Zero Trust (ZT) es un objetivo y enfoque arquitectónico para la seguridad de la red que asume que cada transacción, entidad e identidad no son de confianza hasta que se establece la confianza y se mantiene a lo largo del tiempo. Las estrategias de Zero Trust contrastan con la visión heredada de que una red es segura a menos que los sistemas de seguridad identifiquen una filtración.
A lo largo de la última década las empresas se han vuelto cada vez más digitales. Ahora incluyen arquitectura de nube, incorporan más trabajo a distancia y han añadido soluciones como servicio entre otros cambios transformadores. Los equipos de seguridad han escalado la seguridad de la red correspondientemente, a menudo fortaleciendo las medidas de seguridad segmentando la red en zonas más pequeñas.
Desafortunadamente, esta estrategia creó más oportunidades para los atacantes. Cuando los atacantes acceden a la información de inicio de sesión del usuario, pueden moverse lateralmente por la red, propagando el ransomware y añadiendo privilegios a medida que avanzan.
La autenticación multifactor (MFA) mejoró la fortaleza de las credenciales, pero añadió solo una capa extra de autenticación. Una vez dentro, los hackers siguen teniendo acceso hasta que cierran sesión o el sistema les cierra la sesión.
Las nuevas formas de trabajo, incluidas la de «Traiga su propio dispositivo (Bring Your Own Device, BYOD), el trabajo remoto y la arquitectura de la nube añadieron un nuevo conjunto de vulnerabilidades. Pero incluso las nuevas y más potentes protecciones de seguridad con mayor visibilidad terminan en los límites de la red empresarial y más allá de ellos, no ven nada.
El enfoque de Zero Trust con la ciberseguridad da un giro al viejo paradigma. La ciberseguridad ya no se define por los segmentos de red o en una demarcación de red empresarial. La confianza no se concede con base en si una empresa o individuo posee una conexión o activo. Tampoco se concede con base en la ubicación de la red o física: red de área local o internet.
En su lugar, la confianza cero se centra en los recursos, usuarios y activos individualmente, sin importar quién los posee ni dónde están localizados. La autenticación se realiza de forma individual para un recurso empresarial antes de que se le conceda acceso a un usuario.
El objetivo final es no confiar en ningún elemento de la red hasta que este se haya verificado.
El resumen de los estándares y las certificaciones de confianza cero es que no existe ninguno. El National Institute of Standards and Technology (NIST), fundado en 1901 y ahora parte del Departamento de comercio de los EE. UU. proporciona tecnología, medición e información de estándares para los EE. UU. Su objetivo es aumentar la competitividad de la tecnología.
El NIST crea estándares de comunicaciones, tecnología y prácticas de ciberseguridad. El grupo aún no ha creado estándares o certificaciones para la confianza cero, pero creó una Publicación especial (Special Publication, SP) analizando los objetivos de la arquitectura de confianza cero.
El resumen del documento describe la confianza cero de este modo: «Confianza cero es un término acuñado a un conjunto de paradigmas de ciberseguridad en evolución que traslada las defensas desde el modelo estático de perímetros basados en la red para centrarse en usuarios, activos y recursos». El documento continúa describiendo el enfoque de confianza cero en profundidad.
Hay cierta confusión en el mundo de la ciberseguridad acerca de lo que es ZT. Algunos proveedores se aprovechan de esta confusión para vender productos etiquetados como «Productos de ZT». Para aquellas personas desinformadas, esto puede conducirles al malentendido de que la ZT se basa en productos.
La confianza cero no se trata acerca de productos específicos, aunque hay productos nuevos y heredados que pueden ser bloques fundamentales para la arquitectura ZT. La confianza cero es un enfoque revolucionario para la ciberseguridad. Se apoya firmemente en la realidad de cómo las organizaciones y los trabajadores se conectan y trabajan en la actualidad.
Si una empresa está creando su infraestructura desde cero, es posible y quizás más sencillo, identificar los flujos de trabajo esenciales y los componentes, y crear una estructura puramente ZT. A medida que la empresa y la infraestructura cambia, el crecimiento puede continuar adhiriéndose a los principios de ZT a largo plazo.
En la práctica, la mayoría de las implementaciones de ZT serán un proceso. Las organizaciones permanecerán en cierto equilibrio de ZT y la seguridad basada en perímetro durante un tiempo, implementando gradualmente las iniciativas de modernización.
Es probable que la arquitectura ZT completamente establecida lleve varios años y que abarque un número discreto de proyectos antes de lograr el objetivo final ZT. Sin embargo, nunca hay una «llegada» a ZT. Se trata de continuar implementando y aplicando la estrategia ZT o a lo largo del tiempo, teniendo en cuenta los futuros cambios infraestructurales y empresariales.
El desarrollo de un plan de acción con antelación puede fragmentar el proceso en pequeñas piezas y lograr el éxito con el tiempo. Comenzar con un exhaustivo catálogo de sujetos, procesos empresariales, flujos de tráfico y mapas de dependencia le prepara para abordar los sujetos, activos y procesos empresariales dirigidos.
Si una empresa está creando su infraestructura desde cero, es posible y quizás más sencillo, identificar los flujos de trabajo esenciales y los componentes, y crear una estructura puramente ZT. A medida que la empresa y la infraestructura cambia, el crecimiento puede continuar adhiriéndose a los principios de ZT a largo plazo.
En la práctica, la mayoría de las implementaciones de ZT serán un proceso. Las organizaciones permanecerán en cierto equilibrio de ZT y la seguridad basada en perímetro durante un tiempo, implementando gradualmente las iniciativas de modernización.
Es probable que la arquitectura ZT completamente establecida lleve varios años y que abarque un número discreto de proyectos antes de lograr el objetivo final ZT. Sin embargo, nunca hay una «llegada» a ZT. Se trata de continuar implementando y aplicando la estrategia ZT o a lo largo del tiempo, teniendo en cuenta los futuros cambios infraestructurales y empresariales.
El desarrollo de un plan de acción con antelación puede fragmentar el proceso en pequeñas piezas y lograr el éxito con el tiempo. Comenzar con un exhaustivo catálogo de sujetos, procesos empresariales, flujos de tráfico y mapas de dependencia le prepara para abordar los sujetos, activos y procesos empresariales dirigidos.
La arquitectura de confianza cero es un objetivo y un enfoque que lleva tiempo y atención implementar. No se trata de una instalación de una sola vez que puede implementar y pasar a la siguiente. Es una filosofía de ciberseguridad que se basa en cuatro principios fundamentales. Un principio específico puede confiar en una técnica de seguridad en particular como la MFA para la identidad, pero la técnica utilizada a lo largo del tiempo puede cambiar.
Hay tres funciones básicas que subyacen en el enfoque de confianza cero.
La confianza cero se debe implementar progresivamente y se debe aplicar de forma continua. No es un reemplazo completo ni una implementación de una sola vez que tiene lugar para toda la vida de la red. Es un proceso gradual de varios proyectos y varios años que implica diversos aspectos de la red y de que necesitará una constante evaluación a medida que cambian las amenazas, la tecnología y los hábitos de trabajo.
La forma en la que su organización implemente el enfoque de confianza cero depende de su operación. Sus activos más valiosos son un buen punto de partida.
El viaje de la confianza cero incluye cuatro componentes:
Comience con base sólida de arquitectura de confianza cero en consonancia con las mejores prácticas de la industria.