Zscaler Data Protection Recognized as a 2023 Product of the Year by CRN

Find out more
Zpedia / ¿Qué es Zero Trust?

¿Qué es Zero Trust?

Zero Trust es un marco para proteger a las organizaciones en la nube y en el mundo móvil que se basa en la premisa de que no se debe confiar en ningún usuario ni aplicación de manera predeterminada. Siguiendo un principio Zero Trust clave, el acceso con privilegios mínimos, la confianza se establece en función del contexto (por ejemplo, la identidad y la ubicación del usuario, la postura de seguridad del punto final, la aplicación o el servicio que se solicita) y se hacen comprobaciones de políticas en cada paso.

7 elementos de la arquitectura de zero trust
Ver

Explicación de la arquitectura Zero Trust

Zero Trust es una estrategia de ciberseguridad en la que se aplica una política de seguridad basada en el contexto establecido a través de controles de acceso con privilegios mínimos y autenticación estricta de los usuarios, sin asumir que son confiables. Una arquitectura Zero Trust bien afinada favorece una infraestructura de red más sencilla, una mejor experiencia de usuario y una mejor defensa contra las ciberamenazas.

Una arquitectura Zero Trust sigue la máxima "nunca confíe, siempre verifique". Este principio se usa desde que John Kindervag, que entonces trabajaba en Forrester Research, introdujo el término. Una arquitectura Zero Trust aplica políticas de acceso basadas en el contexto, en el que se incluyen el rol y la ubicación del usuario, su dispositivo y los datos que está solicitando, para bloquear el acceso inapropiado y el movimiento lateral en todo el entorno.

Establecer una arquitectura Zero Trust requiere visibilidad y control sobre los usuarios y el tráfico del entorno, incluido el que está cifrado; supervisión y verificación del tráfico entre las partes del entorno; y métodos potentes de autenticación multifactor (MFA) que vayan más allá de las contraseñas, como la biometría o los códigos de un solo uso.

Lo más importante es que, en una arquitectura Zero Trust, la ubicación de un recurso en la red ya no es el principal factor de su posición de seguridad. En lugar de tener una segmentación de red rígida, sus datos, flujos de trabajo, servicios, etc., están protegidos por microsegmentación definida por software. Esto permite mantenerlos seguros en cualquier lugar, sea en su centro de datos o en entornos híbridos y multinube distribuidos.

Cómo implementar zero trust

Implementar zero trust consiste en realizar una transformación segura. Hoy en día, más organizaciones saben por qué deberían buscar una arquitectura zero trust, pero muchas aún no están seguras de por dónde empezar y cada proveedor de seguridad parece tener su propia definición de lo que significa la seguridad zero trust. El verdadero modelo zero trust no sucede en un instante. Es un proceso que comienza protegiendo y dando capacidades a su fuerza de trabajo.

Obtenga más información en nuestro artículo específico: ¿Cómo se implementa zero trust?

Eliminar la ubicación en la red como posición de ventaja suprime la excesiva confianza implícita, sustituyéndola por una confianza explícita basada en la identidad.

Gartner®, Guía de mercado para el acceso a la red Zero Trust, junio de 2020

¿Cómo funciona la seguridad Zero Trust?

Como concepto básico, la confianza cero supone que todo componente o conexión es inherentemente hostil, a diferencia de los modelos anteriores basados en perímetros de red seguros. Esta falta de confianza se define tecnológicamente por:

  • La arquitecturasubyacente : Los modelos tradicionales utilizaban direcciones IP, puertos y protocolos aprobados para controles de acceso y VPN de acceso remoto para la validación de la confianza.
  • Un modelo en línea: Considera todo el tráfico como potencialmente hostil, incluso el que se encuentra dentro del perímetro de la red. El tráfico se bloquea hasta que sea validado por atributos específicos como una huella digital o una identidad.
  • Políticas adaptadas al contexto: Este modelo de seguridad más fuerte permanece con la carga de trabajo independientemente de dónde se comunique, ya sea una nube pública, un entorno híbrido, un contenedor o una arquitectura de red local.
  • Autenticación multifactor: La validación se basa en el usuario, la identidad, el dispositivo y la ubicación.
  • Seguridad independiente del entorno: La protección se otorga independientemente del entorno de comunicación, lo que promueve comunicaciones seguras entre redes sin necesidad de cambios de arquitectura o actualizaciones de políticas.
  • Conectividad orientada a los negocios: Un modelo de confianza cero utiliza políticas comerciales para conectar usuarios, dispositivos y aplicaciones de forma segura en cualquier red, lo que facilita una transformación digital segura.

