¿Qué es el Networking Zero Trust?

El enfoque esencial Zero Trust (ZT) sobre el networking es que ningún usuario, dispositivo o activo conectado a la red en cualquier capacidad es inherentemente seguro. Ninguna conexión será de confianza hasta que se demuestre lo contrario. El networking de Zero Trust (ZT) toma en cuenta para la ciberseguridad la forma en que funcionan las empresas actuales, incorporando dispositivos BYOD, trabajo remoto, elementos en la nube y soluciones as-a-service con monitoreo y autorización continuos de cada intento de acceso.

Seguridad perimetral

El enfoque tradicional de ciberseguridad construye una “cerca” de seguridad alrededor de las redes para dar acceso a activos esenciales de negocio para que los actores maliciosos no puedan entrar e introducir malware y ransomware. A Esto a menudo se le llama seguridad perimetral. Existen fallas en este enfoque, sin embargo. Sin importar qué tan seguro sea el gateway, una vez dentro, el hacker tiene acceso a todo detrás del firewall. Además, el perímetro de la red se ha difuminado en años recientes, acomodando también aplicaciones SaaS y de trabajo remoto además del perímetro tradicional empresarial.

Las estrategias como la autenticación multifactor (MFA) han fortalecido el gateway, y eso es muy importante, pero no han podido resolver el peligro en redes diversas. Puede costar más trabajo entrar, pero una vez que lo logran, los hackers pueden moverse lateralmente en la red y robar información o introducir ransomware.

Albert Einstein dijo que “los problemas no pueden resolverse con la misma mentalidad que los creó.” ZT es una mentalidad diferente que enfoca a la seguridad de forma diferente.

La seguridad perimetral asume que un usuario o una conexión es confiable hasta que los sistemas de seguridad alertan de una brecha. ZT en su forma más simple asume que los atacantes siempre están cerca, y ya sea que se encuentren dentro del perímetro de la empresa o no, ningún intento de conexión es seguro hasta que es autenticado.

Migración hacia Zero Trust

ZT es un enfoque de la ciberseguridad, no se trata de un evento o de un conjunto de productos o servicios. La migración hacia la seguridad de la red ZT es un proceso que toma tiempo. Conforme hace la conversión, probablemente continúe usando algunos de los productos y servicios que usa actualmente, pero los usará de una forma distinta. La mayoría de las redes serán híbridas por un tiempo mientras el centro de operaciones de seguridad (SOC) implementa los proyectos de modernización. La única red “pura” ZT es la que se crea desde cero usando principios ZT.  

Debido a esto, tener un plan para migrar a ZT es un punto importante de inicio. El plan inicia con la identificación de todos los activos, sujetos, procesos de negocio, flujos de tráfico y dependencias dentro de la red empresarial. Tener proyectos incrementales le ayuda a verificar su progreso y su éxito.

El plan debe incluir todos los activos empresariales:

  • Dispositivos
  • Componentes de infraestructura
  • Aplicaciones
  • Componentes virtuales
  • Componentes de la nube

También debe incluir en todos los sujetos:

  • Usuarios finales
  • Aplicaciones
  • Entidades no-humanas que soliciten información

Elementos de Networking Zero Trust

Adoptar el enfoque Zero Trust requiere de un número de consideraciones conforme usted migra su red. Las siguientes secciones discuten algunos pasos que puede tomar para acercar su infraestructura a un framework ZT.

Implemente Microsegmentación

Uno de los principios básicos del networking ZT es la microsegmentación. Esta es la práctica de aislar redes y protegerlas de forma individual para limitar el acceso. En la seguridad perimetral, una brecha le da acceso a los hackers a la red completa. La microsegmentación reduce la superficie de ataque y limita el daño de una brecha individual.

Aísle la tecnología vulnerable

A menudo, los dispositivos de las tecnologías de la información y comunicaciones (ICT) como teléfonos celulares, computadoras personales, email o televisión tiene sistemas operativos fijos que no pueden parcharse contra vulnerabilidades. Los dispositivos de las tecnologías de operaciones (OT) como robots industriales o equipo médico presentan un reto similar. Y aún tomando en cuenta esto se están integrando con más frecuencia a las redes empresariales. Dispositivos como estos deben aislarse usando políticas estrictas para reducir la posibilidad de una brecha.

Proteja las subredes

Las subredes son una parte discreta de una red más grande. Pueden mejorar el desempeño, resiliencia y la seguridad de la red. También necesitan formar parte de su estrategia ZT para detener al malware y otras herramientas maliciosas. Asegúrese de que las alertas y los logs de las subredes reporten a su consola consolidada para su investigación y resolución.

Acceso remoto seguro

Antes de ZT, las técnicas para establecer la seguridad para las conexiones remotas eran consideradas seguras hasta que se demostrara lo contrario. Pero las fallas de seguridad en las técnicas más comunes se volvieron cada vez más aparentes. Las redes se definieron cada vez más en función del software y la movilidad incrementó, especialmente durante COVID-19. Esto resultó en endpoints no administrados, SaaSs no autorizado y SD-WANs no protegidos.

  • Virtual private network (VPN) – las conexiones VPN se detenían en el borde y aún así otorgaban acceso al usuario a la red completa. Creaban la ilusión de ser confiables. La seguridad VPN tampoco conectaba bien con redes definidas por el software con un mayor uso.
  • Cloud Access Security Broker – el problema principal con CASB era la naturaleza fija de sus precauciones de seguridad. Aunque las redes definidas por software eran cada vez más fluidas y los empleados cada vez más móviles, las precauciones de seguridad no tenían el mismo grado de flexibilidad.
  • Secure web gateway (SWG) – los SWGs presentaron problemas para los empleados que trabajaban desde donde sea.

 

Las soluciones para las conexiones remotas continúan evolucionando, pero hay opciones que ahora están disponibles que ofrecen soluciones de ciberseguridad consistentes con hábitos de trabajo móvil y el enfoque ZT.

  • Secure access service edge (SASE) – SASE cae bajo la sombrilla de ZT y delinea principios de ZT para secciones particulares de la empresa. La empresa de analistas de Gartner usa este término. Los componentes de una solución SASE pueden variar pero típicamente consisten de tecnologías CASB, SWG, ZTNA y SD-WAN para ofrecer acceso a aplicaciones tanto privadas (dentro de un datacenter o IaaS corporativo) o públicas de SaaS.
  • Zero trust edge (ZTE) – este es otro nombre para SASE. La empresa de analistas de Forrester usa este término.
  • Zero Trust network access (ZTNA) – ZTNA cae dentro de la definición de SASE o ZTE, y es una solución ZT basada en la nube que solamente le da acceso a los usuarios a las aplicaciones a las que están específicamente autorizados. Consistente con el enfoque ZT, este limita el daño en caso de una brecha. Como las VPN, ZTNA encripta los datos por seguridad, pero ofrece una experiencia de usuario mucho mejor y es mucho más flexible.

Investigaciones Relacionadas

Artículos Relacionados