Zpedia 

/ ¿Qué es una arquitectura zero trust?

¿Qué es una arquitectura zero trust?

La arquitectura de confianza cero es una arquitectura de seguridad diseñada para reducir la superficie de ataque de una red, evitar el movimiento lateral de las amenazas y reducir el riesgo de una filtración de datos, utilizando el modelo de seguridad de confianza cero. Ese modelo deja a un lado el "perímetro de red" tradicional (dentro del cual todos los dispositivos y usuarios son de confianza y tienen amplios permisos) y favorece los controles de acceso con privilegios mínimos, la microsegmentación granular y la autenticación multifactor (MFA).

7 elementos de la arquitectura de Zero Trust
Confianza ceroSeguridad en la nubeMonitoreo de la Experiencia Digital
  1. ZTA y ZTNA
  2. Por qué es necesaria
  3. Principios básicos
  4. Cómo funciona
  5. Ventajas
  6. Arquitectura zero trust de Zscaler
  7. Recursos sugeridos
  8. Preguntas frecuentes
  9. Temas relacionados

La arquitectura zero trust y el acceso a la red zero trust: ¿cuál es la diferencia?

Antes de examinar la arquitectura  Zero Trust con más detalle, distingamos entre estos dos términos que están relacionados entre sí:

  • Una arquitectura Zero Trust (ZTA) es un diseño que se basa en los principios Zero Trust, como la gestión hermética del acceso, la autenticación estricta de dispositivos y usuarios y una fuerte segmentación. Es distinta de una arquitectura de tipo "castle and moat", que confía por defecto en todo lo que hay dentro. El
  • acceso a la red Zero Trust (ZTNA) es un caso de uso de Zero Trust que ofrece a los usuarios un acceso seguro a las aplicaciones y los datos cuando los usuarios, las aplicaciones o los datos pueden no estar dentro de un perímetro de seguridad tradicional, lo que se ha convertido en algo
    • habitual en la era de la nube y el trabajo híbrido.

Juntando ambas cosas, una arquitectura Zero Trust proporciona la base para que las organizaciones ofrezcan ZTNA y hagan que sus sistemas, servicios, API, datos y procesos sean accesibles desde cualquier lugar, en cualquier momento y desde cualquier dispositivo.

Comprender la necesidad de una arquitectura zero trust

Durante décadas, las organizaciones construyeron y reconfiguraron redes de tipo "hub-and-spoke" complejas y de área amplia. En esos entornos, los usuarios y las sucursales se conectan al centro de datos mediante conexiones privadas. Para poder tener acceso a las aplicaciones que necesitan, los usuarios deben estar en la red. Las redes "hub-and-spoke" están protegidas con pilas de dispositivos como VPN y firewalls de "próxima generación ", utilizando una arquitectura conocida como seguridad de red "castle-and-moat".

Este modelo era útil para las organizaciones cuando sus aplicaciones residían en sus centros de datos, pero ahora, en medio de la creciente popularidad de los servicios en la nube y las preocupaciones sobre la seguridad de los datos, ya no lo es.

Hoy en día, la transformación digital se está acelerando a medida que las organizaciones adoptan la nube, la movilidad, la inteligencia artificial, el Internet de las cosas (IoT) y la tecnología operativa (OT) para volverse más ágiles y competitivas. Los usuarios trabajan desde cualquier sitio y los datos de las organizaciones ya no residen únicamente en el centro de datos. Para poder colaborar y mantener la productividad, los usuarios quieren acceso directo a las aplicaciones desde cualquier lugar y en cualquier momento.

El retorno del tráfico al centro de datos para llegar a las aplicaciones en la nube de manera segura ya no tiene sentido. Por ese motivo, las organizaciones se están alejando del modelo de red "hub-and-spoke" y favorecen un modelo que ofrece conectividad directa a la nube: una arquitectura Zero Trust.

Este video ofrece un resumen de la transformación digital segura.

¿Cuáles son los principios básicos de la confianza cero?

Zero Trust es más que la suma de la identidad del usuario, la segmentación y el acceso seguro. Es una estrategia de seguridad sobre la que construir un ecosistema de seguridad completo. Su esencia se basa en tres principios: Finalizar

  1. cada conexión:
    2. A diferencia de las técnicas de inspección de paso comunes en las tecnologías heredadas (por ejemplo, los firewalls), una arquitectura Zero Trust eficaz finaliza cada conexión para permitir que una arquitectura proxy en línea inspeccione todo el tráfico, incluido el cifrado, en tiempo real, antes de que llegue a su destino.
  • Proteger los datos mediante políticas granulares basadas en el contexto: Las políticas Zero Trust verifican las solicitudes de acceso y los derechos basándose en el contexto, incluida la identidad del usuario, el dispositivo, la ubicación, el tipo de contenido y la aplicación que se solicita. Las políticas son adaptables,
  • por lo que la validación y los privilegios de acceso de los usuarios se reevalúan continuamente a medida que cambia el contexto. Reducir el riesgo eliminando la superficie de ataque:
    • Con un enfoque Zero Trust los usuarios se conectan directamente a las aplicaciones y los recursos, y nunca a las redes (véase ZTNA). Las conexiones directas eliminan el riesgo de movimiento lateral y evitan que los dispositivos comprometidos infecten otros recursos. Además, los usuarios y las aplicaciones son invisibles a Internet, por lo que no pueden ser descubiertos ni atacados. 

