Acuñado por primera vez por Forrester en 2010, el término "confianza cero" se refiere a un nuevo enfoque de la seguridad que se basa en la verificación continua de la fiabilidad de cada dispositivo, usuario y aplicación en una empresa.
Antes de esta noción de confianza cero, la mayoría de los equipos de seguridad se basaban en un enfoque de "confiar pero verificar" que hacía hincapié en un sólido perímetro defensivo. Este modelo supone que todo lo que se encuentra dentro del perímetro de la red (incluidos los usuarios, recursos y aplicaciones de una organización) es de confianza, por lo que los equipos de seguridad concedían acceso y privilegios a esos usuarios y recursos por defecto. Por el contrario, todo lo que quedaba fuera del perímetro debía ser autorizado antes de obtener acceso.
Donde la seguridad tradicional dice "confía pero verifica", la confianza cero dice "nunca confíes, siempre verifica". La seguridad de confianza cero nunca "limpia" realmente nada. En su lugar, la confianza cero considera que todos los recursos son externos a la red de una organización, verificando continuamente usuarios, recursos, dispositivos y aplicaciones antes de conceder sólo el nivel mínimo de acceso requerido. Establecer un programa de seguridad de confianza cero implica la coordinación entre varios componentes de TI y requiere un enfoque integral.
¿Cómo ha cambiado con el tiempo el concepto de confianza cero?
La implantación de la confianza cero ha cambiado con el tiempo. A pesar del nombre pegadizo, las organizaciones no necesitan ser absolutistas de confianza cero - verificar siempre todo sería poco práctico, si no imposible.
En cambio, la confianza cero evolucionó desde un concepto binario en el que nada es intrínsecamente seguro y todo necesita ser verificado hacia algo mucho más matizado y dinámico. Hoy en día, la confianza cero incorpora conjuntos de datos más amplios, principios de riesgo y políticas dinámicas basadas en el riesgo para proporcionar una base firme para tomar decisiones de acceso y realizar una supervisión continua. La defensa de confianza cero se nutre de diversas fuentes, como inteligencia sobre amenazas, registros de red, datos de puntos finales y otra información para evaluar las solicitudes de acceso y el comportamiento de los usuarios. NIST ha publicado documentos que abogan por la confianza cero y amplían este planteamiento más amplio y dinámico.
Recientemente, el interés por la confianza cero se ha disparado, impulsado por las tendencias del mercado que se aceleraron a raíz de la pandemia mundial, entre ellas:
- Transformación digital acelerada (la adopción de tecnología y soluciones nuevas y emergentes para modernizar y acelerar las interacciones empresariales con clientes, empleados y socios).
- Migración a la nube / SaaS
- Trabajo a distancia
- Evaporación de las zonas de confianza protegidas por VPN (perímetro de la red) y constatación de que los cortafuegos son menos útiles para detectar y bloquear los ataques desde el interior y no pueden proteger a los sujetos fuera del perímetro de la empresa.
Anteriormente, en la mayoría de los entornos informáticos corporativos, la confianza se establecía principalmente en función de la ubicación. Los usuarios accedían a los recursos corporativos, desde un ordenador propiedad de la empresa, desde dentro de un campus corporativo. Estar físicamente presente en un campus corporativo implicaba que un usuario había cumplido los requisitos de investigación y credenciales para acceder a los recursos de TI corporativos, que normalmente residían en un centro de datos local. La "zona de confianza" estaba protegida por tecnologías permitidas (de protección) como cortafuegos, detección/protección de intrusiones y otros recursos.
Con el tiempo, los perímetros de TI del campus se ampliaron para incluir oficinas remotas y satélites, ampliando efectivamente la burbuja de la Zona de Confianza a través de conexiones seguras y privadas entre ubicaciones. A principios de la década de 2000, cuando empezaron a aparecer nuevos métodos de acceso como VPN y WiFi, las nuevas tecnologías añadieron autenticación y credenciales de acceso para preservar la integridad relativa del perímetro. Entre ellas autenticación de dos factores (2FA) y el estándar IEEE 802.1x para el Control de Acceso a la Red (NAC) basado en puertos.
