¿Qué es zero trust?

Por qué los modelos de seguridad tradicionales se quedan cortos

Los modelos de seguridad tradicionales se desarrollaron bajo el supuesto de que se podía confiar en cualquier elemento de la red. Así, mientras que lo bueno debe mantenerse "dentro", lo malo debe mantenerse "fuera". Esto dio lugar a la denominación de "seguridad de tipo castle-and-moat". Sin embargo, este enfoque basado en el perímetro ya no es eficaz en el entorno empresarial distribuido, híbrido y basado en la nube de la actualidad. Tener que ampliar el perímetro de la red para facilitar el trabajo a distancia, los dispositivos móviles, las aplicaciones SaaS y las asociaciones con terceros ha incrementado los costos y la complejidad, ha obstaculizado la productividad, ha ralentizado las iniciativas de transformación digital y, lo más importante, ha aumentado el ciberriesgo. 

Desde una perspectiva de seguridad que considera cada etapa de la cadena de ataque de ciberamenazas, existen cuatro debilidades clave de los modelos de seguridad tradicionales:

• Amplían la superficie de ataque: por diseño, las herramientas tradicionales como firewalls y VPN exponen direcciones IP a la Internet pública. Pero estas direcciones IP no solo pueden ser halladas por usuarios legítimos, sino también por ciberdelincuentes que buscan una superficie de ataque.
• Tienen dificultades para detener los ataques: la seguridad del ayer se basa en dispositivos, y tanto si las herramientas de seguridad se implementan como dispositivos de hardware o virtuales, tienen dificultades para escalar lo necesario para inspeccionar el tráfico cifrado, donde se esconden la mayoría de las amenazas. Como resultado, la mayoría de los ataques atraviesan las defensas sin ser detectados.
• Permiten el movimiento lateral de amenazas: los enfoques tradicionales conectan entidades a la red para brindarles acceso a las aplicaciones. Pero esto supone una confianza implícita y unos permisos excesivos de los que se puede abusar, permitiendo el acceso a todo lo que esté conectado a esa red, y fomentando violaciones más importantes.
• No logran detener la pérdida de datos: después de rastrear la red en busca de datos confidenciales, los delincuentes intentan exfiltrarlos. Cada vez más, esto se consigue a través del tráfico cifrado, porque saben que la mayoría de las organizaciones confían en la seguridad basada en dispositivos que fallarán a la hora de asegurar dicho tráfico. 

Estas deficiencias hacen que las arquitecturas de seguridad tradicionales no solo sean ineficaces para abordar las amenazas modernas, sino que también sean poco adecuadas para dar soporte a los entornos de TI dinámicos y distribuidos de la actualidad. Las organizaciones necesitan un nuevo enfoque: uno que elimine la confianza implícita y coloque la seguridad en el centro de cada conexión.

Los principios básicos de Zero Trust

Zero Trust es una arquitectura única que aporta un paradigma y una metodología altamente diferenciados a la ciberseguridad. En esencia, se basa en la noción de que la confianza debe ganarse continuamente y no concederse de manera predeterminada en un único momento en función de la ubicación de la red. Cinco principios fundamentales rigen el modelo de seguridad Zero Trust:

Nunca confíe, siempre verifique

Nunca se asume la confianza de ninguna entidad en ninguna red, ya sea esa entidad un usuario, una carga de trabajo, un dispositivo o un agente externo, e incluso si se encuentra en las instalaciones. Cada solicitud de acceso debe verificarse en función de múltiples factores, como se analiza más adelante.

Acceso con privilegios mínimos

El acceso debe concederse únicamente al recurso específico que un usuario autorizado necesita (en el momento en que lo necesita) para completar una tarea específica, y nada más. En otras palabras, los usuarios con requisitos de acceso legítimos deberían estar conectados directamente a las aplicaciones y no a la red en su conjunto, donde podrían moverse lateralmente y acceder a otros recursos conectados a la red. 

Gobernanza de acceso contextual y basada en riesgos

Zero Trust evalúa continuamente el riesgo analizando el contexto detrás de cada solicitud de acceso. Esto se consigue aprovechando la IA/ML para escudriñar variables contextuales como el comportamiento del usuario, la postura/estado del dispositivo, la geolocalización, la hora del día, etc. Este cálculo de riesgo se utiliza luego para regular el acceso a los recursos de TI. 

Supervisión continua y adaptación al riesgo

Zero Trust aplica una supervisión continua en todas las transacciones para identificar riesgos en tiempo real. Este análisis dinámico garantiza que la confianza no sea estática. A medida que cambia el contexto de acceso, una plataforma Zero Trust debería poder adaptarse en tiempo real y aplicar diferentes políticas. 

