¿Cómo se implementa zero trust?

¿Qué es zero trust?

Zero trust es un marco de seguridad que afirma que no se debe confiar en ningún usuario o aplicación de manera predeterminada. Una arquitectura zero trust utiliza controles de acceso con privilegios mínimos, que establecen la confianza basada en el contexto (por ejemplo, la identidad y la ubicación del usuario, la postura de seguridad del punto final, la aplicación o el servicio que se solicita) con comprobaciones de políticas en cada paso. Las solicitudes de acceso, incluso de personas conocidas, nunca se conceden hasta que pasen una autenticación estricta.

¿Cuáles son los principios básicos de Zero Trust?

"Nunca confíe, verifique siempre" es la máxima clave del modelo de seguridad Zero Trust. Para entender por qué, veamos el modelo de seguridad de red basada en firewall establecido desde hace tiempo.

Los modelos de firewall tradicionales para la ciberseguridad asumen que las solicitudes de acceso desde fuera del perímetro de la red no son intrínsecamente confiables, pero cualquier cosa adentro sí lo es. Esto supone además, que los firewalls pueden bloquear eficazmente las amenazas externas y que ninguna está ya dentro de las defensas de la red, lo que, claramente no es el caso.

Los ciberdelincuentes aprovechan la confianza asumida para eludir las defensas y distribuir ransomware y otro malware avanzado, exfiltrar datos confidenciales, etc. Zero trust contrarresta el riesgo de la confianza asumida al reconocer que cualquiera podría verse comprometido. En el núcleo del modelo subyacen tres principios:

1. Terminar todas las conexiones. Los firewalls tradicionales utilizan un modelo de "paso", inspeccionando los archivos a medida que se distribuyen. Una verdadera solución zero trust termina cada conexión para que una arquitectura proxy en línea pueda inspeccionar todo el tráfico, incluido el tráfico cifrado, antes de que llegue a su destino.
2. Proteger los datos con políticas granulares basadas en contexto. Las políticas zero trust verifican las solicitudes de acceso y los derechos basados en el contexto completo de la solicitud, incluida la identidad, el dispositivo, la ubicación y el contenido, entre otros. Las políticas son adaptables, por lo que los privilegios de acceso de los usuarios se reevalúan continuamente a medida que cambia el contexto.
3. Reducir el riesgo eliminando la superficie de ataque. Con un verdadero modelo zero trust, los usuarios y las entidades se conectan directamente a aplicaciones y recursos, nunca a redes (ver ZTNA), a diferencia de una VPN. Esto elimina el riesgo de movimiento lateral y, dado que los usuarios y las aplicaciones son invisibles para Internet, no pueden ser descubiertos ni atacados.

¿Cuál es la diferencia entre la arquitectura Zero Trust (ZTA) y el acceso a la red Zero Trust (ZTNA)?

Antes de pasar a analizar la implementación de zero trust, vamos a distinguir entre dos términos:

• Una arquitectura zero trust (ZTA) es un diseño que admite la segmentación, la autenticación y la administración de acceso herméticos. Es diferente de una arquitectura de "castle-and-moat" (en muchos aspectos está diseñada para reemplazarla) que confía en cualquier cosa que se encuentre dentro de manera predeterminada.
• El acceso a la red Zero Trust (ZTNA) es un caso de uso de Zero Trust que ofrece a los usuarios acceso seguro a aplicaciones y datos cuando los usuarios, las cargas de trabajo o los datos pueden no estar dentro de un perímetro tradicional, algo muy habitual en la era de la nube y el trabajo híbrido.

De otra manera, una arquitectura zero trust proporciona la base que las organizaciones necesitan para ofrecer ZTNA y hacer que sus recursos sean accesibles desde cualquier lugar, en cualquier momento y desde cualquier dispositivo. ZTNA es un modelo de seguridad más rápido y atento, más adecuado para configuraciones multinube y para el trabajo a distancia.

Problemas para implementar zero trust

Teniendo en cuenta las tendencias de trabajo a distancia, el auge de los dispositivos IoT y la adopción de la nube, la tarea de diseñar una estrategia zero trust puede parecer abrumadora. Veamos algunos obstáculos típicos y lo que puede hacer para superarlos.

No saber por dónde empezar

Para comenzar su viaje a zero trust, intente identificar un punto problemático específico en su ecosistema. Tal vez sea un riesgo de seguridad, como una superficie de ataque expuesta o un acceso con privilegios excesivos. Podría ser la mala experiencia del usuario o los costos de la deuda técnica, la infraestructura o la conectividad. Empezar de a poco le da una base desde la cual podrá resolver problemas más complejos.

Estar atado a inversiones heredadas

Es difícil mirar más allá de las inversiones realizadas, incluso cuando ya no satisfacen sus necesidades. Cuando toca actualizar y renovar es un buen momento para analizar si sus herramientas y tecnologías heredadas siguen apoyando sus objetivos empresariales actuales, cumpliendo con los requisitos capex y opex, y manteniéndole realmente seguro en medio de las tendencias continuas en la nube, la movilidad e IoT.

Se necesita que las partes involucradas participen

Zero trust puede llegar a cada rincón de su organización, lo que significa contar con muchas partes involucradas. Sea honesto con ellos acerca de las ventajas y las complicaciones de una transformación a zero trust. Comprenda sus motivaciones y preocupaciones, incluidas aquellas de las que quizá ellos no sean conscientes (p. ej., riesgos jurídicos o de cumplimiento). Identifique los casos de uso clave. Compartir sus pequeños casos de uso iniciales también puede ayudar a una aceptación temprana.

