Inicie su viaje hacia Zero Trust con estas sugerencias de Gartner®

Tanto si acaba de iniciarse en la seguridad en la nube y trata de averiguar cuáles son las últimas tendencias de seguridad como si tiene una amplia trayectoria en el sector con muchos años de experiencia, seguro que se ha encontrado alguna vez con el término "Zero Trust". Pero puede que el abundante uso de este término le confunda, como ocurre con otras palabras de moda en el ámbito de la seguridad, como ransomware, spoofing, etc., que llevan años utilizándose habitualmente.

"Confianza cero" es la palabra de moda más reciente en el sector de la seguridad, y todas las empresas de seguridad parecen reclamar la solución de confianza cero más completa. En medio de todo este revuelo, puede ser difícil determinar qué es real y qué es ficción. ¿Qué es exactamente la confianza cero, por qué es importante y cómo puede aplicarse? En un documento de Gartner publicado a principios de este año, se describen los proyectos prácticos a los que las organizaciones deberían dar prioridad a la hora de implantar una verdadera arquitectura de confianza cero. A través de este blog, pretendo ayudar a que se comprenda mejor lo que es la confianza cero y cómo se puede implementar en una organización según las directrices de Gartner.

¿Qué es zero trust?

Hay mucha confusión acerca de qué es realmente la confianza cero: la mayoría piensa en ella como un producto, una solución o una plataforma, pero realmente no es nada de eso. La confianza cero es una mentalidad de seguridad basada en el principio de "nunca confíes, siempre verifica" y el acceso con menos privilegios, que asume que ningún usuario o aplicación debe ser confiable de forma inherente. La seguridad de confianza cero asume que hay riesgos para la seguridad tanto dentro como fuera de la red. De forma prefijada, no se confía en ningún elemento de la red, de ahí el nombre "confianza cero". 

Zero Trust es una evolución de las arquitecturas de seguridad de red tradicionales que aprovechaban los firewalls y las VPN, y que se basaban en el principio de seguridad "verifica, después confía", que confía de manera predeterminada en los usuarios verificados dentro de la red. Zero Trust solo establece confianza en función de la identidad y el contexto del usuario, como la ubicación del usuario, la postura de seguridad del dispositivo y la aplicación o servicio que se solicita, con políticas que sirven como guardianes en cada paso del camino. 

Como analogía, piense en Zero Trust como en la aptitud física. La actividad física es un objetivo conceptual con varios puntos de referencia, varía según los objetivos individuales y personales, y se puede lograr con actividades como caminar, correr, andar en bicicleta, levantar pesas, bailar, entre otras, pero el objetivo final es estar físicamente en forma. Del mismo modo, Zero Trust es también un principio conceptual global de seguridad que puede lograrse con una combinación de soluciones como ZTNA, la segmentación de la carga de trabajo, la protección de datos, el aislamiento del navegador, etc., con el objetivo final de proteger completamente a los usuarios y las aplicaciones.

Según Gartner®, la mayoría de las organizaciones todavía están en la fase de planificación o en la estrategia de implementación de Zero Trust. Y sugiere que las organizaciones necesitan dos iniciativas primarias para lograr Zero Trust: 

• El acceso a la red frontal se centra en la segmentación de usuario a aplicación, también conocida como Zero Trust Network Access o ZTNA. 
• El acceso a la red trasera se centra en la segmentación de carga de trabajo a carga de trabajo.

ZTNA para segmentación de usuario a aplicación

ZTNA admite una arquitectura Zero Trust a través de un modelo de confianza adaptable, en el que la confianza nunca es implícita y el acceso se concede en función de la "necesidad de conocer" y de los privilegios mínimos definidos por políticas granulares. ZTNA conecta de manera segura a los usuarios con aplicaciones privadas sin tener que colocarlos en la red ni exponer aplicaciones a Internet. Este aislamiento reduce los riesgos para la red, como la infección por dispositivos en peligro, y solo otorga acceso a la aplicación a usuarios autorizados. Gartner® sugiere que las organizaciones comiencen con una prueba piloto de un producto ZTNA y prueben las aplicaciones con él para asegurarse de que todos los elementos —usuarios, dispositivos (gestionados y no gestionados) y aplicaciones (nuevas y heredadas)—funcionan como se desea.

Segmentación basada en la identidad

Gartner® afirma que la segmentación de carga a carga de trabajo reduce la excesiva confianza implícita al permitir a las organizaciones mover las cargas de trabajo individuales a un modelo de denegación predeterminado para la comunicación, en lugar de un modelo de permiso implícito. Para perfilar una estrategia basada en la identidad, Gartner® recomienda abordar cargas de trabajo heterogéneas que abarquen entornos locales, híbridos, virtuales y de contenedores.

Una vez implementado ZTNA y la segmentación basada en la identidad, las organizaciones pueden pasar a otras iniciativas de seguridad para ampliar un enfoque Zero Trust a toda su infraestructura tecnológica.

Simplifique y acelere su viaje hacia Zero Trust

Zscaler Zero Trust Exchange (ZTE) es un sistema basado en la nube de seguridad más grande del planeta, que proporciona una arquitectura Zero Trust para acelerar de manera segura la transformación empresarial. Al operar en 150 centros de datos en todo el mundo, ZTE garantiza que el servicio esté cerca de los usuarios, junto con los proveedores de la nube y las aplicaciones a las que acceden. Insistiendo en nuestra analogía de Zero Trust como la aptitud física, Zero Trust Exchange sería el gimnasio más sofisticado, el que cuenta con todo el equipamiento necesario para alcanzar el mejor estado físico (o, según nuestra analogía, Zero Trust). Zero Trust Exchange proporciona acceso remoto con protección contra amenazas cibernéticas, protección de datos, acceso seguro a Internet, acceso a aplicaciones B2B, segmentación de red, puntuaciones de rendimiento y muchas otras capacidades fundamentales que son clave para implementar Zero Trust.

Lea el documento: ¿Cuáles son los proyectos prácticos para implementar Zero Trust?