Cada vez más empresas permiten el teletrabajo. Las aplicaciones se están moviendo a la nube. El mix de dispositivos y aplicaciones de una empresa es cada vez más heterogéneo. Todos estos factores están rompiendo el perímetro de seguridad de la empresa, haciendo obsoletos los enfoques tradicionales de seguridad y allanando el camino para los enfoques de confianza cero o Zero Trust Os contábamos qué es la seguridad Zero Trust (que vendría a ser un enfoque de seguridad basado en «no te fíes ni de tu sombra»).
Qué es la seguridad Zero Trust
Los métodos de seguridad tradicionales clasifican ampliamente todo (usuarios, dispositivos y aplicaciones) dentro de la red corporativa como fiable. Estos modelos aprovechan tecnologías como las redes privadas virtuales (VPN) y el control de acceso a la red (NAC), para verificar las credenciales de los usuarios fuera de la red antes de concederles el acceso. Por lo tanto, la atención se centra en el fortalecimiento del perímetro de la red y la posterior concesión de pleno acceso a los datos de la empresa una vez que las credenciales se hayan validado satisfactoriamente. Esto se denomina a veces el enfoque «del foso y el castillo«; el castillo se refiere a la empresa que posee datos y aplicaciones valiosos, mientras que el foso se refiere a las capas de protección destinadas a mantener alejadas las posibles amenazas.
Sin embargo, en el complejo mundo informático actual, en el que los usuarios acceden a todo tipo de aplicaciones (SaaS, on-premise, nativo, virtual) desde todo tipo de dispositivos (móviles, de escritorio, IoT) y desde muchos lugares tanto dentro como fuera de la red corporativa, las organizaciones necesitan un modelo de seguridad que sea dinámico, flexible y simple. Tal vez el más notable de los modelos de seguridad emergentes es el de Zero Trust (o confianza cero).
«Cero confianza» es una frase acuñada por primera vez por John Kindervag de Forrester en 2010 para describir la necesidad de alejar a los líderes de la seguridad de un enfoque perimetral fallido y guiarlos hacia un modelo que se basa en la verificación continua de la confianza en cada dispositivo, usuario y aplicación. Lo hace pasando de un enfoque de «confiar pero verificar» a un enfoque de «nunca confiar/siempre verificar«. En la práctica, este modelo considera que todos los recursos son externos y verifica continuamente la confianza antes de conceder sólo el acceso requerido.
Todo esto tiene sentido en teoría, pero ¿cómo es la aplicación de Zero Trust en términos prácticos?
Los 5 pilares del Zero Trust
Existen cinco pilares diferenciados a la hora de implementar cuando estamos pasando a un modelo de seguridad Zero Trust: confianza en los dispositivos, confianza en los usuarios, confianza en la sesión, confianza en las aplicaciones y confianza en los datos.
Confianza en los dispositivos
Para la confianza cero, como administrador de TI, necesitas conocer tus dispositivos antes de poder confiar en ellos. Debes tener un inventario que especifique qué dispositivos son propiedad de tu empresa y por lo tanto están controlados por ella. Debes tener una solución que monitorice, gestione y controle estos dispositivos. Comprobando lel dispositivo, puedes determinar si se puede confiar en él y si es compatible con él, basándose en políticas de seguridad predeterminadas. Una solución de gestión unificada de puntos finales (UEM) permite a los equipos de TI gestionar, supervisar y controlar todos los dispositivos – móviles, de escritorio, robustos y de IoT – en todas las plataformas desde una única consola. Además, la integración de la tecnología de detección y respuesta de puntos finales (EDR) puede mejorar aún más la seguridad de los dispositivos al permitir la detección de posibles actividades maliciosas en los puntos finales.
Confianza del usuario
Una y otra vez se ha demostrado que la autenticación de usuario basada en contraseñas es ineficiente e ineficaz. Por consiguiente, como parte de la Zero Trust, las organizaciones deben utilizar métodos de autenticación de usuarios más seguros. Por ejemplo, un sólido motor de acceso condicional puede tomar decisiones utilizando datos dinámicos y contextuales. Entre los elementos tecnológicos que permiten un fuerte motor de acceso condicional figuran la autenticación sin contraseña (por ejemplo, la biométrica, los certificados), la autenticación multifactorial (MFA), las políticas de acceso condicional y la puntuación dinámica del riesgo.
Confianza de la sesión
Otro componente clave de la confianza cero es el concepto de acceso con menos privilegios. La idea es que un usuario o un sistema tenga acceso sólo a los recursos que se requieren específicamente para realizar la tarea en cuestión. Ni más ni menos. Al utilizar el principio de acceso a los recursos con menos privilegios, limitamos el acceso a los usuarios y concedemos los permisos mínimos necesarios para realizar su labor. Entre los elementos tecnológicos que contribuyen a la aplicación del acceso con menos privilegios figuran la microsegmentación, la codificación del transporte y la protección de las sesiones. El túnel por aplicación, como ejemplo concreto, permite a determinadas aplicaciones acceder a los recursos internos aplicación por aplicación. Esta restricción significa que se puede permitir que algunas aplicaciones accedan a los recursos internos mientras se deja a otras sin poder comunicarse con los sistemas de fondo.
Confianza de la aplicación
Permitir a los empleados acceder de forma segura y sin problemas a cualquier aplicación, incluidas las aplicaciones tradicionales de Windows, desde cualquier dispositivo es la clave para crear un espacio de trabajo digital y hacer cumplir la confianza cero. Con la modernización de la autenticación de usuarios, que permite el inicio de sesión único (SSO) a las aplicaciones, ganamos tanto seguridad como una experiencia de usuario mejorada. En el caso de las aplicaciones tradicionales que no están diseñadas para la confianza cero, añadimos protección en forma de aislamiento. Para aislar y modernizar las aplicaciones tradicionales, se puede utilizar un escritorio virtual o un entorno de aplicación para crear un puente entre la arquitectura tradicional y el futuro basado en la confianza cero.
Confianza de los datos
Los datos son de vital importancia en un negocio, y más desde el la implantación de la GDPR, la razón por la que necesitamos una fuerte seguridad. Debemos protegernos contra las brechas y fugas de datos, y asegurarnos de que son los datos correctos y no modificados con los que nuestros usuarios están interactuando. Tecnologías como la prevención de pérdida de datos (DLP) aseguran la exfiltración no deseada o la destrucción de datos sensibles. Aunque la clasificación y la integridad de los datos son, en su mayor parte, manejadas por la propia aplicación, debemos mejorar el nivel de confianza siempre que podamos al construir una arquitectura de Zero Trust.
Una vez que se establece la confianza en los cinco pilares, se pueden tomar decisiones informadas para conceder o denegar el acceso. Una vez que se ha tomado la decisión de conceder el acceso, es fundamental volver a verificar constantemente. Si el nivel de confianza cambia, las organizaciones deben poder actuar inmediatamente. Además, al establecer la confianza a través de los cinco pilares, ganamos visibilidad y podemos reunir análisis a través del entorno del espacio de trabajo digital. Y con la visibilidad y el análisis, podemos construir la automatización y la orquestación.
Tu empresa segura con keykumo
Aunque hay unos pocos bloques tecnológicos requeridos, llegar a la confianza cero es un viaje no lineal. El viaje no es arduo ni imposible, pero requiere que los equipos de tecnología de la información y la comunicación se encarguen de la arquitectura y la construcción, a fin de abordar todos los diferentes vectores de ataque en un espacio de trabajo digital. ¿Te ayudamos con la seguridad de tu empresa? ¡Contáctanos!