Zero trust se está utilizando incorrectamente como término de marketing. Los proveedores están usando el término "zero trust" para comercializar todo en materia de seguridad, creando con ello una confusión comercial importante.

Gartner, 2019

Principios básicos del modelo Zero Trust

Zero Trust va más allá de la identidad del usuario, la segmentación y el acceso seguro. Es una estrategia para construir un ecosistema de ciberseguridad. Se basa en tres principios:

  1. Finalizar cada conexión: las tecnologías como los firewalls utilizan un enfoque "de paso" que inspecciona los archivos a medida que se distribuyen. Cuando se detecta un archivo malicioso, las alertas suelen llegar demasiado tarde. Una solución eficaz de Zero Trust termina cada conexión para permitir que una arquitectura de proxy en línea inspeccione todo el tráfico, incluido el cifrado, en tiempo real, antes de que llegue a su destino, para evitar el ransomware, el malware y otros ataques.
  2. Proteger los datos mediante políticas granulares basadas en el contexto: las políticas Zero Trust verifican las solicitudes de acceso y los derechos basándose en el contexto que incluye la identidad del usuario, el dispositivo, la ubicación, el tipo de contenido y la aplicación que se solicita. Las políticas son adaptativas, por lo que los privilegios de acceso de los usuarios se reevalúan continuamente según cambia el contexto.
  3. Reducir el riesgo eliminando la superficie de ataque: con un enfoque Zero Trust, los usuarios se conectan directamente a las aplicaciones y recursos que necesitan, nunca a las redes (véase ZTNA). Las conexiones directas de usuario a aplicación y de aplicación a aplicación eliminan el riesgo de movimiento lateral y evitan que los dispositivos comprometidos infecten otros recursos. Además, los usuarios y las aplicaciones son invisibles para Internet, por lo que no se pueden descubrir ni atacar. 

Ventajas de elegir una arquitectura Zero Trust

Los entornos de nube actuales pueden ser objetivos atractivos para los ciberdelincuentes que quieren robar, destruir o secuestrar los datos importantes y confidenciales de la empresa, como información de identificación personal (PII), propiedad intelectual (PI) e información financiera. .

A pesar de que ninguna estrategia de seguridad es perfecta, Zero Trust se encuentra entre las estrategias más efectivas de la actualidad porque:

  • Reduce la superficie de ataque y el riesgo de una violación de datos
  • Proporciona control de acceso granular sobre entornos de nube y contenedores
  • Mitiga el impacto y la gravedad de los ataques con éxito, lo cual reduce el tiempo y el costo de limpieza
  • Apoya las iniciativas de cumplimiento regulatorio

Un modelo de seguridad de zero trust es el medio más eficaz del mundo para garantizar la seguridad en la nube. Con el enorme grado de expansión de la nube, los terminales y los datos en los entornos de TI actuales, es esencial no confiar en ninguna conexión sin una verificación adecuada. Además, el aumento de la visibilidad facilitará la vida de los departamentos de TI y de seguridad, desde el nivel de administrador hasta el CISO.

Áreas de defensa de zero trust

Cuando se utiliza en todo su ecosistema de TI, zero trust puede ofrecer protección granular para sus:

  • Aplicaciones
  • Datos
  • Puntos finales
  • Identidades
  • Infraestructura
  • Red

Casos de uso de Zero Trust

1. Reduzca el riesgo empresarial y organizativo

Las soluciones Zero Trust impiden que todas las aplicaciones y servicios se comuniquen hasta que se verifiquen según sus atributos de identidad, propiedades inmutables que cumplen con los principios de confianza predefinidos, como los requisitos de autenticación y autorización.

