¿Qué es una arquitectura zero trust?

La importancia de una arquitectura Zero Trust 

Las organizaciones actuales están experimentando una rápida transformación digital, impulsada por la adopción de servicios en la nube, entornos de trabajo híbridos, dispositivos IoT y aplicaciones SaaS. Esta evolución ha dejado obsoletas las arquitecturas de seguridad de red tradicionales, exponiendo debilidades críticas en los modelos basados en el perímetro construidos principalmente con cortafuegos y VPN. Estas herramientas heredadas, diseñadas para el trabajo local, no han logrado seguir el ritmo de la agilidad y sofisticación que requieren las empresas modernas y, de hecho, aumentan el ciberriesgo en el mundo actual.

Una arquitectura Zero Trust (ZTA) ha surgido como la solución a estos desafíos. Al replantear fundamentalmente la seguridad desde una perspectiva de "nunca confiar, siempre verificar", Zero Trust elimina las vulnerabilidades de las arquitecturas tradicionales, garantizando una conectividad global segura para usuarios, dispositivos, cargas de trabajo, sistemas IoT/OT y socios B2B. Este artículo explora por qué las arquitecturas tradicionales se quedan cortas y cómo Zero Trust transforma la seguridad para hacer frente al panorama moderno de amenazas. 

Las deficiencias de las arquitecturas tradicionales 

Las arquitecturas basadas en el perímetro, a menudo denominadas modelos “castle-and-moat”, fueron diseñadas para una era en la que los usuarios, las aplicaciones y los datos residían principalmente en las instalaciones, conectados a la red corporativa. Estas arquitecturas dependen en gran medida de firewalls y VPN para proteger el perímetro de la red, al tiempo que otorgan un amplio acceso a las entidades dentro de la red. Si bien este modelo centrado en la red funcionó relativamente bien en el pasado, es cada vez más ineficaz en los entornos distribuidos actuales y potenciados por la nube.

Cómo funcionan las arquitecturas tradicionales 

Las arquitecturas tradicionales giran en torno a la red, y sus herramientas subyacentes, como firewalls y VPN, tienen como objetivo:

• Establecer un perímetro de seguridad: se asume que todo lo que está dentro de la red es confiable, todo lo que está fuera se considera no confiable y los cortafuegos se utilizan esencialmente como guardianes que separan a ambos. 
• Retornar el tráfico: los usuarios remotos deben conectarse a centros de datos centralizados y a la red a través de VPN para acceder a las aplicaciones (incluidas las aplicaciones en la nube externas), lo que agrega latencia y complejidad.
• Escanear el tráfico: los firewalls realizan escaneos superficiales del tráfico que entra y sale de la red, pero a menudo dejan pasar las amenazas a través de las defensas sin ser detectadas y tienen dificultades para proteger el tráfico cifrado.

Las cuatro principales debilidades de las arquitecturas tradicionales

1. Superficie de ataque ampliada: los firewalls y las VPN tienen direcciones IP públicas por diseño para permitir el acceso de usuarios legítimos, pero esto también expone la red a los ciberdelincuentes en la web. A medida que las organizaciones se expanden a más ubicaciones, nubes y trabajadores remotos, significa más extensión de red, más firewalls y VPN, y más direcciones IP públicas. Por ello, la superficie de ataque crece, incrementando la vulnerabilidad.
2. Compromiso: ya sea que se implementen como dispositivos virtuales o de hardware, los firewalls carecen del rendimiento necesario para inspeccionar el tráfico cifrado a escala. Dado que el 95 % del tráfico web actual está cifrado, eso significa que las organizaciones no pueden ver la mayoría de las ciberamenazas que les atacan, porque la mayoría se ocultan ahora en el tráfico TLS/SSL.
3. Movimiento lateral de amenazas: una vez que los atacantes violan el perímetro, pueden moverse lateralmente a través de la red y acceder a los recursos conectados. Aunque la segmentación de la red mediante firewalls adicionales suele ser una solución sugerida, solo sirve para aumentar el riesgo, la complejidad y el costo, al tiempo que no aborda el problema subyacente: la propia arquitectura basada en firewalls y perímetros.
4. Pérdida de datos: la incapacidad de los firewalls para inspeccionar el tráfico cifrado permite que datos confidenciales salgan de la red sin ser detectados. Además, las herramientas tradicionales no están bien equipadas para proteger las rutas de fuga de datos modernas, como el intercambio de archivos dentro de aplicaciones SaaS.

Cómo una arquitectura Zero Trust transforma la seguridad 

Zero Trust es fundamentalmente diferente de las arquitecturas tradicionales. En lugar de proteger las redes, protege el acceso directamente a los recursos de TI. En lugar de gobernar el acceso en función de la identidad (que puede ser robada), rige el acceso en función del contexto y el riesgo. Una nube creada a medida ofrece la arquitectura como un servicio y en el perímetro, actuando como una centralita inteligente que permite conexiones seguras e individuales entre usuarios, dispositivos, cargas de trabajo, sucursales y aplicaciones, independientemente de su ubicación. En otras palabras, Zero Trust desvincula la seguridad y la conectividad de la red. Con ella, las organizaciones pueden utilizar Internet de manera eficaz como su red corporativa.