    ¿Cuáles son los cinco pilares de la arquitectura Zero Trust?

    Los cinco “pilares” de Zero Trust fueron establecidos por primera vez por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) para guiar las capacidades clave de Zero Trust que las agencias gubernamentales (y otras organizaciones) deberían implementar en sus estrategias Zero Trust.

    Los cinco pilares son:

    • Identidad: Avanzar hacia un enfoque de acceso con privilegios mínimos para la gestión de identidades.
    • Dispositivos: Garantizar la integridad de los dispositivos utilizados para acceder a servicios y datos.
    • Redes: Alinear la segmentación y las protecciones de la red de acuerdo con las necesidades de los flujos de trabajo de sus aplicaciones en lugar de la confianza implícita inherente a la segmentación de red tradicional.
    • Aplicaciones y cargas de trabajo: Integración más estrecha de las protecciones con los flujos de trabajo de las aplicaciones, brindando acceso a las aplicaciones según la identidad, el cumplimiento del dispositivo y otros atributos.
    • Datos: Pasar a un enfoque de ciberseguridad centrado en los datos, comenzando con la identificación, categorización e inventario de los activos de datos.

    Cada capacidad puede progresar a su propio ritmo y puede estar más avanzada que otras y, en algún momento, será necesaria la coordinación entre pilares (haciendo énfasis en la interoperabilidad y las dependencias) para garantizar la compatibilidad. Esto permite una evolución gradual hacia Zero Trust, distribuyendo costos y esfuerzos a lo largo del tiempo.

    ¿Cómo funciona la arquitectura de confianza cero?

    Basándose en el ideal simple de nunca confiar, siempre verificar, Zero Trust asume que todo lo que hay en la red es hostil o está comprometido, y el acceso solo se concede después de que la identidad del usuario, la postura del dispositivo y el contexto empresarial hayan sido verificados y se hayan realizado las comprobaciones de las políticas. Todo el tráfico se debe registrar e inspeccionar, lo que requiere un grado de visibilidad que no se puede lograr con los controles de seguridad tradicionales.

    Un verdadero modelo Zero Trust se implementa mejor con una arquitectura basada en proxy que conecta a los usuarios directamente con las aplicaciones en lugar de con la red, lo que permite realizar más controles antes de permitir o bloquear las conexiones.

    Antes de establecer una conexión, una arquitectura Zero Trust somete cada conexión a un proceso de tres pasos:

    1. Verificar la identidad y el contexto. Una vez que el usuario/dispositivo, la carga de trabajo o el dispositivo IoT/OT solicita una conexión, independientemente de la red subyacente, la arquitectura Zero Trust primero finaliza la conexión y verifica la identidad y el contexto comprendiendo el "quién, qué y dónde" de la solicitud.
    2. Controla el riesgo. Una vez verificada la identidad y el contexto de la entidad solicitante y aplicadas las reglas de segmentación, la arquitectura Zero Trust evalúa el riesgo asociado a la solicitud de conexión e inspecciona el tráfico en busca de ciberamenazas y datos confidenciales.
    3. Aplica la política.
      4. Por último, se calcula una puntuación de riesgo para el usuario, la carga de trabajo o el dispositivo para determinar si se permite o se restringe. Si la entidad es permitida, la arquitectura Zero Trust establece una conexión segura con Internet, la aplicación SaaS o el entorno IaaS/PaaS.
    promotional background

    Siete elementos de una arquitectura Zero Trust exitosa

    Obtenga un resumen detallado de Zero Trust de Nathan Howe, vicepresidente de tecnologías emergentes de Zscaler.

    Vea el vídeo

    Ventajas de la arquitectura zero trust

    Una arquitectura Zero Trust proporciona el acceso de usuario preciso y contextual que necesita para trabajar al ritmo de los negocios modernos, al tiempo que protege a sus usuarios y datos del malware y otros ciberataques. Como cimiento de la ZTNA, una arquitectura Zero Trust eficaz le ayuda a:

    • Conceder un acceso seguro y rápido a los datos y las aplicaciones a los trabajadores remotos, incluidos empleados y socios, estén donde estén, mejorando la experiencia del usuario
    • Proporcionar un acceso remoto confiable, así como gestionar y aplicar la política de seguridad de manera más sencilla y uniforme de lo que
      • puede hacerlo con la tecnología heredada, como las VPN
    • Proteger los datos y las aplicaciones confidenciales(en las instalaciones o en un entorno de nube, en tránsito o en reposo) con controles de seguridad rigurosos, que incluyen cifrado, autenticación, comprobaciones de estado y mucho más
    • Evitar las amenazas internas dejando de conceder confianza implícita y por defecto a cualquier usuario o dispositivo dentro
    • del perímetro de su red
      • Restringir el movimiento lateral con políticas de acceso granular hasta el nivel de recurso,
    • Detectar, responder y recuperarse de las violaciones con mayor rapidez y eficacia para mitigar su impacto
    • Obtener una mayor visibilidad
      • del qué, cuándo, cómo y dónde de las actividades de los usuarios y las entidades con una supervisión y un registro detallados de las sesiones y las acciones realizadas
    • Evaluar el riesgo en tiempo real con registros de autenticación detallados, comprobaciones del estado de los dispositivos y los recursos, análisis del comportamiento de los usuarios y las entidades,
    etc.

