¿Qué es la confianza cero?

Por qué los modelos de seguridad tradicionales fallan

Los modelos de seguridad tradicionales se basaron en el supuesto de que se puede confiar en cualquier cosa dentro de la red. Así que las cosas buenas deben mantenerse “dentro” y las malas deben mantenerse “fuera”. Esto dio lugar a la convención de nombres de “seguridad de castillo y foso”. Sin embargo, este enfoque basado en el perímetro ya no es eficaz en el actual entorno empresarial distribuido, híbrido y centrado en la nube. Tener que ampliar el perímetro de la red para facilitar el trabajo remoto, los dispositivos móviles, las aplicaciones SaaS y las asociaciones con terceros ha aumentado los costes y la complejidad, ha impedido la productividad, ha ralentizado las iniciativas de transformación digital y, lo más importante, ha aumentado el riesgo cibernético. 

Desde una perspectiva de seguridad que considera cada etapa de la cadena de ataque de ciberamenazas, existen cuatro debilidades clave de los modelos de seguridad tradicionales:

• Amplían la superficie de ataque: por diseño, las herramientas tradicionales como cortafuegos y VPN exponen direcciones IP a la Internet pública. Pero estas direcciones IP no sólo pueden ser encontradas por usuarios legítimos, sino también por cibercriminales que buscan una superficie de ataque. 
• Tienen dificultades para detener los ataques: la seguridad del pasado se basaba en dispositivos e, independientemente de si las herramientas de seguridad se implementan como hardware o dispositivos virtuales, tienen dificultades para escalar según sea necesario para inspeccionar el tráfico cifrado, donde se ocultan la mayoría de las amenazas. Como resultado, la mayoría de los ataques pasan a través de las defensas sin ser detectados. 
• Permiten el movimiento lateral de amenazas: los enfoques tradicionales conectan entidades a la red para brindarles acceso a las aplicaciones. Pero esto implica una confianza implícita y permisos excesivos de los que se puede abusar, permitiendo el acceso a todo lo conectado a esa red y alimentando infraccionesmás importantes. 
• No logran detener la pérdida de datos: después de rastrear la red en busca de datos confidenciales, los delincuentes intentan exfiltrarlos. Cada vez más, esto se logra a través de tráfico cifrado, porque saben que la mayoría de las organizaciones dependen de una seguridad basada en dispositivos que no podrá proteger dicho tráfico. 

Estas deficiencias hacen que las arquitecturas de seguridad tradicionales no sólo sean ineficaces para abordar las amenazas modernas, sino que también sean poco adecuadas para soportar los entornos de TI dinámicos y distribuidos actuales. Las organizaciones necesitan un nuevo enfoque: uno que elimine la confianza implícita y coloque la seguridad en el centro de cada conexión.

Los principios básicos de zero trust

Zero trust es una arquitectura única que aporta un paradigma y una metodología altamente diferenciados a la ciberseguridad. En esencia, se basa en la noción de que la confianza debe ganarse continuamente y no concederse de manera predeterminada en un único momento en función de la ubicación de la red. Cinco principios fundamentales rigen el modelo de seguridad zero trust:

Nunca confíe, siempre verifique

Nunca se asume la confianza de ninguna entidad en ninguna red, tanto si esa entidad es un usuario, una carga de trabajo, un dispositivo como una parte externa, e incluso si se encuentra en las instalaciones. Cada solicitud de acceso debe verificarse en función de múltiples factores, como se analiza más adelante.

Acceso con mínimo privilegio

El acceso debe concederse únicamente al recurso específico que un usuario autorizado necesita (en el momento en que lo necesita) a fin de completar una tarea específica, y nada más. En otras palabras, los usuarios con requisitos de acceso legítimos deberían estar conectados directamente a las aplicaciones y no a la red en su conjunto, donde podrían moverse lateralmente y acceder a otros recursos conectados a la red. 

Gobernanza de acceso contextual y basada en riesgos

Zero trust evalúa continuamente el riesgo analizando el contexto detrás de cada solicitud de acceso. Esto se hace aprovechando AI/ML para examinar variables contextuales como el comportamiento del usuario así como la postura/salud y la geolocalización del dispositivo, la hora del día y más. Este cálculo de riesgo se utiliza posteriormente para regular el acceso a los recursos de TI. 

Supervisión continua y adaptación al riesgo

Zero trust aplica una supervisión continua en todas las transacciones para identificar riesgos en tiempo real. Este análisis dinámico garantiza que la confianza no sea estática. A medida que cambia el contexto de acceso, una plataforma zero trust debería poder adaptarse en tiempo real y aplicar diferentes políticas. 