Los principios Zero Trust

1. Verificar la identidad: cada solicitud de acceso comienza con la autenticación de la identidad del usuario u otra entidad que intenta acceder.
2. Determinar el destino: la plataforma Zero Trust identifica el destino que se solicita y garantiza que sea legítimo y seguro.
3. Evaluar el riesgo: la IA/ML evalúa el contexto del intento de acceso para comprender el riesgo, teniendo en cuenta el comportamiento del usuario, la postura del dispositivo, la ubicación y muchas otras variables.
4. Hacer cumplir la política: la política se aplica en tiempo real por sesión, otorgando, denegando o proporcionando un nivel intermedio de acceso en función del riesgo para garantizar un acceso con privilegios mínimos.

Las cuatro fortalezas de Zero Trust

1. Minimiza la superficie de ataque: al ocultar las aplicaciones detrás de una nube Zero Trust, elimina la necesidad de direcciones IP públicas y evita las conexiones entrantes. Las aplicaciones son invisibles para Internet, lo que reduce la superficie de ataque.
2. Detiene el compromiso: Zero Trust aprovecha una nube de seguridad de alto rendimiento para delegar e inspeccionar todo el tráfico (incluido el cifrado) a escala. Las políticas en tiempo real bloquean las amenazas antes de que lleguen a los usuarios o las aplicaciones.
3. Evita el movimiento lateral: Zero Trust conecta a los usuarios directamente con las aplicaciones, no con la red. Esta segmentación granular garantiza que los atacantes no puedan moverse lateralmente entre los recursos, conteniendo eficazmente las violaciones.
4. Bloquea la pérdida de datos: la arquitectura Zero Trust protege la información confidencial en todos los posibles canales de fuga de datos, ya sea en movimiento hacia la web (incluso a través de tráfico cifrado), en reposo en la nube o en uso en puntos finales.

Zero Trust en acción: cómo asegurar la conectividad entre cualquier dispositivo 

Una de las fortalezas que definen Zero Trust es su capacidad de proteger la conectividad entre cualquier sistema. Esto significa que puede proteger a cualquiera de las entidades que necesitan acceso a sus recursos de TI, incluidos:

• Fuerza de trabajo: los usuarios pueden acceder de manera segura a la web, aplicaciones SaaS y aplicaciones privadas sin necesidad de acceso a la red
• Nubes: Zero Trust asegura las comunicaciones para cargas de trabajo en entornos de nube pública, privada e híbrida, y protege los datos en reposo en sus nubes y aplicaciones SaaS.
• Dispositivos IoT/OT: La Zero Trust garantiza una conectividad segura para los sistemas IoT y de tecnología operativa (OT), protegiendo estos activos críticos de los ciberataques.
• Socios B2B: terceros, como socios de canal, obtienen acceso seguro directamente a aplicaciones específicas, sin necesidad de VPN ni acceso a nivel de red.

Consideraciones al evaluar plataformas Zero Trust

Adoptar una plataforma Zero Trust es una decisión fundamental para las organizaciones que buscan modernizar su infraestructura de seguridad. Con tantas opciones disponibles en el mercado, es esencial evaluar las posibles soluciones en función de un conjunto de criterios clave para garantizar que la plataforma se alinee con las necesidades únicas de su organización. A continuación se presentan algunas consideraciones fundamentales para guiar su proceso de evaluación:

Cobertura integral en todas las entidades

Una verdadera plataforma Zero Trust debe asegurar el acceso de todas las entidades críticas de una organización, incluidos los trabajadores, las aplicaciones y las nubes, los sistemas IoT/OT y los socios. Garantizar una protección unificada en todos estos vectores es fundamental para mantener una postura de seguridad uniforme y sólida sin dejar brechas que los atacantes puedan explotar.

Estabilidad financiera del proveedor

La salud financiera y la longevidad del proveedor de la plataforma no se pueden pasar por alto. Una plataforma Zero Trust suele ser un servicio de misión crítica, por lo que las organizaciones deben asegurarse de que el proveedor elegido cuente con la estabilidad financiera y los recursos necesarios para invertir continuamente en innovación, evitando al mismo tiempo cualquier interrupción en la prestación del servicio.

Historial comprobado con los clientes

Una plataforma Zero Trust debe contar con un historial de éxito en una amplia gama de industrias y clientes. Busque casos prácticos documentados, avales o testimonios que demuestren la eficacia de la plataforma para asegurar a organizaciones de tamaño, complejidad o sector similares al suyo. La validación a partir de implementaciones en el mundo real ayuda a infundir confianza en sus capacidades.

