Tiempo de lectura:4 minutos

Últimamente, Zero Trust (confianza cero) es una de las expresiones que están más de moda en el campo de la ciberseguridad. Es absolutamente necesario saber lo que es y lo que no.

Zero Trust (confianza cero) es una iniciativa estratégica que ayuda a prevenir las brechas de datos eliminando el concepto de confianza de la arquitectura de red de una organización dada. Este modelo, que se basa en el principio de «No confiar nunca, verificar siempre», está concebido para proteger los entornos digitales actuales mediante la segmentación de la red, el bloqueo del movimiento lateral, la prevención de amenazas en la capa 7 y la simplificación del control pormenorizado del acceso de los usuarios.

John Kindervag ideó la filosofía Zero Trust mientras ocupaba el cargo de vicepresidente y analista jefe de Forrester Research, al darse cuenta de que los modelos de seguridad tradicionales basaban su funcionamiento en una premisa ya obsoleta para entonces: la de que todo lo que hay dentro de la red de una organización es digno de confianza. Según este modelo de confianza fallido, se asume que la identidad de todos esos usuarios es legítima y que todos ellos merecen confianza porque actúan de manera responsable y bienintencionada. Para el modelo Zero Trust, esa confianza es una vulnerabilidad. Una vez en la red, los usuarios —ya sean atacantes o empleados malintencionados— pueden moverse lateralmente a placer y exfiltrar todos los datos a los que tengan acceso. Recuerde que, a menudo, el objetivo de la infiltración de un ataque no es la ubicación de destino.

Según el informe sobre la gestión de identidades con privilegios «The Forrester Wave™: Privileged Identity Management», publicado durante el cuarto trimestre de 2018 y disponible en inglés, el modelo de confianza tradicional continúa permitiendo el uso ilegítimo de las credenciales.1 El modelo Zero Trust no consiste en hacer que un sistema sea de confianza, sino en eliminar la confianza directamente.

Una arquitectura Zero Trust

En un modelo Zero Trust, se identifica una «superficie de protección», que está formada por los datos, activos, aplicaciones y servicios (DAAS) más cruciales y valiosos de la red. Cada organización tiene sus propias superficies de protección. Como, además, solo se incluyen los componentes cruciales para las operaciones de la organización, la superficie que hay que proteger es varias órdenes de magnitud más pequeña que la superficie de ataque, y siempre se puede conocer.

Una vez que haya identificado su superficie de ataque, podrá identificar cómo se mueve el tráfico por la organización en relación con la superficie de protección. Entender quiénes son los usuarios, qué aplicaciones utilizan y cómo se conectan es la única manera de elegir y aplicar una política que garantice el acceso seguro a los datos. Conocer las interdependencias que se establecen entre los DAAS, la infraestructura, los servicios y los usuarios le permitirá definir controles lo más cerca posible de la superficie de protección y crear un microperímetro a su alrededor. Este microperímetro se desplaza con la superficie de protección, vaya adonde vaya. Puede crear un microperímetro implementando una puerta de enlace de segmentación (lo que suele conocerse como «cortafuegos de nueva generación») para que solo tengan acceso a la superficie de protección el tráfico conocido permitido o las aplicaciones legítimas.

La puerta de enlace de segmentación proporciona una visibilidad pormenorizada del tráfico y aplica capas adicionales de inspección y control de acceso con una política detallada de capa 7 basada en el método Kipling, que define la política Zero Trust basándose en el quién, el qué, el cuándo, el dónde, el por qué y el cómo. Esta política determina quién puede transitar por el microperímetro en un momento dado, vetando a los usuarios no autorizados el acceso a la superficie de protección y evitando la exfiltración de datos confidenciales. El modelo Zero Trust solo es posible en la capa 7.

Cuando haya terminado de diseñar su política Zero Trust alrededor de la superficie de protección, podrá continuar con las tareas de supervisión y mantenimiento en tiempo real. Ese será el momento de plantearse, por ejemplo, qué debería incluirse en la superficie de protección, y de buscar interdependencias que aún no se han tenido en cuenta y formas de mejorar la política.

Zero Trust: un modelo tan dinámico como su empresa

La estrategia Zero Trust no depende de la ubicación. Debe aplicarla a todo el entorno porque, ahora que los usuarios, dispositivos y cargas de trabajo de las aplicaciones están en todas partes, no tiene sentido introducirla en una sola ubicación. Los usuarios adecuados necesitan tener acceso a las aplicaciones y los datos adecuados.

Hoy en día, los usuarios también acceden a aplicaciones y cargas de trabajo cruciales desde cualquier lugar: su casa, cafeterías, oficinas y sucursales pequeñas. El modelo Zero Trust exige una visibilidad, una aplicación de las políticas y un control homogéneos, ya sea en el dispositivo directamente o en la nube. Un perímetro definido por software proporciona acceso seguro a los usuarios y previene la pérdida de datos, con independencia de la ubicación de los usuarios, de qué dispositivos se estén utilizando o de dónde estén alojadas las cargas de trabajo y los datos (centros de datos, nubes públicas o aplicaciones SaaS).

Las cargas de trabajo son muy dinámicas y no dejan de moverse por distintos centros de datos y nubes públicas, privadas e híbridas. Con Zero Trust, debe tener una visibilidad profunda de la actividad y las interdependencias de los usuarios, dispositivos, redes, aplicaciones y datos. Las puertas de enlace de segmentación supervisan el tráfico, detienen las amenazas y aplican un control de acceso pormenorizado en el tráfico vertical y horizontal que circula tanto por su centro de datos local como por sus entornos de varias nubes.