Por lo tanto, Zero Trust reduce el riesgo porque revela lo que hay en la red y cómo se comunican esos activos. A medida que se establecen los criterios básicos, una estrategia Zero Trust reduce aún más el riesgo al eliminar el software y los servicios sobreaprovisionados, así como al comprobar continuamente las credenciales de cada activo que se comunica.

2. Obtenga control de acceso a entornos de nube y contenedores

La gestión del acceso y la pérdida de visibilidad son los mayores temores de los profesionales de la seguridad a la hora de pasar a la nube. A pesar de las mejoras en la seguridad del proveedor de servicios en la nube (CSP), la seguridad de la carga de trabajo sigue siendo una responsabilidad que comparten su organización y el CSP. Dicho esto, solo hay determinados aspectos que usted puede controlar dentro de la nube del CSP.

Con una arquitectura de seguridad Zero Trust, las políticas de seguridad se aplican en función de la identidad de las cargas de trabajo que se comunican y se vinculan directamente a las propias cargas de trabajo. Esto mantiene la seguridad lo más cerca posible de los activos que necesitan protección, sin que se vean afectados por los elementos de red como direcciones IP, puertos y protocolos. La protección se mueve con la carga de trabajo y es constante aún con los cambios del entorno.

3. Reduzca el riesgo de violación de datos

Siguiendo el principio de privilegios mínimos, se asume que cada entidad es hostil. Se inspecciona cada solicitud, se autentican los usuarios y dispositivos y se evalúan los permisos antes de concederles la "confianza". Esta "confianza" se vuelve a evaluar continuamente según cambia el contexto, como la ubicación del usuario o los datos a los que se accede.

Incluso si un dispositivo afectado u otra vulnerabilidad permite la entrada a una red o instancia de nube, un atacante que no sea de confianza no puede acceder ni robar datos. Además, el modelo de zero trust crea un “único segmento seguro” sin posibilidad de que haya movimiento lateral, por lo que los atacantes no tienen adónde ir.

4. Apoye las iniciativas de cumplimiento

Zero Trust protege todas las conexiones de los usuarios y las cargas de trabajo de Internet, de modo que no pueden ser expuestas ni explotadas. Esta invisibilidad hace que sea más fácil demostrar el cumplimiento de las normas y regulaciones de privacidad (por ejemplo, PCI DSS, NIST 800-207) y da como resultado menos problemas durante las auditorías.

La implementación de la microsegmentación de Zero Trust permite crear perímetros alrededor de ciertos tipos de datos confidenciales (por ejemplo, datos de tarjetas de pago, copias de seguridad de datos) utilizando controles minuciosos para separar los datos regulados de los no regulados. Durante las auditorías, o en el caso de una infracción de datos, la microsegmentación proporciona una visibilidad y un control superiores en comparación con el acceso con exceso de privilegios de muchas arquitecturas de red planas.

un diagrama que muestra la arquitectura Zero Trust

Cómo dar los primeros pasos con Zero Trust

Antes de diseñar una arquitectura Zero Trust, sus equipos de seguridad y de TI deben centrarse en responder dos preguntas:

  1. ¿Qué es lo que Ud está intentando proteger?
  2. ¿De quién intenta protegerlo?

Esta estrategia determinará la manera en que diseña su arquitectura. A partir de ahí, el enfoque más eficaz es superponer las tecnologías y los procesos a la estrategia, y no al revés.

En su marco Zero Trust Network Access (ZTNA) Gartner® recomienda utilizar Zero Trust como servicio. También se puede adoptar un enfoque por fases y comenzar con sus activos más críticos o con un caso de prueba de activos no críticos, antes de implementar Zero Trust de manera más generalizada. Sea cual sea su punto de partida, una solución Zero Trust óptima le ofrecerá un rendimiento inmediato en reducción de riesgos y control de seguridad.

¿Por qué elegir Zscaler como solución Zero Trust?

Zscaler es el único proveedor de ciberseguridad que ofrece una plataforma Zero Trust creada en la nube y diseñada para organizaciones en la nube. Además, Zscaler constantemente es nominada como líder en los informes y clasificaciones de analistas más prestigiosos del sector, y podemos demostrarlo con el respaldo de nuestros innovadores socios y clientes.