Las evoluciones posteriores de la computación en nube, el "trae tu propio dispositivo" y la hipermovilidad lo cambiaron todo. Las organizaciones dependen ahora de recursos informáticos que van mucho más allá de los límites de una única zona de confianza. Además, ahora los empleados, socios y clientes necesitan acceder a los sistemas desde cualquier lugar, momento y dispositivo. Las vulnerabilidades y grietas en la seguridad resultantes marcaron el comienzo de una nueva era de piratería informática, en la que las brechas de seguridad se convirtieron en algo habitual. El perímetro de antaño está obsoleta.
La erosión de la seguridad perimetral allanó el camino a la confianza cero. Sin embargo, cabe destacar que el concepto no era totalmente nuevo, ni siquiera en 2010. Aunque el nombre "confianza cero" era novedoso y llamó la atención, la tarea de cómo establecer la fiabilidad en el mundo intrínsecamente poco fiable de Internet ha sido objeto de investigación académica durante más de cuatro décadas. De hecho, la fundación de RSA, hace casi cuatro décadas, tuvo su origen en un trabajo académico realizado a finales de los años 70 que establecía comunicaciones y transacciones seguras en un espacio no fiable.
A medida que los años se convertían en décadas y la transformación digital se apoderaba de las empresas y la sociedad, los enfoques de la confianza seguían evolucionando.
La confianza cero ha ido ganando popularidad en los últimos años. Sin embargo, las perturbaciones provocadas por la pandemia COVID-19 han acelerado el interés por la confianza cero. cómo pueden las organizaciones reforzar su resistencia tras una perturbación grave.
Como en la mayoría de los demás años, los responsables de seguridad y riesgos entraron en la nueva década con planes bastante sofisticados para madurar sus prácticas de gestión de riesgos digitales. Sin embargo, el estallido inicial de COVID-19 hizo que los equipos de seguridad se centraran en necesidades más tácticas, tales como facilitar el trabajo a distancia, La empresa se vio obligada a realizar cambios en las operaciones para mantener las funciones empresariales o aprovechar nuevas oportunidades, reevaluar los riesgos de terceros y de la cadena de suministro, acelerar la incorporación y mucho más. Los presupuestos se recortaron o congelaron, las largas listas de proyectos pendientes se redujeron al principio, pero luego se aceleraron rápidamente. Los equipos se enfrentan ahora a nuevas iniciativas digitales que no encajan necesariamente en los complejos regímenes de seguridad y riesgo existentes.
La confianza cero ofrece una base para un enfoque expeditivo y vetado para las organizaciones que luchan por seguir el ritmo de la transformación digital.
En agosto de 2020, el NIST publicó Publicación especial 800-207 del NIST: Arquitectura de confianza cero, que incluye los componentes lógicos de una arquitectura de confianza cero, posibles escenarios de diseño y amenazas. También presenta una hoja de ruta general para las organizaciones que deseen seguir los principios de confianza cero.
A continuación se describen los elementos de la arquitectura y se describen brevemente los productos y funcionalidades de la cartera de RSA que se alinean con la arquitectura de confianza cero.
A continuación se describen cada uno de los elementos (tal y como se definen en NIST SP 800-207) con referencias añadidas a los productos y servicios de RSA cuando proceda.
Motor de política: Este componente es responsable de la decisión final de conceder acceso a un recurso a un sujeto determinado. El motor de políticas utiliza la política de la empresa, así como la información procedente de fuentes externas (por ejemplo, sistemas CDM, servicios de inteligencia sobre amenazas descritos más adelante) como datos de entrada a un algoritmo de confianza para conceder, denegar o revocar el acceso al recurso. El motor de políticas está emparejado con el componente administrador de políticas. El motor de políticas toma y registra la decisión, y el administrador de políticas ejecuta la decisión.
RSA El acceso basado en roles y atributos, el acceso condicional y el análisis basado en riesgos son componentes fundamentales para el establecimiento tanto de un punto de decisión como de un motor de políticas.
Administrador de la política: Este componente se encarga de establecer y/o cerrar la vía de comunicación entre un sujeto y un recurso. Generaría cualquier token o credencial de autenticación y autentificación utilizado por un cliente para acceder a un recurso de la empresa. Está estrechamente vinculado al motor de políticas y depende de su decisión para permitir o denegar una sesión en última instancia. Algunas implementaciones pueden tratar el motor de políticas y el administrador de políticas como un único servicio. El administrador de políticas se comunica con el punto de aplicación de políticas al crear la ruta de comunicación. Esta comunicación se realiza a través del plano de control.