Implementación del modelo Zero Trust

La gente suele pensar que el modelo Zero Trust es costoso y complejo. Sin embargo, puede desarrollarse en arquitecturas existentes, por lo que le permite reaprovechar la tecnología que ya tiene. Más que haber productos Zero Trust, hay productos que funcionan bien en entornos Zero Trust y otros que no. Además, si se sigue una metodología sencilla en cinco pasos, se trata de un modelo fácil de implementar y mantener. Este proceso guiado le ayudará a identificar en qué punto se encuentra y por dónde seguir:

  1. Defina la superficie de protección.

  2. Identifique los flujos de transacciones.

  3. Diseñe una arquitectura Zero Trust.

  4. Cree la política Zero Trust.

  5. Supervise y mantenga la red.

Crear un entorno Zero Trust —consistente en una superficie de protección que contenga un solo elemento DAAS protegido por un microperímetro aplicado a la capa 7 al que se le haya implementado una puerta de enlace de segmentación regulada por una política basada en el método Kipling— es un proceso sencillo e iterativo que puede repetir con cada uno de los elementos de la superficie de protección o DAAS.

Para obtener más información sobre el modelo Zero Trust y cómo implementarlo en su organización, lea el informe técnico Simplifique su implementación Zero Trust (confianza cero) con una metodología en cinco pasos.

Cómo conseguir una arquitectura Zero Trust

Utilice el modelo Zero Trust para obtener visibilidad y contexto de todo el tráfico —de usuarios, dispositivos, ubicaciones y aplicaciones— y disfrutar de zonas que le permitan ver el tráfico interno. Para obtener visibilidad y contexto del tráfico, es necesario que este atraviese un cortafuegos de nueva generación con funciones de descifrado. El cortafuegos de nueva generación permite microsegmentar los perímetros y actúa como punto de aplicación de políticas. Aunque es importante proteger el perímetro externo, aún lo es más contar con la visibilidad necesaria para verificar el tráfico mientras atraviesa las distintas funciones de la red. Añadir la autenticación de dos factores y otros métodos de verificación aumentará su capacidad de comprobar la identidad de los usuarios correctamente. Adoptar un modelo Zero Trust le permitirá identificar los procesos, usuarios, datos, flujos de datos y riesgos asociados de su empresa, así como definir reglas de políticas que puedan actualizarse automáticamente con cada iteración, en función de los riesgos que existan.

Para obtener más información sobre el modelo Zero Trust e implementar redes de este tipo, lea el informe técnico «El modelo Zero Trust (confianza cero) en 5 pasos» o vea el seminario web «How to Enable Zero Trust Security for your Data Center» (disponible en inglés).

También puede consultar las siguientes páginas del sitio web de Palo Alto Networks:

1 «The Forrester Wave™: Privileged Identity Management» (disponible en inglés), cuarto trimestre de 2018. https://www.forrester.com/report/The+Forrester+Wave+Privileged+Identity+Management+Q4+2018/-/E-RES141474

Ficha técnica

Cortex XDR

Detecte y detenga los ataques ocultos mediante la unificación de los datos de redes, endpoints y nubes.

  • 18235

Informe técnico

Informe técnico de Cortex XDR

Los equipos de seguridad tienen que lidiar con una cantidad de amenazas abrumadora, desde el ransomware y el ciberespionaje hasta los ataques sin archivo y las brechas de datos, que pueden provocar daños graves. Sin embargo, para muchos analistas de seguridad, los mayores quebraderos de cabeza no se deben a los innumerables riesgos que acaparan los titulares en la prensa, sino a las frustrantes tareas repetitivas que realizan a diario para clasificar los incidentes y tratar de encontrar las alertas realmente importantes en listas infinitas.

  • 1509

Libro

Catálogo de productos de Palo Alto Networks

La seguridad y la sencillez deben ir de la mano. Los productos de Palo Alto Networks están diseñados para que sus equipos puedan proteger su organización de un modo sencillo y eficiente. Nuestro catálogo de productos evita que los ataques consigan sus objetivos y detiene los ataques en curso para proteger la empresa, la nube y el futuro.

  • 1645

Ficha técnica

TRAPS: Protección del endpoint y respuesta

La protección del endpoint y respuesta que ofrece Traps™ de Palo Alto Networks detiene las amenazas y coordina la aplicación de las políticas con la seguridad de la red y la nube para evitar que los ciberataques consigan sus objetivos. Traps se sirve de la observación de los comportamientos y las técnicas de ataque para bloquear el malware conocido y desconocido, los exploits y el ransomware. Además, permite que las organizaciones detecten ataques sofisticados y respondan a ellos mediante técnicas de aprendizaje automático e inteligencia artificial (IA) gracias a los datos recopilados en el endpoint, la red y la nube.

  • 24812

Otro

Resumen de la solución Cloud Identity Engine

Adopte una seguridad basada en la identidad con el proveedor de identidades (local, en la nube o híbrido) de su elección desde un único punto. Cloud Identity Engine es un servicio basado en la nube que permite realizar integraciones sencillas de tipo «apuntar y hacer clic» con proveedores de identidades y simplifica la autenticación, la autorización y el inicio de sesión único.

  • 237

Historial del cliente

Cómo han logrado ocho organizaciones transformar sus operaciones de seguridad con Cortex®

Los equipos del SOC necesitan inteligencia artificial (los modelos, recursos y datos) para automatizar la ciberseguridad y estar a la altura del volumen y el nivel de sofisticación de las amenazas presentes en las redes actuales.

  • 121

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas

Empresa

Avisos legales

Cuenta

Copyright © 2023 Palo Alto Networks. Todos los derechos reservados.