Zero Trust es un modelo de seguridad basado en el principio de mantener controles de acceso estrictos y no confiar en nadie por defecto, ni siquiera en los que ya están dentro del perímetro de la red.
Esta vulnerabilidad de los sistemas perimetrales se ve agravada por el hecho de que las empresas ya no tienen sus datos en un solo lugar. En la actualidad, la información suele estar repartida entre los proveedores de la nube, lo que hace más difícil tener un único control de seguridad para toda la red.
Seguridad Zero Trust
La seguridad Zero Trust significa que no se confía en nadie por defecto, ni desde dentro ni desde fuera de la red, y que se requiere la verificación de todos los que intentan acceder a los recursos de la red.
Se ha demostrado que esta capa de seguridad añadida evita las fugas de datos. Hay estudios que han demostrado que el coste medio de una sola fuga de datos es de más de 3 millones de dólares.
Teniendo en cuenta esta cifra, no debería sorprender que muchas organizaciones estén ahora impacientes por adoptar una política de seguridad Zero Trust.
¿Cuáles son los principios fundamentales de la Zero Trust?
Supervisión y validación continuos
La filosofía de una red Zero Trust parte de la base de que hay atacantes tanto dentro como fuera de la red, por lo que no se debe confiar automáticamente en ningún usuario o máquina.
Zero Trust verifica la identidad y los privilegios de los usuarios, así como la identidad y la seguridad de los dispositivos. Los inicios de sesión y las conexiones se agotan periódicamente una vez establecidos, lo que obliga a volver a verificar continuamente a usuarios y dispositivos.
Mínimo privilegio
Otro principio de la seguridad Zero Trust es el acceso de menos privilegio. Esto es como dar a los usuarios solo el acceso que necesitan, como un capitán de un ejército que da a los soldados la información según la necesitan. Esto minimiza la exposición de los usuarios a las partes más sensibles de la red.
La implementación del mínimo privilegio implica una gestión cuidadosa de los permisos de los usuarios. Las VPN no se adaptan bien a los enfoques de autorización de mínimos privilegios, ya que el inicio de sesión en una VPN da a un usuario acceso a toda la red a la que se ha conectado.
Control de acceso a los dispositivos
Además de los controles en el acceso del usuario, Zero Trust también requiere controles estrictos sobre el acceso al dispositivo. Los sistemas Zero Trust necesitan monitorizar cuántos dispositivos distintos están intentando acceder a su red, asegurarse de que cada dispositivo tenga autorización y evaluar todos los dispositivos para asegurarse de que no se han visto comprometidos.
Esto minimiza todavía más la superficie de ataque de la red.
Microsegmentación
Las redes Zero Trust también utilizan la microsegmentación. La microsegmentación es la práctica de dividir los perímetros de seguridad en pequeñas zonas para mantener un acceso separado para las diferentes partes de la red.
Por ejemplo, una red con archivos en un único centro de datos que utiliza la microsegmentación puede contener docenas de zonas seguras separadas. Una persona o un programa con acceso a una de esas zonas no podrá acceder a ninguna de las demás sin una autorización independiente.
Evitar el movimiento lateral
En seguridad de redes, “movimiento lateral” se refiere al movimiento de un atacante dentro de una red después de conseguir acceso a esa red. El movimiento lateral puede ser difícil de detectar incluso cuando el punto de entrada del atacante es descubierto, porque el atacante habrá continuado el ataque y comprometido otras partes de la red.
Zero Trust está diseñado para contener a los atacantes de modo que no se puedan mover lateralmente. Como el acceso de Zero Trust está segmentado y tiene que restablecerse de forma periódica, un atacante no puede moverse a otros microsegmentos de la red.
Una vez se detecta la presencia del atacante, el dispositivo o la cuenta de usuario en riesgo pueden ponerse en cuarentena, impidiendo el acceso a otras partes. (En un modelo perimetral, si el movimiento lateral es posible para el atacante, poner en cuarentena al dispositivo o usuario en riesgo original tiene poco o ningún efecto, ya que el atacante ya habrá llegado a otras partes de la red).
Autenticación multifactor (MFA)
La Autenticación multifactor (MFA) también es un valor fundamental de la seguridad Zero Trust. MFA implica que se requiere más de una prueba para autenticar a un usuario; no basta con introducir una contraseña para obtener acceso.
Una aplicación habitual de la AMF es la autorización de 2 factores (2FA), que se usa en plataformas en línea como Facebook y Google. Además de introducir una contraseña, los usuarios que activan la 2FA para estos servicios también deben introducir un código enviado a otro dispositivo, como un teléfono móvil, proporcionando así dos pruebas de que son quienes dicen ser.
¿Cuáles son las ventajas de Zero Trust?
Zero Trust como filosofía se adapta mejor a los entornos informáticos modernos que los enfoques de seguridad más tradicionales.
Con una variedad tan amplia de usuarios y dispositivos que acceden a los datos internos, y con datos almacenados tanto dentro como fuera de la red (en la nube), es mucho más seguro suponer que ningún usuario o dispositivo es confiable, que suponer que las medidas preventivas de seguridad han tapado todos los agujeros.
El principal beneficio de aplicar los principios de Zero Trust es ayudar a reducir la superficie de ataques de una organización. Además, Zero Trust minimiza el daño cuando se produce un ataque, restringiendo la brecha a una pequeña zona mediante la microsegmentación, lo que también reduce el coste de recuperación.