No hay direcciones IP públicas

Los usuarios y dispositivos no autorizados no deberían poder descubrir servicios o datos a los que no tienen permiso explícito para acceder. Para tal fin, Zero Trust requiere proteger las aplicaciones de miradas indiscretas en Internet. Eso significa eliminar las direcciones IP públicas y el intercambio de conexiones entrantes en favor de conexiones de dentro hacia fuera que ayuden a minimizar la superficie de ataque.

Al adherirse a estos principios, Zero Trust permite a las organizaciones minimizar el riesgo, reducir la complejidad y proteger mejor sus entornos distribuidos.

Cómo funciona Zero Trust

Zero Trust no es simplemente otro aparato o palanca para la seguridad del status quo.  Se trata de un marco único y una arquitectura diferenciada por la que las organizaciones disponen efectivamente de una centralita inteligente que proporciona una conectividad universal segura, sin extender la red a nadie ni a nada. En esencia, Internet se convierte en la nueva red corporativa.

Esto se logra mediante una plataforma Zero Trust que redirige el tráfico y ofrece la arquitectura como un servicio desde una nube diseñada específicamente para este fin. Esto también implica el uso de otras dos soluciones clave: la gestión de identidades a través de unproveedor de identidades (IdP) y una solución de detección y respuesta en puntos finales (EDR). A grandes rasgos, así es como funciona la arquitectura: 

• Las solicitudes de acceso comienzan con la verificación: para proporcionar acceso con privilegios mínimos, es necesario saber quién o qué intenta acceder. Por lo tanto, se verifica la identidad de todo usuario o entidad que intente conectarse a un recurso de TI.
• A continuación, se identifica el destino: en definitiva, Zero Trust consiste en conectar las entidades directamente a sus destinos, en lugar de a la red, lo que evita el movimiento lateral. Por lo tanto, una vez verificado el usuario, también es necesario identificar el recurso de TI al que intenta acceder y comprender su riesgo.
• El riesgo se calcula en función del contexto: la identidad por sí sola no es suficiente para gobernar el acceso a los recursos informáticos (pueden ser robados, e incluso los usuarios autorizados pueden causar daños). Así que, como se ha mencionado anteriormente, Zero Trust rige el acceso en función del riesgo, que se determina mediante IA/ML que evalúa el contexto de acceso. 
• La política se aplica: la política se aplica automáticamente en tiempo real y por sesión, es decir, por cada intento de acceso. Se pueden aplicar varias acciones, como permitir, bloquear, aislar, engañar , etc. Incluso después de conceder el acceso, la supervisión continua identifica los cambios de riesgo en tiempo real y altera la política según sea necesario.
• Se establece la conexión: los usuarios se conectan directamente a las aplicaciones. Si bien la conexión es de entrada a SaaS y la web, las aplicaciones privadas requieren una conexión interna, facilitada por un conector de aplicaciones (app connector) que se conecta a la nube Zero Trust para integrar la conexión completa. Esto elimina la necesidad de IP públicas que expongan las aplicaciones.

Con Zero Trust, todas las conexiones (ya sea iniciadas por usuarios, sistemas o dispositivos) se tratan con el mismo nivel de escrutinio. Esto minimiza las oportunidades para los atacantes y al mismo tiempo garantiza que los usuarios legítimos tengan una experiencia fluida y segura.

Los beneficios empresariales de Zero Trust

Al cambiar a un modelo de seguridad basado en el acceso con privilegios mínimos, Zero Trust ofrece ventajas tanto para la seguridad como para la empresa. Estos incluyen:

Ciberseguridad mejorada

Al eliminar la confianza implícita en todas sus diversas formas (conectividad de red, IP públicas, etc.) y aplicar el acceso contextual, la segmentación directa a la aplicación y la supervisión continua, Zero Trust disminuye la probabilidad de violaciones y minimiza sus posibles radios de alcance.

Reducción de la complejidad y los costos

Zero Trust reduce costos al consolidar productos puntuales de seguridad y red en una única plataforma, simplificando la infraestructura de TI, mejorando la eficiencia administrativa y minimizando los gastos operativos. También previene violaciones y sus costos asociados, mejora la productividad del usuario a través de experiencias digitales superiores y más.Como resultado de todo esto, Zero Trust fortalece la capacidad de una organización para invertir en innovación y adaptarse a los desafíos futuros de manera segura.

Apoyo a la transformación digital

Zero Trust es una arquitectura moderna que permite a las organizaciones adoptar de manera segura la computación en nube, el trabajo a distancia, los dispositivos IoT/OT y otras tecnologías modernas.