Sin direcciones IP públicas

Los usuarios y dispositivos no autorizados no deberían poder descubrir servicios o datos a los que no tienen permiso explícito para acceder. Para ello, zero trust requiere proteger las aplicaciones de miradas indiscretas en Internet. Esto significa eliminar direcciones IP públicas e intercambiar conexiones entrantes a favor de conexiones de adentro hacia afuera que ayuden a minimizar la superficie de ataque.

Al adherirse a estos principios, zero trust permite a las organizaciones minimizar el riesgo, reducir la complejidad y proteger mejor sus entornos distribuidos.

Cómo funciona zero trust

Zero trust no es simplemente otro dispositivo o recurso para mantener la seguridad.  Se trata de un marco único y una arquitectura diferenciada mediante la cual las organizaciones disponen efectivamente de una centralita inteligente que proporciona una conectividad segura entre cualquier dispositivo, sin extender la red a nadie ni a nada. Básicamente, Internet se convierte en la nueva red corporativa.

Esto se logra mediante una plataforma zero trust que redirige el tráfico y ofrece la arquitectura como un servicio desde una nube diseñada específicamente para este fin (también implica el uso de otras dos soluciones: la gestión de identidades de un proveedor de identidades (IdP)y una solución de detección y respuesta de terminales (EDR)). A grandes rasgos, así es como funciona la arquitectura: 

• Las solicitudes de acceso comienzan con la verificación: para proporcionar acceso con privilegios mínimos, es necesario saber quién o qué intenta acceder. Por lo tanto, se verifica la identidad de todo usuario o entidad que intente conectarse a un recurso de TI.
• A continuación, se identifica el destino: En definitiva, zero trust implica conectar las entidades directamente a sus destinos, en lugar de a la red, lo que evita el movimiento lateral. Por lo tanto, una vez verificado el usuario, también es necesario identificar el recurso de TI al que intenta acceder y comprender su riesgo.
• El riesgo se calcula según el contexto: la identidad por sí sola no es suficiente para controlar el acceso a los recursos de TI (pueden ser robados, e incluso los usuarios autorizados pueden causar daños). Por lo tanto, como se mencionó anteriormente, zero trust rige el acceso en función del riesgo, que se determina mediante AI/ML que evalúa el contexto de acceso. 
• Se aplica la política: la política se aplica automáticamente en tiempo real y por sesión, es decir, con cada intento de acceso. Se pueden implementar diversas acciones, como permitir, bloquear, aislar, engañar, etc. Incluso después de conceder el acceso, la supervisión continua identifica los cambios de riesgo en tiempo real y modifica la política según sea necesario.
• Se establece la conexión: los usuarios se conectan directamente a las aplicaciones. Si bien la conexión es de entrada a SaaS y la web, las aplicaciones privadas requieren una conexión interna, facilitada por un conector de aplicaciones que se conecta a la nube de zero trust para integrar la conexión completa. Esto elimina la necesidad de IP públicas que expongan las aplicaciones. 

Con zero trust, todas las conexiones (ya sea iniciadas por usuarios, sistemas o dispositivos) se tratan con el mismo nivel de escrutinio. Esto minimiza las oportunidades para los atacantes y al mismo tiempo garantiza que los usuarios legítimos tengan una experiencia fluida y segura.

Los beneficios empresariales de zero trust

Al cambiar el modelo de seguridad a uno basado en el acceso con privilegios mínimos, zero trust brinda beneficios tanto de seguridad como comerciales. Entre ellos:

Ciberseguridad mejorada

Al eliminar la confianza implícita en todas sus diversas formas (conectividad de red, IP públicas, etc.) y aplicar el acceso contextual, la segmentación directa a la aplicación y la supervisión continua, zero trust disminuye la probabilidad de violaciones y minimiza sus posibles radios de explosión.

Reducción de la complejidad y los costes

Zero trust reduce costes al consolidar productos puntuales de seguridad y red en una única plataforma, simplificando la infraestructura de TI, mejorando la eficiencia administrativa y minimizando los gastos operativos. También previene infracciones y sus costes asociados, mejora la productividad del usuario a través de experiencias digitales superiores y más. Como resultado de todo esto, la zero trust fortalece la capacidad de una organización para invertir en innovación y adaptarse a los desafíos futuros de forma segura.

Apoyo a la transformación digital

Zero trust es una arquitectura moderna que permite de forma segura a las organizaciones adoptar la computación en la nube, el trabajo remoto, dispositivos IoT/OT y otras tecnologías modernas.

Mejora de la productividad del usuario

La conectividad directa a la aplicación entregada en el perímetro elimina la necesidad de retornar el tráfico a un centro de datos o una nube distantes. Esto elimina la latencia asociada con los saltos de red, los cuellos de botella de VPN y otros problemas que perjudican las experiencias de los usuarios.

