La seguridad de confianza cero es un marco de ciberseguridad que exige que los usuarios demuestren quiénes son, que su acceso está autorizado y que no están actuando maliciosamente antes de poder acceder a los activos digitales y a la red de una organización.
A medida que las organizaciones tratan de implantar la seguridad de confianza cero, es fundamental tener en cuenta que ninguna plataforma o servicio tecnológico puede ofrecer por sí solo la confianza cero. Para lograr una postura de control de acceso de Confianza Cero, las organizaciones deben tener en cuenta los siguientes aspectos del funcionamiento de su entorno.
He aquí los pasos que hay que dar para realizar una evaluación adecuada.
1. Definir usuarios y dispositivos de confianza
Para empezar, es fundamental realizar un esfuerzo de descubrimiento. La mayoría de las tecnologías de microsegmentación y confianza cero incluyen algún tipo de herramientas de exploración y descubrimiento para encontrar el uso de identidades y la asignación de privilegios, los componentes de aplicaciones en uso, el tráfico enviado entre sistemas, los tipos de dispositivos y las tendencias y patrones de comportamiento en el entorno.
Los equipos de seguridad deben trabajar con los equipos de Gestión de Identidades y Accesos (IAM) o con los responsables de las funciones clave de las operaciones de TI para conocer los diferentes grupos y usuarios del entorno, así como los tipos de acceso que necesitan para desempeñar sus funciones laborales. Lo mismo debe hacerse para todos los tipos de dispositivos de usuario, principalmente portátiles y ordenadores de sobremesa, en uso por usuarios con privilegios.
2. Integrar la identidad (usuario/dispositivo) y la red
Después de que se haya realizado algún descubrimiento básico, cualquier motor de políticas de control de acceso (microsegmentación) maduro debería ser capaz de empezar a vincular identidades detectadas y declaradas (usuario, grupos, dispositivos y conjuntos de privilegios) con el tráfico de red generado por servicios específicos y componentes de aplicaciones a través de los sistemas.
Para obtener el máximo beneficio de una estrategia de confianza cero, esta fase de planificación y ejecución del proyecto debe acomodar cuidadosamente los casos de uso centrados en el negocio y las aplicaciones.
Los equipos de seguridad deben planificar para evaluar qué tipos de comportamientos son realmente necesarios y requeridos en el entorno, frente a los que simplemente pueden permitirse o "no denegarse" explícitamente.
3. Determine dónde encaja el acceso remoto
Protección móvil
4. Revisar las mejores prácticas de confianza cero
Las organizaciones deben tener en cuenta las siguientes buenas prácticas generales para implantar herramientas y controles de Confianza Cero:
Comience con el descubrimiento pasivo de aplicaciones, normalmente implementado con la monitorización del tráfico de red. Permita varias semanas de descubrimiento para encontrar las relaciones existentes y coordínese con las partes interesadas conocedoras de los patrones normales de tráfico y las comunicaciones entre sistemas.
Diseñe una arquitectura de confianza cero (ZTA) basada en cómo se mueven los datos por la red y cómo acceden los usuarios y las aplicaciones a la información confidencial. Esto ayudará a determinar cómo debe segmentarse la red y dónde deben colocarse los controles de protección y acceso.
Tómese el tiempo necesario para categorizar los sistemas y las aplicaciones. Las herramientas Zero Trust más avanzadas se integran con identidades de activos, que pueden formar parte de una arquitectura de aplicaciones, estar alineadas con una unidad o grupo de negocio, o ser representativas de un tipo de sistema específico.
Busque productos que funcionen tanto en entornos de nube interna como pública siempre que sea posible. Esto casi siempre requerirá una solución basada en agentes.
Una arquitectura de confianza cero debe incluir controles de autenticación y autorización, controles de acceso e inspección de la red y controles de supervisión y aplicación tanto para la red como para los terminales.
En la actualidad, no existe ninguna tecnología que por sí sola proporcione un diseño y una implantación completos de Confianza Cero: es necesaria una combinación de herramientas y servicios para ofrecer todo el grado de cobertura necesario.
Para la mayoría, un enfoque híbrido tanto de Zero Trust como de la infraestructura existente tendrá que coexistir durante algún tiempo, haciendo hincapié en los componentes comunes y las categorías de control que podrían habilitar adecuadamente ambos, como la gestión de identidades y accesos mediante la integración de servicios de directorio, la seguridad de los puntos finales y la aplicación de políticas, y la supervisión de la red y la inspección del tráfico.
A medida que los marcos de confianza cero maduren y evolucionen, también lo harán las normas y la interoperabilidad de las plataformas, lo que probablemente facilitará enfoques más racionalizados y eficaces en general.