Breve historia de zero trust: principales hitos en el replanteamiento de la seguridad empresarial

¿Por qué contar la historia de zero trust?

Muchos de quienes trabajan en seguridad informática creen que zero trust es un punto de inflexión, un replanteamiento esencial de la seguridad empresarial y la protección de las redes y los recursos que albergan nuestras mejores ideas, conectan nuestro talento más brillante y dan acceso a herramientas de productividad transformadoras. 

Pero para entender hasta qué punto el modelo Zero Trust en ciberseguridad es realmente revolucionario, es necesario comprender cómo la idea de una arquitectura Zero Trust ha evolucionado hasta convertirse en algo que cambia fundamentalmente el pensamiento de décadas. 

A continuación encontrará una breve historia de algunos de los momentos clave en la creación del movimiento de zero trust.

Momentos clave en la historia de zero trust

1987 – Los ingenieros de Digital Equipment Corporation (DEC) publican el primer artículo sobre tecnología de firewall, que marca el inicio de décadas de pensamiento de seguridad de red de "castillo y foso"

2001 – La IEEE Standards Association publica el protocolo 802.1X para el control de acceso a la red (NAC

2004– Se constituye el Foro de Jericó, que introduce el principio de la desperimetrización

2007 - La Agencia de Sistemas de Información de Defensa (DISA) publica su modelo "black core" para un perímetro definido por software; que luchaba por afianzarse. 

2009 – Se fundó BeyondCorp de Google para reinventar la arquitectura de seguridad tras la Operación Aurora

2010 – El analista John Kindervag acuña el término "zero trust" en un documento para el Forrester Research Group

2013 - El perímetro definido por software de la Cloud Security Alliance, que depende de SPA, se tambalea debido a limitaciones tecnológicas; el Foro de Jericó declara que la desperimetrización es un "hecho" y se disuelve

2017 - Gartner diseña la evaluación continua de riesgo y confianza adaptativa (CARTA) como un marco de gestión de riesgos

2019 - Gartner introduce el concepto de perímetro de servicio de acceso seguro (SASE)

2020 – NIST publica SP 800-207 como marco unificado para establecer una arquitectura de zero trust (ZTA)

2021 - Gartner especifica que los componentes de seguridad de SASE son una nueva categoría de mercado, conocida como perímetro de servicio seguro (SSE)

2022 – La Oficina de Administración y Presupuesto del Gobierno de los Estados Unidos exige la adopción de principios de zero trust para todas las agencias para el año 2024.

 

802.1X y control de acceso a la red

El protocolo 802.1X se publicó en 2001 como un estándar que regula el control de acceso a la red (NAC) para dispositivos inalámbricos. La creciente adopción de estos dispositivos móviles complicaba las nociones de un perímetro corporativo estrictamente definido y las organizaciones sentían la necesidad de abordar su creciente uso.

El suplicante, o cliente, 802.1X estaba destinado a permitir que las redes autentificaran un punto final antes de permitir una conexión. Lamentablemente, no todos los dispositivos eran compatibles con 802.1X. Las impresoras, los sistemas IoT y otros dispositivos conectados impedían que este método sirviera como solución universal al problema del acceso no autorizado a la red. 

 

El Foro de Jericó abre un audaz camino de progreso

En 2003, un grupo de líderes tecnológicos europeos reconoció los problemas inherentes a la  arquitectura de red de castillo y foso y comenzó a debatir formas de derribar los muros de la red.  

En 2004, convocaron un grupo de trabajo conocido como el Foro de Jericó, que introdujo la idea de "desperimetrización" y dio al mundo un conjunto de "mandamientos" que sentaron las bases para las mejores prácticas para administrar las redes sin perímetro.

 

Más que una palabra de moda: presentamos "zero trust"

En 2010, el analista de Forrester John Kindervag publicó un artículo titulado "No más centros en peligro: presentamos el modelo zero trust de seguridad de la información". Más que una palabra de moda, le dio al sector de la seguridad informática algo a lo que aferrarse a la hora de diseñar un nuevo modelo de conectividad.

