El Zero Trust es un paradigma de seguridad que combina la verificación estricta de la identidad y el permiso explícito para cada persona o entidad que intente acceder o utilizar los recursos de la red, independientemente de si la persona o entidad está <<dentro>> del perímetro dela red de una empresa o accede a esa red de forma remota.
Presentado por primera vez por la empresa de análisis Forrester Research en 2010, el modelo Zero Trust no se basa en una sola tecnología. En su lugar, Zero Trust es un marco que puede incluir una serie de tecnologías y buenas prácticas diferentes, todas ellas centradas en saber de forma fiable quién intenta acceder o utilizar los datos y si tiene permiso explícito para hacerlo. La filosofía en la que se basa suele resumirse en <<nunca confíes, siempre verifica>>, mientras que la mayoría de los modelos tradicionales pueden describirse como <<confía pero verifica>>.
Ventajas de un modelo Zero Trust
El principal beneficio de utilizar un enfoque de confianza cero es la protección desde todos los lados, especialmente desde dentro. Los modelos de seguridad tradicionales, como la defensa en profundidad, se han centrado históricamente en la protección del perímetro de la red. Estos enfoques están fallando en las organizaciones, donde muchas de las violaciones actuales se producen desde dentro, ya sea explícitamente por los empleados o por amenazas que se han filtrado en la red a través del correo electrónico, los navegadores, las conexiones VPN (para el teletrabajo) y otros medios. La filtración de datos puede ser fácil para alguien que ya tiene acceso a la red. Para combatir esto, Zero Trust quita el acceso a cualquiera y a todos hasta que la red pueda estar segura de quién eres. Luego, supervisa continuamente el uso que haces de los datos y puede revocar los permisos para copiar esos datos en otro lugar.
Los principios de una red Zero Trust
Zero Trust, como su nombre indica, trabaja sobre el principio de que no se debe confiar en nada y siempre se debe verificar. Dentro de esta idea hay varias tecnologías y mejores prácticas que conforman un enfoque de Confianza Cero. Estos son algunos de los principios principales:
Acceso a los mínimos privilegios, lo que significa que solo se permite el acceso a la información que necesita cada persona. Esto limita la capacidad de malware para saltar de un sistema a otro y reduce las posibilidades de exfiltración de datos internos.
La microsegmentación divide una red en segmentos separados con diferentes credenciales de acceso. Esto aumenta los medios de protección y evita que los malos actores campen a sus anchas por la red, incluso si se vulnera un segmento.
Los controles de usos de datos limitan lo que las personas pueden hacer con los datos una vez que se les da acceso. Cada vez más, esto se hace de forma dinámica, como la renovación del permiso para copiar datos ya descargados en un disco USB, en el correo electrónico o en aplicaciones en la nube.
La supervisión continua examina cómo interactúan los usuarios y las entidades con los datos e incluso con otros sistemas. Esto ayuda a verificar que las personas son quienes dicen ser y permite que los controles de seguridad adaptables al riesgo adapten automáticamente la aplicación en función de las acciones de las personas.
Cómo implementar el Modelo Zero Trust
Puede hacer múltiples enfoques del modelo, pro hay algunas consideraciones que casi todo el mundo tendrá que incluir para implementar una arquitectura eficiente de Confianza Cero.
Considere las tecnologías que necesitará añadir a su pila actual, como por ejemplo:
Cortafuegos de nueva generación: necesitará una herramienta que proporcione protección de red, descifre el tráfico y pueda ayudar a la microsegmentación.
Acceso a la red de confianza cero: los nuevos servicios en la nube de confianza cero pueden dar a los trabajadores remotos acceso a las aplicaciones privadas internas sin las complejidades, los cuellos de botella y los riesgos de las VPN.
Monitoreo continuo – para verificar siempre, usted necesita vigilar lo que las personas y entidades están haciendo con sus sistemas y datos.
Comprenda las necesidades de acceso: decida quién necesita acceso a qué en su organización. Recuerde que debe conceder el mínimo privilegio que alguien necesita y nada más.
Considere su cultura: a nivel macro y a nivel de seguridad granular la cultura de una empresa dictará la eficacia de cualquier modelo de seguridad. En el caso de la Confianza Cero, en el que se entiende que las amenazas vienen de fuera y de dentro, una fuerza de trabajo solidaria y educada es la clave.
Este artículo ha sido publicado en el número de junio de 2022 de la revista del Consejo General de Colegios de Gestores Administrativos de España.