Zero Trust reduce el impacto de robo de las credenciales del usuario y de los ataques de phishing al exigir múltiples factores de autenticación. Ayuda a eliminar las amenazas que eluden las protecciones tradicionales dirigidas al perímetro.
Y, al verificar cada solicitud, la seguridad de Zero Trust reduce el riesgo que plantean los dispositivos vulnerables, incluidos los dispositivos IoT, que a menudo son difíciles de proteger y actualizar (consulte Seguridad IoT).
¿Cuál es la historia de la seguridad Zero Trust?
El término “Zero Trust” lo acuñó un analista de Forrester Research Inc. en 2010, cuando se presentó por primera vez el modelo del concepto. Unos años más tarde, Google anunció que había implementado la seguridad Zero Trust en su red, lo que motivó un creciente interés en su adopción en la comunidad tecnológica.
En 2019, Gartner, una empresa global de investigación y consultoría, incluyó el acceso de seguridad Zero Trust como un componente básico de las soluciones de perímetro de servicio de acceso seguro (SASE) .
¿Qué es el Acceso a la red Zero Trust (ZTNA)?
El Acceso a la red Zero Trust (ZTNA) es la principal tecnología que permite que las organizaciones implementen la seguridad Zero Trust. Similar a un perímetro definido por software (SDP), ZTNA oculta la mayor parte de la infraestructura y los servicios, estableciendo conexiones encriptadas personalizadas entre los dispositivos y los recursos que necesitan. Más información sobre cómo funciona ZTNA.
¿Cuáles son algunos casos de uso de Zero Trust?
Cualquier organización que dependa de una red y almacene datos digitales probablemente considerará utilizar una arquitectura Zero Trust. Sin embargo, algunos de los casos de uso más comunes de Zero Trust son:
Sustituir o aumentar una VPN: muchas organizaciones confían en las VPN para proteger sus datos, pero como se ha descrito anteriormente, a menudo las VPN no son ideales para defenderse de los riesgos actuales.
Apoyando de forma seguro el trabajo remoto: mientras que las VPN crean congestiones y pueden ralentizar la productividad de los trabajadores remotos, Zero Trust puede ampliar el control de acceso seguro a las conexiones desde cualquier lugar.
Control de acceso para la nube y la multinube: una red Zero Trust verifica cualquier petición, sea cual sea su origen o destino. También puede ayudar a reducir el uso de servicios no autorizados basados en la nube (una situación denominada “shadow IT”), controlando o bloqueando el uso de aplicaciones no autorizadas.
Incorporación de terceros y contratistas: Zero Trust puede ampliar rápidamente el acceso restringido con los mínimos privilegios a terceros, que normalmente utilizan ordenadores que no gestionan los equipos de informáticos internos.
Incorporación rápida de nuevos empleados: las redes Zero Trust también pueden facilitar la incorporación rápida de nuevos usuarios internos, convirtiéndolas en una buena opción para las organizaciones de rápido crecimiento. En cambio, una VPN puede requerir que se añada más capacidad para dar cabida a un gran número de nuevos usuarios.
¿Cuáles son las principales buenas prácticas de Zero Trust?
- Supervise el tráfico de red y los dispositivos conectados: la visibilidad es crucial para que los usuarios y las máquinas puedan ser verificados y autentificados.
- Mantenga los dispositivos actualizados: es necesario parchear las vulnerabilidades lo antes posible. Las redes Zero Trust deben poder restringir el acceso a los dispositivos vulnerables (otra razón por la que la supervisión y la validación son fundamentales).
- Aplique el principio del menor privilegio para todos los miembros de la organización: desde los ejecutivos a los equipos de TI, todos deben tener el menor acceso que necesiten. Esto minimiza el daño si una cuenta de usuario final está en riesgo.
- Divida la red: dividir la red en fragmentos más pequeños ayuda a contener las infiltraciones en una fase temprana, antes de que puedan propagarse. La microsegmentación es una forma efectiva de hacerlo.
- Actúe como si el perímetro de la red no existiera: a menos que una red esté completamente sin conexión (una rareza), los puntos en contacto con Internet o la nube son probablemente demasiado numerosos para eliminarlos.
- Utilice claves de seguridad para MFA: los tokens de seguridad basados en hardware son evidentemente más seguros que los tokens blandos, como los códigos de acceso de un solo uso (OTP) enviados por SMS o correo electrónico.
- Incorpore inteligencia sobre amenazas: dado que los atacantes actualizan y perfeccionan constantemente sus tácticas, suscribirse a las últimas fuentes de datos de inteligencia sobre amenazas es fundamental para identificar las amenazas antes de que se propaguen.
- Evite motivar a los usuarios finales para que eludan las medidas de seguridad: del mismo modo que unos requisitos de contraseña demasiado estrictos incentivan a los usuarios a reciclar las mismas contraseñas una y otra vez, obligar a los usuarios a volver a autenticarse una vez cada hora mediante múltiples factores de identidad puede ser demasiado, lo que irónicamente disminuye la seguridad. Tenga siempre en mente las necesidades del usuario final.
Cómo implementar la seguridad Zero Trust
Zero Trust puede sonar complejo, pero adoptar este modelo de seguridad puede ser relativamente simple con el socio tecnológico adecuado. Por ejemplo, Cloudflare One es una plataforma SASE que combina los servicios de redes con un enfoque Zero Trust al acceso de usuarios y dispositivos. Con Cloudflare One, los clientes implementan automáticamente la protección Zero Trust alrededor de todos sus bienes y datos.