Escalabilidad y rendimiento a nivel global

En la actualidad, las organizaciones operan en todo el mundo, por lo que necesitan una plataforma Zero Trust que pueda escalar sin problemas a la vez que ofrece un rendimiento uniforme. La plataforma debe disponer de la infraestructura necesaria para dar soporte a usuarios, aplicaciones y cargas de trabajo en múltiples ubicaciones geográficas con baja latencia, alta disponibilidad y conectividad confiable.

Resiliencia para afrontar lo inesperado

En una era de amenazas en constante evolución, la resiliencia no es negociable. La plataforma debe ser capaz de manejar contingencias inesperadas, ya sea un aumento en la actividad de los usuarios, desafíos emergentes de ciberseguridad o fallas técnicas imprevistas. Una solución Zero Trust resiliente garantiza un servicio ininterrumpido, incluso en las condiciones más adversas.

Integración de IA para mayor seguridad y eficiencia

Por último, a medida que las organizaciones evalúan las plataformas Zero Trust, es importante considerar cómo se integra la inteligencia artificial (IA) en la solución. Las plataformas Zero Trust modernas, como Zscaler Zero Trust Exchange, utilizan inteligencia artificial y aprendizaje automático (ML) para optimizar la aplicación de políticas, detectar anomalías y agilizar los procesos de toma de decisiones. La IA permite a las organizaciones responder a las amenazas con rapidez y precisión, sentando las bases para futuros avances en ciberseguridad.

Evaluar las plataformas Zero Trust con estas consideraciones ayudará a garantizar que su organización seleccione una solución que sea segura, confiable y adaptable. A medida que avanzamos, el papel de la IA en la mejora de Zero Trust se convertirá en un motor invaluable de innovación y eficiencia.

El papel de la IA en Zero Trust 

La arquitectura Zero Trust es la base ideal para implementar la seguridad basada en la IA. Esto se debe a que el enorme volumen de datos que procesa una plataforma Zero Trust a medida que gestiona el tráfico de clientes es ideal para capacitar a los LLM. A su vez, la IA mejora las capacidades de Zero Trust al dotarlo de mayor inteligencia, eficacia y automatización. Zscaler, por ejemplo, integra IA/ML en todo su Zero Trust Exchange para mejorar innumerables capacidades como:

• Detección y bloqueo de amenazas: los modelos de aprendizaje automático ayudan a identificar y mitigar amenazas sofisticadas, como ataques de día cero, en tiempo real.
• Automatización de la segmentación: la segmentación de aplicaciones impulsada por la IA garantiza que las aplicaciones sean accesibles solo para usuarios autorizados, lo que reduce la superficie de ataque interna y la posibilidad de error humano asociado con la segmentación manual.
• Detección de datos confidenciales: AI Auto Data Discovery encuentra y clasifica automáticamente información confidencial en todos los posibles canales de fuga de datos.
• Mejora de la productividad del usuario: el análisis de causa raíz impulsado por la IA identifica automáticamente los problemas subyacentes que provocan problemas en la experiencia del usuario, lo que mejora la productividad de la fuerza de trabajo y el servicio de asistencia técnica.

Más allá de la seguridad: los beneficios empresariales de Zero Trust 

Además de reducir los ciberriesgos, Zero Trust ofrece varios beneficios operativos y financieros:

• Complejidad reducida: al reemplazar firewalls, VPN y varias soluciones puntuales con una plataforma unificada y moderna, las organizaciones pueden simplificar sus entornos de TI.
• Ahorro de costos: eliminar herramientas heredadas y al mismo tiempo simplificar la seguridad y la red reduce los gastos generales de administración y disminuye el costo total de propiedad.
• Experiencia de usuario mejorada: la conectividad directa a la aplicación elimina la latencia asociada con el tráfico de retorno, lo que garantiza un acceso rápido y sin inconvenientes para los usuarios y mejora la productividad.
• Agilidad empresarial: Zero Trust es una arquitectura flexible que permite a las organizaciones proteger las aplicaciones en la nube y el trabajo híbrido, lo que les permite adaptarse de manera rápida y segura a las necesidades comerciales cambiantes.

Conclusión 

El rápido ritmo de la transformación digital exige una arquitectura de seguridad que pueda seguir el ritmo. Los enfoques tradicionales basados en perímetros, con sus debilidades inherentes, ya no son suficientes. La arquitectura Zero Trust, con su enfoque en la conectividad segura entre cualquier dispositivo y en políticas dinámicas basadas en el contexto, ofrece una solución moderna a los desafíos actuales de ciberseguridad. 

Al integrar IA en Zero Trust, las organizaciones pueden mejorar aún más su postura de seguridad, agilizar las operaciones y mejorar las experiencias de los usuarios. Con Zscaler Zero Trust Exchange, las empresas pueden adoptar con confianza la transformación digital y, al mismo tiempo, proteger a sus usuarios, datos y aplicaciones, junto con todo lo demás en su ecosistema de TI. 

Para las organizaciones dispuestas a dar el siguiente paso, el camino hacia Zero Trust comienza con la comprensión de sus principios, puntos fuertes y estrategias de aplicación. Asegure su futuro hoy con Zscaler.

Comience su viaje hacia Zero Trust – Más información