RSA ofrece una gama de métodos de autenticación y experiencias de usuario (es decir, elección de autenticación, BYOA) para administrar la autenticación y determinar el acceso cuando lo solicite el punto de aplicación de políticas.
Punto de aplicación de la política:
Este sistema se encarga de habilitar, supervisar y, en su caso, finalizar las conexiones entre un sujeto y un recurso de la empresa.
Se trata de un único componente lógico en la arquitectura de confianza cero, pero puede dividirse en dos componentes diferentes: el lado del cliente (por ejemplo, un agente en el portátil del usuario) y el lado del recurso (por ejemplo, un componente de pasarela delante del recurso que controla el acceso) o un único componente de portal que actúa como guardián de las vías de comunicación. Más allá del punto de aplicación de la política se encuentra la zona de confianza implícita que alberga el recurso de la empresa.
Los productos de RSA pueden tanto determinar las decisiones de políticas aplicadas por puntos de aplicación de políticas asociados (VPN, sitios web, aplicaciones, etc.) como aplicar directamente las políticas en los dispositivos de punto final.
La autenticación multifactor SecurID®, que actúa en calidad de decisión de políticas, funciona con una miríada de dispositivos asociados (ordenadores de sobremesa, servidores, máquinas virtuales, servidores web, portales, dispositivos de red, aplicaciones, etc.) para autenticar a los usuarios y determinar los privilegios de acceso.
Políticas de acceso a los datos:
Son los atributos, reglas y políticas sobre el acceso a los recursos de la empresa. Este conjunto de reglas puede ser codificado o generado dinámicamente por el motor de políticas. Estas políticas son el punto de partida para autorizar el acceso a un recurso, ya que proporcionan los privilegios de acceso básicos para las cuentas y aplicaciones de la empresa. Estas políticas deben basarse en los roles de misión definidos y en las necesidades de la organización.
Gobernanza y ciclo de vida de SecurID es un punto de partida ideal para autorizar el acceso a un recurso con un claro enfoque en la gobernanza, la visibilidad a través de datos estructurados y no estructurados, y el análisis y la inteligencia para garantizar que se puedan aplicar los principios de mínimo privilegio.
Sistema de gestión de identidades:
Se encarga de crear, almacenar y gestionar las cuentas de usuario y los registros de identidad de la empresa (por ejemplo, el servidor LDAP, protocolo ligero de acceso a directorios). Este sistema contiene la información necesaria del usuario (p. ej., nombre, dirección de correo electrónico, certificados) y otras características de la empresa como la función, los atributos de acceso y los activos asignados. Este sistema suele utilizar otros sistemas (como una PKI) para los artefactos asociados a las cuentas de usuario. Este sistema puede formar parte de una comunidad federada más amplia y puede incluir empleados ajenos a la empresa o enlaces a activos ajenos a la empresa para la colaboración.
RSA se integran con todos los sistemas de gestión de identidades destacados (es decir, Microsoft AD / Azure AD / AWS AD) para integrar a la perfección las identidades con las políticas, la administración y los métodos necesarios para que funcione una arquitectura de confianza cero.
Inteligencia sobre amenazas:
Esto proporciona información de fuentes internas o externas que ayudan al motor de políticas a tomar decisiones de acceso. Puede tratarse de múltiples servicios que toman datos de fuentes internas y/o externas y proporcionan información sobre ataques o vulnerabilidades recién descubiertos. También incluye listas negras, malware recién identificado y ataques notificados a otros activos a los que el motor de políticas querrá denegar el acceso desde los activos de la empresa.
RSA IAM aprovecha las señales internas y externas para aumentar la seguridad (señales positivas) e identificar las amenazas (señales negativas). Por ejemplo, las señales internas como el historial del usuario, los análisis de comportamiento, la dirección IP, la red y la ubicación pueden ser factores para determinar la autenticación basada en riesgos y las decisiones de acceso.
###
Pruebe la demostración
Pruebe la solución de autenticación multifactor (MFA) en la nube ID Plus: uno de los productos más seguros del mercado y la MFA más implantada del mundo. Descubra por qué: regístrese en nuestra prueba gratuita de 45 días.
