punto de aplicación de la política:

Este sistema se encarga de habilitar, supervisar y, en su caso, finalizar las conexiones entre un sujeto y un recurso de la empresa.

Se trata de un único componente lógico dentro de la arquitectura Zero Trust, pero puede dividirse en dos componentes distintos: el lado del cliente (por ejemplo, el agente instalado en el ordenador portátil del usuario) y el lado del recurso (por ejemplo, el componente de puerta de enlace situado delante del recurso que controla el acceso), o bien un único componente de portal que actúa como guardián de las rutas de comunicación. Más allá del punto de aplicación de políticas se encuentra la zona de confianza implícita que aloja el recurso empresarial.

Los productos de RSA pueden tanto determinar las decisiones de políticas aplicadas por puntos de aplicación de políticas asociados (VPN, sitios web, aplicaciones, etc.) como aplicar directamente las políticas en los dispositivos de punto final.

La autenticación multifactor SecurID®, que actúa en calidad de decisión de políticas, funciona con una miríada de dispositivos asociados (ordenadores de sobremesa, servidores, máquinas virtuales, servidores web, portales, dispositivos de red, aplicaciones, etc.) para autenticar a los usuarios y determinar los privilegios de acceso.

Políticas de acceso a los datos:

Son los atributos, reglas y políticas sobre el acceso a los recursos de la empresa. Este conjunto de reglas puede ser codificado o generado dinámicamente por el motor de políticas. Estas políticas son el punto de partida para autorizar el acceso a un recurso, ya que proporcionan los privilegios de acceso básicos para las cuentas y aplicaciones de la empresa. Estas políticas deben basarse en los roles de misión definidos y en las necesidades de la organización.

Gobernanza y ciclo de vida de SecurID es un punto de partida ideal para autorizar el acceso a un recurso con un claro enfoque en la gobernanza, la visibilidad a través de datos estructurados y no estructurados, y el análisis y la inteligencia para garantizar que se puedan aplicar los principios de mínimo privilegio.

Sistema de gestión de identidades:

Se encarga de crear, almacenar y gestionar las cuentas de usuario y los registros de identidad de la empresa (por ejemplo, el servidor LDAP, protocolo ligero de acceso a directorios). Este sistema contiene la información necesaria del usuario (p. ej., nombre, dirección de correo electrónico, certificados) y otras características de la empresa como la función, los atributos de acceso y los activos asignados. Este sistema suele utilizar otros sistemas (como una PKI) para los artefactos asociados a las cuentas de usuario. Este sistema puede formar parte de una comunidad federada más amplia y puede incluir empleados ajenos a la empresa o enlaces a activos ajenos a la empresa para la colaboración.

RSA Las soluciones de identidad se integran con todos los principales sistemas de gestión de identidades (por ejemplo, Microsoft AD, Azure AD y AWS AD) para integrar de forma fluida las identidades con las políticas, la administración y los métodos necesarios para que funcione una arquitectura «Zero Trust».

Inteligencia sobre amenazas:

Esto proporciona información de fuentes internas o externas que ayudan al motor de políticas a tomar decisiones de acceso. Puede tratarse de múltiples servicios que toman datos de fuentes internas y/o externas y proporcionan información sobre ataques o vulnerabilidades recién descubiertos. También incluye listas negras, malware recién identificado y ataques notificados a otros activos a los que el motor de políticas querrá denegar el acceso desde los activos de la empresa.

RSA IAM aprovecha las señales internas y externas para aumentar la seguridad (señales positivas) e identificar las amenazas (señales negativas). Por ejemplo, las señales internas como el historial del usuario, los análisis de comportamiento, la dirección IP, la red y la ubicación pueden ser factores para determinar la autenticación basada en riesgos y las decisiones de acceso.

###

Pruebe la demostración

Pruebe la solución de autenticación multifactor (MFA) en la nube ID Plus: uno de los productos más seguros del mercado y la MFA más implantada del mundo. Descubra por qué: regístrese en nuestra prueba gratuita de 45 días.

Prueba gratuita

Solicitar una demostración

Demostración