Casos de uso comunes de Zero Trust

Los principios zero trust se pueden aplicar en diversos escenarios para satisfacer las diversas necesidades de seguridad de las organizaciones actuales. Entre los casos de uso populares se incluyen:

Casos de uso centrados en el usuario

• Acceso remoto sin VPN: permite a los usuarios acceder de forma segura y directa a aplicaciones privadas sin exponer la red ni depender de conexiones VPN complejas.
• Adopción de seguridad en la nube para aplicaciones SaaS: extienda las políticas de zero trust a SaaS, garantizando un acceso con privilegios mínimos a aplicaciones críticas para la actividad empresarial, como Microsoft 365 y Salesforce.
• Protección de datos confidenciales: las plataformas zero trust pueden proporcionar una funcionalidad de prevención de pérdida de datos (DLP) que encuentra y protege la información confidencial en movimiento en la web, en reposo en la nube y en uso en los terminales. 

Casos de uso para otras entidades

• Protección de cargas de trabajo en entornos multinube: las cargas de trabajo interactúan frecuentemente con la web y con otras cargas de trabajo. Como parte de la protección de la conectividad entre cualquier dispositivo, zero trust puede proteger estas comunicaciones de carga de trabajo para detener infecciones de amenazas y filtraciones de datos.
• Seguridad de IoT y OT: extienda los principios de zero trust a sucursales, plantas de fabricación y otros entornos industriales, protegiendo los dispositivos de IoT y OT mediante la aplicación de controles de políticas con privilegios mínimos.
• Acceso de terceros y socios: proporcione a los contratistas, proveedores y socios tecnológicos acceso seguro y de zero trust a los recursos de TI, sin exponer su red más amplia y sin utilizar agentes de terminales.

Avanzando hacia Zero Trust con confianza

Zero trust es una estrategia fundamental para proteger las empresas modernas. Al eliminar la confianza implícita, aplicar un acceso estricto con el mínimo privilegio y verificar continuamente cada conexión, zero trust protege contra las amenazas de ciberseguridad más urgentes de la actualidad.

Para hacer posible un funcionamiento zero trust, las organizaciones necesitan una plataforma que proteja a cualquier entidad (no únicamente a los usuarios) que acceda a cualquier recurso de TI (no sólo SaaS), al tiempo que proporciona experiencias digitales fluidas en entornos distribuidos, todo ello sin introducir complejidad.

Zscaler Zero Trust Exchange

La plataforma Zscaler Zero Trust Exchange permite a las organizaciones adoptar por completo un modelo de seguridad zero trust al ofrecer una arquitectura nativa de la nube que conecta de forma segura a usuarios, cargas de trabajo, dispositivos, terceros, nubes, aplicaciones y sucursales. Al actuar como una centralita inteligente, Zero Trust Exchange garantiza que cada transacción y cada componente del ecosistema de TI de una organización se adhiera a estrictos principios de zero trust. Entre las ventajas clave se incluyen:

• Minimizar la superficie de ataque: se eliminan los cortafuegos y las aplicaciones se vuelven invisibles ocultándolas detrás de Zero Trust Exchange, eliminando los puntos de entrada para los atacantes.
• Detener los riesgos: una nube de alto rendimiento inspecciona todo el tráfico (incluido el tráfico TLS/SSL cifrado a escala) para implementar capacidades de detección de amenazas en tiempo real y políticas que detengan las amenazas. 
• Prevención del movimiento lateral: la segmentación zero trust mantiene a todos y todo fuera de la red, lo que evita el movimiento lateral entre los recursos conectados a la red.
• Bloqueo de pérdida de datos: los datos están protegidos dondequiera que vayan, en línea en el tráfico cifrado, en reposo en aplicaciones SaaS y en la nube, y en los dispositivos del usuario, mientras que la clasificación automática de datos de IA minimiza la carga administrativa. 
• Mejora de la experiencia del usuario: los usuarios disfrutan de un acceso rápido, fluido y directo a las aplicaciones y los datos que necesitan, sin la fricción de las VPN tradicionales.
• Simplificación de la infraestructura de TI y las operaciones de seguridad: una plataforma unificada nativa de la nube consolida las funciones de seguridad y reduce la complejidad a la vez que disminuye los costes.

¿Quiere experimentar cómo Zscaler Zero Trust Exchange puede transformar la seguridad y la eficiencia operativa de su organización? Únase a la serie de seminarios web de tres partes de Zscaler y obtenga todo lo que necesita para comprender e implementar la arquitectura de zero trust.