Integrar arquitecturas zero trust es una tendencia que gana fuerza año a año. En esencia, se trata de operar con una aproximación de desconfianza plena, como si todos los dispositivos que tratan de conectarse pudieran estar comprometidos. El objetivo es controlar los accesos a la red, a los servidores, a las aplicaciones y a los datos, y delimitar quién accede, a qué recursos, a través de qué dispositivo y desde dónde.
Actualmente coinciden dos circunstancias que refuerzan el discurso de los responsables de TI acerca de la necesidad de integrar estrategias zero trust en las redes de sus organizaciones para minimizar los riesgos de brechas de ciberseguridad.
Por un lado, la explosión del número de dispositivos de IoT que se conectan a una red. Esta nueva tipología de dispositivos requiere una atención especial, porque cualquiera de ellos podría ser utilizado como puerta de entrada para atacar el entorno corporativo. Por otra parte, la proliferación de los modelos de trabajo híbrido, que, en muchas organizaciones, permiten que un empleado se pueda conectar a las aplicaciones corporativas desde cualquier red y desde cualquier dispositivo (profesional o personal).
Si bien la inclinación a integrar arquitecturas zero trust es una tendencia cada vez más extendida, es preciso que las compañías se hagan las preguntas adecuadas y desde las perspectivas correctas. Solo de esa manera entenderán cuáles son los beneficios que les van a proporcionar, sobre todo cuando el objetivo no es proteger un único entorno laboral, sino un entramado de sedes repartidas de forma dispar a lo largo y ancho de un amplio territorio.
Zero trust puede controlar el acceso a la red corporativa, a los servidores, a las aplicaciones y a los datos
Las primeras preguntas podrían ser las siguientes:
– ¿Hasta qué punto están separadas las arquitecturas de seguridad y de red en mi organización?
– ¿Qué dificultades tengo para garantizar la seguridad de los dispositivos y los usuarios en el edge?
– ¿Realmente estamos preparados para que el 53% de los trabajadores siga trabajando en remoto?
Nivel de conocimiento
Para saber más y poder dar respuesta a estos interrogantes, encargamos un informe al instituto Ponemon. Para elaborarlo fueron encuestados 1826 profesionales de redes y seguridad de América del Norte, Latinoamérica, EMEA y Asia Pacífico. El estudio entró en detalle respecto a aspectos que consideramos clave para establecer una sólida estrategia, tanto de redes como de seguridad. Además, analizó el grado de conocimiento sobre las arquitecturas zero trust, el uso de soluciones de redes de área extendida definidas por software (SD-WAN, software-defined wide area network), y sobre las arquitecturas de acceso seguro en modo servicio para el edge (SASE, secure access service edge).
El 62% de las organizaciones familiarizadas con el modelo zero trust, solo un 45% son conocedoras de la arquitectura de seguridad SASE
El estudio también sondeó quién tiene un mayor peso en la implementación de soluciones SD-WAN diseñadas para combinarse con arquitecturas zero trust: ¿el equipo de redes o el de seguridad? El 46% de los encuestados señaló que es el equipo de redes quien debe gestionar la implementación de soluciones SD-WAN, con el apoyo del equipo de seguridad, frente al 37%, que considera al equipo de seguridad como el responsable de este tipo de implementación, asesorado por el equipo de redes.
Así las cosas, los datos del estudio parecen apuntalar varias ideas. No parece que todas las empresas tengan totalmente claro quién debe liderar el diseño, la integración y el despliegue de zero trust y de las tecnologías necesarias para implementar una estrategia de seguridad robusta. Por otro lado, todavía no se comprende muy bien ni lo que significa este tipo de aproximación a la seguridad ni los beneficios que proporciona a las organizaciones que lo adoptan.
Un poco de luz
Zero trust se construye sobre dos pilares: el primero, una aproximación de confianza cero en los usuarios; el segundo, la premisa de que tanto la red como el dispositivo o el conjunto del sistema podrían haber sido vulnerados. Partiendo de este supuesto, se basa en una arquitectura que se conforma a partir de cuatro elementos básicos: verificación del usuario, verificación del dispositivo, limitación del acceso mediante configuración de credenciales, y, por último, capacidad analítica de aprender y adaptarse.
Con la estrategia zero trust se actúa como si todos los sistemas pudieran estar comprometidos. De esta forma los usuarios carecen de privilegios ilimitados, ya que solo pueden consultar la información necesaria para el desempeño de sus tareas y nunca tienen acceso a toda la red.
Mediante la contextualización de la información, zero trust puede controlar los accesos a la red corporativa, a los servidores, a las aplicaciones y a los datos. Además, a través de la configuración de credenciales, permite delimitar quién accede a qué recursos, a través de qué dispositivo y desde dónde. El manejo de esta información contextual permite asociar toda una serie de atributos a ese perfil para una identificación rápida y automática.
De este modo, en un modelo que opera bajo arquitecturas de red zero trust, cuando un usuario se conecta de forma interna a la red desde su puesto de trabajo —o a distancia gracias a una VPN—, solo puede acceder a los recursos autorizados, y siempre después de haber sido correctamente identificado.
El perímetro desaparece
Las arquitecturas de red tradicionales asumen que los usuarios, una vez conectados a la red, pueden acceder a cualquier recurso sin tener en cuenta otros factores. Estas arquitecturas ponen el énfasis en lo que sería un perímetro tradicional de red, en el que los usuarios que están dentro de los edificios corporativos son confiables y, por tanto, tienen acceso, mientras que los procesos de validación y autenticación se aplican a los usuarios que intentan acceder de forma remota.
Puede haber atacantes tanto dentro de nuestra red como fuera de ella, deja de existir esa confianza predeterminada en los usuarios y en los dispositivos
Las prácticas tradicionales —segmentar la red de forma estática y aplicar las políticas dependiendo del segmento donde se conecta el usuario— ya no son efectivas. Zero trust se basa en aplicar perfiles de forma dinámica a los usuarios, de tal forma que las políticas de seguridad se muevan con el usuario y no dependan del switch o punto de acceso wifi concreto al que este se conecte.
El beneficio más importante para las empresas es que las políticas de seguridad ya no van a depender de cómo esté configurada la red. Esto aporta una enorme flexibilidad y agilidad a la hora de modificar o adaptar estas políticas, lo que posibilita la movilidad de los usuarios y favorece un mayor alineamiento de TI con el negocio.
Con zero trust se pueden proteger mucho mejor los recursos valiosos de las organizaciones, ya que, ante brechas de seguridad originadas por un teletrabajador o un dispositivo IoT, se reduce en gran medida el potencial impacto negativo para la organización.