Mejora de la productividad del usuario

La conectividad directa a las aplicaciones proporcionada en el perímetro elimina la necesidad de redirigir el tráfico a un centro de datos distante o a la nube. Esto elimina la latencia asociada con los saltos de red, los cuellos de botella de VPN y otros problemas que perjudican las experiencias de los usuarios.

Casos de uso comunes para Zero Trust

Los principios Zero Trust se pueden aplicar en diversos escenarios para satisfacer las diversas necesidades de seguridad de las organizaciones actuales. Entre los casos de uso más populares se incluyen:

Casos de uso centrados en el usuario

• Acceso remoto sin VPN: permite a los usuarios acceder de manera segura y directa a aplicaciones privadas sin exponer la red ni depender de conexiones VPN complejas.
• Adopción de seguridad en la nube para aplicaciones SaaS: extienda las políticas Zero Trust a SaaS, garantizando un acceso con privilegios mínimos a aplicaciones críticas para la empresa, como Microsoft 365 y Salesforce.
• Protección de datos confidenciales: las plataformas Zero Trust pueden proporcionar una funcionalidad de prevención de pérdida de datos (DLP) que encuentra y protege la información confidencial en movimiento en la web, en reposo en la nube y en uso en los puntos finales.

Casos de uso para otras entidades

• Protección de cargas de trabajo en entornos multinube: las cargas de trabajo interactúan frecuentemente con la web y con otras cargas de trabajo. Como parte de la protección de la conectividad entre cualquier dispositivo, Zero Trust puede proteger estas comunicaciones de carga de trabajo para detener infecciones de amenazas y fugas de datos.
• Seguridad de IoT y OT: extienda los principios Zero Trust a sucursales, plantas de fabricación y otros entornos industriales, protegiendo los dispositivos de IoT y OT mediante la aplicación de controles de políticas con privilegios mínimos.
• Acceso de terceros y socios: proporcione a los contratistas, proveedores y socios tecnológicos acceso seguro y Zero Trust a los recursos de TI, sin exponer su red más amplia y sin utilizar agentes de puntos finales.

Adoptar Zero Trust con confianza

Zero Trust es una estrategia fundamental para proteger las empresas modernas. Al eliminar la confianza implícita, aplicar un acceso estricto con privilegios mínimos y verificar continuamente cada conexión, Zero Trust protege contra las amenazas de ciberseguridad más urgentes de la actualidad.

Para hacer operativa Zero Trust, las organizaciones necesitan una plataforma que proteja a cualquier entidad (no solo a los usuarios) que acceda a cualquier recurso de TI (no solo SaaS), al tiempo que proporciona experiencias digitales fluidas en entornos distribuidos, todo ello sin introducir complejidad.

Zscaler Zero Trust Exchange

La plataforma Zscaler Zero Trust Exchange permite a las organizaciones adoptar por completo un modelo de seguridad Zero Trust al ofrecer una arquitectura nativa de la nube que conecta de manera segura a usuarios, cargas de trabajo, dispositivos, terceros, nubes, aplicaciones y sucursales. Al actuar como una centralita inteligente, Zero Trust Exchange garantiza que cada transacción y cada componente del ecosistema de TI de una organización se adhiera a estrictos principios Zero Trust. Los beneficios clave incluyen:

• Minimización la superficie de ataque: se eliminan los firewalls y las aplicaciones se vuelven invisibles ocultándolas detrás de Zero Trust Exchange, eliminando los puntos de entrada para los atacantes.
• Detención de los riesgos: una nube de alto rendimiento inspecciona todo el tráfico (incluido el tráfico TLS/SSL cifrado a escala) para aplicar capacidades de detección de amenazas en tiempo real y políticas que las detengan. 
• Prevención del movimiento lateral: la segmentación Zero Trust mantiene a todos y todo fuera de la red, lo que evita el movimiento lateral entre los recursos conectados a la red.
• Bloqueo de pérdida de datos: los datos están protegidos dondequiera que vayan, en línea en el tráfico cifrado, en reposo en aplicaciones SaaS y en la nube, y en los dispositivos del usuario, mientras que la clasificación automática de datos de IA minimiza la carga administrativa. 
• Mejora de la experiencia del usuario: los usuarios disfrutan de un acceso rápido, fluido y directo a las aplicaciones y los datos que necesitan, sin la fricción de las VPN tradicionales.
• Simplificación de la infraestructura de TI y las operaciones de seguridad: una plataforma unificada nativa de la nube consolida las funciones de seguridad y reduce la complejidad a la vez que disminuye los costos.

¿Quiere experimentar cómo Zscaler Zero Trust Exchange puede transformar la seguridad y la eficiencia operativa de su organización? Únase a la serie de seminarios web de tres partes de Zscaler y obtenga todo lo que necesita para comprender e implementar la arquitectura Zero Trust.