Todo esto es posible gracias a nuestra plataforma: Zscaler Zero Trust Exchange.

un diagrama que muestra la arquitectura Zero Trust

Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™ es una plataforma nativa de la nube construida sobre Zero Trust. Se basa en el principio de privilegios mínimos, estableciendo la confianza a través del contexto, como la ubicación de un usuario, la postura de seguridad de su dispositivo, el contenido que se intercambia y la aplicación que se solicita. Una vez que se establece la confianza, sus empleados obtienen conexiones rápidas y confiables, dondequiera que estén, sin tener que estar ubicados directamente en su red.

Zero Trust Exchange opera en 150 centros de datos en todo el mundo, lo que garantiza que el servicio esté cerca de sus usuarios, junto con los proveedores de nube y las aplicaciones a las que acceden. Asimismo, garantiza el camino más corto entre sus usuarios y sus destinos, proporcionando una seguridad integral y una experiencia de usuario sorprendente.

Obtenga más información sobre Zero Trust Exchange.

Otros recursos sugeridos

FAQs

¿Por qué utilizar zero trust?

Debería adoptar zero trust porque los modelos de seguridad heredados que suponen que todo lo que hay dentro de la red es inherentemente confiable no funcionan en la era de la nube y la movilidad. Zero trust requiere la verificación de todas las entidades independientemente de su dispositivo o ubicación antes de que se conceda el acceso. Un enfoque proactivo como este minimiza el impacto potencial de las infracciones al limitar el movimiento lateral dentro de la red, reducir el riesgo de amenazas internas y mejorar la postura general de seguridad.

¿Por qué es importante la seguridad de zero trust?

La seguridad de zero trust es muy importante porque proporciona una solución a las deficiencias de la seguridad tradicional basada en perímetros, en nuestro mundo digital hiperconectado. Partiendo de la premisa de que las amenazas pueden provenir de cualquier lugar (tanto desde fuera como desde dentro de una red), zero trust impone estrictos controles de acceso con los mínimos privilegios, así como una verificación continua para ayudar a prevenir infracciones, reducir el radio de explosión de los ataques con éxito y mantener una sólida postura de seguridad para afrontar amenazas sofisticadas y en evolución.

What Are the Goals of Zero Trust?

The goals of zero trust are to enhance security, protect sensitive data, and mitigate cyber risk. To accomplish this, zero trust architectures verify and validate every entity accessing the network, implement strict access controls based on user identity and context, continuously monitor network activity for potential security risks, and encrypt sensitive data to prevent unauthorized access.

¿Zero trust reemplaza a la VPN?

El acceso a la red de zero trust (ZTNA), una extensión del principio de confianza cer, es la alternativa ideal a las VPN. En la actualidad, el acceso a aplicaciones privadas está cambiando de un modelo centrado en la red a un modelo centrado en el usuario y las aplicaciones, lo que ha aumentado la popularidad de zero trust y la adopción de servicios ZTNA. ZTNA permite el acceso seguro a aplicaciones privadas al establecer conectividad desde el usuario a la aplicación sobre una base dinámica que conoce la identidad y el contexto, proporcionando una menor complejidad, una seguridad más sólida y una experiencia de usuario más fluida que las VPN.

Zero trust y SASE

Zero trust y el perímetro de servicio de acceso seguro (SASE) se complementan entre sí: zero trust mantiene estrictos controles de acceso y verificación continua, mientras que SASE unifica la seguridad de la red y las redes de área amplia en un servicio basado en la nube para brindar administración de identidades, acceso basado en roles, cifrado, prevención de amenazas y una experiencia de usuario uniforme. Efectivamente, zero trust proporciona el marco de acceso, mientras que SASE ofrece la infraestructura y los servicios para respaldarlo.

Confianza cero o VPN

Con una VPN tradicional, los usuarios se autentican una vez y luego se incorporan la red, lo que les otorga acceso a todos y cada uno de los recursos. Para empeorar las cosas, las VPN requieren que el tráfico de los usuarios sea redirigido a través de un centro de datos corporativo, lo que ralentiza el rendimiento de Internet. La confianza cero, por otro lado, conecta a los usuarios directamente con aplicaciones privadas, mejorando tanto la seguridad como la experiencia.