    (Adaptado de "Implementing a Zero Trust Architecture", una publicación especial del Instituto Nacional de Normas y Tecnología [NIST])

    ¿Cómo supera la arquitectura Zero Trust a los

    modelos de seguridad tradicionales?

    La arquitectura Zero Trust supera a los modelos de seguridad tradicionales por su enfoque proactivo, adaptable y centrado en los datos. Los modelos tradicionales se basan en defensas perimetrales, mientras que Zero Trust reconoce que las amenazas pueden proceder tanto del interior de la red como del exterior, y valida continuamente la identidad y la postura de seguridad de usuarios y dispositivos.

    Al aplicar controles granulares de acceso con privilegios mínimos, Zero Trust concede a los usuarios y dispositivos solo el acceso mínimo necesario. La supervisión continua, la MFA y el análisis de comportamiento detectan amenazas en tiempo real, antes de que puedan convertirse en ataques exitosos. Su adaptabilidad hace que Zero Trust sea más ágil, lo que a su vez la hace más adecuada que los modelos tradicionales para proteger las superficies de ataque masivas y las nuevas vulnerabilidades inherentes al trabajo remoto y al mundo orientado a la nube de la actualidad.

    Fundamentalmente, Zero Trust se centra en proteger los datos, no la red, y asegurar los datos dondequiera que vivan o fluyan: en la red, en la nube, en dispositivos remotos o en la nube.

    Una verdadera arquitectura zero trust: Zscaler Zero Trust Exchange

    Zscaler Zero Trust Exchange™ es una plataforma integrada y nativa de la nube basada en el principio del acceso con privilegios mínimos y en la idea de que ningún usuario, carga de trabajo o dispositivo es intrínsecamente confiable. En su lugar, la plataforma concede acceso en función de la identidad y el contexto, como el tipo de dispositivo, la ubicación, la aplicación y el contenido, para mediar en una conexión segura entre un usuario, una carga de trabajo o un dispositivo, a través de cualquier red, desde cualquier lugar, en función de la política empresarial.

    Zero Trust Exchange ayuda a su organización a:

    • Eliminar la superficie de ataque de Internet y el movimiento lateral de amenazas. El tráfico de los usuarios nunca entra en contacto con su red. En su lugar, los usuarios se conectan directamente a las aplicaciones a través de túneles cifrados uno a uno, lo que impide el descubrimiento y los ataques dirigidos
    • . Mejorar la experiencia del usuario. A diferencia de las arquitecturas de red estáticas y heredadas que cuentan con una "puerta principal" que retorna los datos a los centros de procesamiento, Zero Trust Exchange gestiona y optimiza de manera inteligente las conexiones directas a cualquier nube o destino de Internet y aplica políticas y protecciones adaptables en línea en el perímetro, lo más cerca posible del usuario.
      • Se
    • integra a la perfección con los principales proveedores de nube, identidad, protección de puntos finales y SecOps. Nuestra plataforma integral combina funciones de seguridad básicas (por ejemplo, SWG, DLP, CASB, firewalls, sandboxing) con tecnologías emergentes como el aislamiento
    • del navegador, la supervisión de la experiencia digital y ZTNA para una pila de seguridad en la nube 
      • dotada de todas las funciones. Reduzca los costos y la complejidad. Zero Trust Exchange es sencillo de implementar y gestionar, sin necesidad de VPN ni de complejas políticas de firewalls perimetrales de red. Ofrezca
    • seguridad uniforme a escala.
      • Zscaler opera la nube de seguridad más grande del mundo, distribuida en más de 150 centros de datos en todo el mundo, procesando más de 240 mil millones de transacciones en períodos pico y evitando 8.4 mil millones de amenazas cada día.

    promotional background

    Zero Trust Exchange conecta y protege usuarios, cargas de trabajo y dispositivos a través de cualquier red desde cualquier ubicación.

    Más informaciónSolicitar una demostración

    Recursos sugeridos

    Siete elementos de una arquitectura zero trust de gran éxito
    Obtener el libro electrónico
    Por qué los firewall y las VPN no son adecuados para zero trust
    Mírelo en cualquier momento
    Una breve historia acerca de zero trust: los principales hitos del replanteo de la seguridad empresarial
    Obtenga la documentación técnica
    Informe sobre la adopción de zero trust | Cybersecurity Insiders
    Obtenga el informe completo
    ¿Qué es Zero Trust?
    Más información
    Guía de mercado de Gartner para el acceso a la red de confianza cero
    Obtenga el informe completo
    01 / 04
    Preguntas frecuentes