La premisa era que la mera presencia en una red no era motivo suficiente para otorgar confianza. La identidad (y la capacidad de verificarla) reemplazó al perímetro como criterio central para el acceso. Desafortunadamente, hasta ese momento no había cambiado nada fundamental en el entorno empresarial propiamente dicho. Las redes aún eran un espacio de todo o nada, dentro o fuera.

 

Beyond Corp (Más allá del perímetro)

Como ocurre a menudo en el ámbito de la ciberseguridad, los actores de las amenazas impulsaron la siguiente evolución de la seguridad de las redes. El Ejército Popular de Liberación de China llevó a cabo una importante operación contra empresas tecnológicas estadounidenses como Akamai, Adobe y Juniper Network , y Google respondió con  BeyondCorp. 

La intención,  según Google, era "trasladar los controles de acceso del perímetro de la red a los usuarios individuales... [permitiendo] trabajar de forma segura desde prácticamente cualquier lugar sin necesidad de una VPN tradicional". Había llegado Zero trust, en su sentido más puro de desinterés por la distinción entre dentro y fuera de la red. 

Pero Google buscaba resolver un problema difícil, y a pesar de intentar "allanar el camino para que otras organizaciones implementaran su propia red de zero trust", la estrategia seguía estando más allá de las capacidades de la mayoría de las empresas en 2010.

 

"El hombre" pesa en zero trust

En 2020, el National Institute for Standards and Technology (NIST) redefinió el debate con su estándar NIST 800-207 para la arquitectura zero trust. 

Este nuevo paradigma de ciberseguridad se centró en la protección de recursos y en la premisa de que la confianza nunca debería otorgarse implícitamente, sino que debe evaluarse continuamente. Se desecharon los límites del perímetro y la noción de red privada virtual. 

Sus fundamentos son clave para entender cómo funciona zero trust y por qué se aleja de los enfoques anteriores. La norma 800-207 estipula los principios y supuestos clave para zero trust. Tres de los puntos más importantes (de una lista mucho más larga) son:

1. Ningún recurso es inherentemente confiable.
2. Toda la comunicación está protegida independientemente de la ubicación de la red.
3. Todas las autenticaciones y autorizaciones de recursos son dinámicas y se cumplen estrictamente antes de permitir el acceso.

Si este fue un cambio de paradigma en términos de pensar en la confianza cero, la revolución real en cuanto a avances llegó con la directiva M-22-09 de la Oficina de Gestión y Presupuesto de los EE. UU. (OMB), publicada en 2022. De repente, la confianza cero se convirtió en la ley del país, al menos en lo que respecta a las agencias federales de Estados Unidos. 

Pero las consecuencias eran más amplias. Con el respaldo del ejecutivo (casi con toda seguridad, teniendo en cuenta un ataque a la cadena de suministro de gran repercusión en 2021 que  comprometió a agencias federales como Estado, Tesoro, Seguridad Nacional, Comercio y Energía) la metodología de zero trust contaba con el peso del gobierno estadounidense.

 

Seguir perfeccionando zero trust

El respaldo del gobierno estadounidense a los principios de zero trust no marcó el fin del avance de este modelo. El enfoque de Zscaler para la arquitectura de zero trust concuerda estrechamente con el marco ZTA del NIST y la definición de Gartner para SSE. Incluso va más allá de estos estándares, con tres avances fundamentales en el pensamiento de zero trust:

1. Todo el tráfico es zero trust
2. La identidad y el contexto siempre tienen prioridad en la conectividad
3. Las aplicaciones (e incluso los entornos de las aplicaciones) deben permanecer invisibles para los usuarios no autorizados

Para saber más sobre este enfoque moderno de zero trust y cómo impulsa Zscaler los próximos hitos en el replanteamiento de la seguridad empresarial, lea el informe técnico completo "Una breve historia de zero trust: principales hitos en el replanteamiento de la seguridad empresarial".

También puede ver la grabación de mi presentación en LinkedIn Live sobre el tema con Greg Simpson.