Cómo implementar zero trust

La transformación a zero trust lleva tiempo, pero es necesaria para que las organizaciones actuales sobrevivan y prosperen; y toda transformación exitosa cuenta con tres elementos fundamentales:

• Conocimiento y convicción: comprensión de las nuevas y mejores maneras en las que puede utilizar la tecnología para reducir los costos y la complejidad, y avanzar en el proceso de logro de sus objetivos.
• Tecnologías disruptivas: abandono de las soluciones heredadas que ya no son adecuadas después de todos los cambios experimentados por Internet, las amenazas y los trabajadores en las últimas tres décadas.
• Cambio cultural y de mentalidad: lograr el éxito mediante la participación de sus equipos. Cuando los profesionales de TI comprenden las ventajas de zero trust, también empiezan a impulsarlas.

Es importante reconocer que el cambio puede resultar incómodo, especialmente si su arquitectura y sus flujos de trabajo están profundamente arraigados. Trabajar en fases ayuda a superar esto, por lo que Zscaler divide el camino hacia zero trust en cuatro pasos:

1. Capacitar y proteger a su personal
2. Proteger sus datos de cargas de trabajo en la nube
3. Modernizar su seguridad IoT/OT
4. Hacer participar a sus clientes y proveedores de manera segura

Al alcanzar gradualmente cada uno de estos objetivos, al tiempo que transforma su red y su seguridad, obtendrá una arquitectura Zero Trust que conecta a usuarios, dispositivos y aplicaciones de manera segura en cualquier red, dondequiera que estén.

Mejores prácticas para zero trust

Zero trust requiere más que configurar la microsegmentación, la autenticación multifactor (MFA), los permisos y repensar su seguridad local. Consiste en cumplir con las realidades de las redes, el personal y las amenazas actuales para hacer que sus operaciones sean más seguras, más rápidas y más competitivas.

Cuando se trata de las mejores prácticas de implementación de zero trust, las necesidades técnicas son solo una parte. Por supuesto, debe proteger sus puntos finales, aplicar el principio de privilegios mínimos y aprovechar la IA, el aprendizaje automático y la automatización. Pero antes de que pueda hacer todo esto de manera efectiva, debe abordar los desafíos de implementar su nueva estrategia de seguridad con un plan:

• Tome las medidas necesarias para hallar un punto de partida. Tanto si empieza con un riesgo, un problema de experiencia del usuario, una preocupación sobre los costos o algo más, utilícelo como trampolín. Presente zero trust gradualmente en lugar de intentar embarcarse en tareas imposibles.
• Vuelva a evaluar las inversiones heredadas. Busque deficiencias en la seguridad de su red y en la nube, la experiencia del usuario y las relaciones con proveedores en toda su organización e identifique dónde zero trust podría ayudarle más.
• Involucre a las partes interesadas más importantes. Empiece por conocer las prioridades y las necesidades de los equipos clave. Esto le permitirá ver los casos de uso que pueden ayudarle a asegurar la aceptación y guiarle hacia ese punto de partida crucial.
• No crea que tienen que hacerlo solo. Es posible que su equipo no tenga la experiencia necesaria para trabajar íntegramente con zero trust. Aproveche la ayuda de expertos, como servicios profesionales probados y proveedores de servicios de seguridad administrada.
• Considere un plan de distribución mutua (MDP). Este acuerdo entre su organización y su proveedor le dará una imagen clara y organizada de lo que necesita lograr y los pasos individuales que tomará.

¿Necesita asistencia profesional? Zscaler puede ayudarle

Zscaler ofrece zero trust con la plataforma Zscaler Zero Trust Exchange™ nativa de la nube. La plataforma está desarrollada sobre una arquitectura de proxy y conecta a usuarios, dispositivos y aplicaciones de manera segura utilizando políticas empresariales en cualquier red. La plataforma lo hace en cuatro pasos:

1. Termina cada conexión y realiza una inspección profunda y en tiempo real de datos y amenazas en todo el tráfico, incluido el tráfico cifrado.
2. Determina la identidad y el dispositivo y verifica los derechos de acceso utilizando políticas empresariales basadas en el contexto, incluidos el usuario, el dispositivo, la aplicación y el contenido.
3. Utiliza políticas para proporcionar segmentación de usuario a aplicación a través de túneles uno a uno cifrados.
4. Conecta directamente los usuarios a las aplicaciones a mediante Zero Trust Exchange por Internet sin pasar por su red.

Ventajas de Zero Trust Exchange

• Evita el movimiento lateral de las amenazas: los usuarios se conectan a las aplicaciones directamente, sin acceso a la red, lo que garantiza que las amenazas no puedan moverse lateralmente para infectar otros dispositivos o aplicaciones.
• Elimina la superficie de ataque de Internet: las aplicaciones se ubican detrás del intercambio, invisibles para Internet, eliminando su superficie de ataque, lo que evita que sean objeto de ciberataques.
• Ofrece una excelente experiencia de usuario: los usuarios disfrutan de conexiones directas, optimizadas y administradas de manera inteligente a aplicaciones en la nube, con políticas que cumplen en el perímetro en más de 150 centros de datos en todo el mundo.
• Reduce los costos y la complejidad: su administración e implementación son sencillas, sin necesidad de VPN, firewalls complejos ni hardware adicional.
• Es escalable a medida que crece su negocio: el diseño multiusuario y nativo en la nube de la plataforma está totalmente distribuido en más de 150 centros de datos globales para ofrecerle la conectividad segura que necesita.