Seguimos sabiendo de empresas que descubren que su seguridad ha sido gravemente comprometida debido a una dependencia excesiva del perímetro de red "seguro". Una vez que se viola este perímetro externo, los sistemas internos demuestran estar mal protegidos y los atacantes pueden implementar rápida y fácilmente herramientas de extracción de datos automatizadas y ataques de ransomware que, con demasiada frecuencia, permanecen sin ser detectados durante largos períodos. Esto nos lleva a recomendar la arquitectura de confianza cero (ZTA) como un estándar sensato.
ZTA es un cambio de paradigma en la arquitectura y la estrategia de seguridad. Se basa en la suposición de que un perímetro de red ya no es representativo de un límite seguro y que no se debe otorgar confianza implícita a los usuarios o servicios basándose únicamente en su ubicación física o de red. La cantidad de recursos, herramientas y plataformas disponibles para implementar aspectos de ZTA sigue creciendo e incluye la imposición de políticas como código basadas en los principios de privilegio mínimo y lo más granular posible y en el monitoreo continuo y la mitigación automatizada de amenazas; usando una malla de servicios para imponer el control de seguridad entre aplicación-servicio y servicio-servicio; implementando atestación binaria para verificar el origen de los binarios; e incluyendo enclaves seguros además del cifrado tradicional para hacer cumplir los tres pilares de la seguridad de los datos: en tránsito, en reposo y en memoria. Para más información, consulte la publicación NIST ZTA y el artículo de Google sobre BeyondProd.
Mientras que la infraestructura computacional y de datos sigue cambiando en las empresas (de aplicaciones monolíticas a microservicios, de lagos de datos centralizados a mallas de datos, de alojamiento en servidores propios a usar las nubes de varios proveedores, con una proliferación creciente de dispositivos conectados), el enfoque para asegurar los activos empresariales sigue sin mayores cambios, con gran dependencia y confianza en el perímetro de la red: las organizaciones siguen haciendo grandes inversiones para asegurar sus activos fortaleciendo las perímetros virtuales de sus empresas, utilizando enlaces privados y configuraciones de cortafuegos, y reemplazando procesos de seguridad estáticos y engorrosos que ya no aplican en la realidad de hoy. Esta tendencia nos obliga a destacar nuevamente la arquitectura de confianza cero (ZTA).
ZTA representa un cambio para los paradigmas de arquitectura y en las estrategias de seguridad. Se basa en el supuesto de que el perímetro de una red ya no representa un límite seguro y no se debe otorgar confianza implícita a los usuarios o servicios basándose únicamente en su ubicación física o de red. La cantidad de recursos, herramientas y plataformas disponibles para implementar aspectos de ZTA sigue creciendo e incluye: hacer cumplir políticas como código basadas en los principios de menor privilegio y de la mayor granularidad posible además del monitoreo continuo y la mitigación automatizada de amenazas; usar mallas de servicios para hacer cumplir los controles de seguridad de aplicación a servicio y de servicio a servicio; implementar certificación de los archivos binarios para verificar su origen; e incluir enclaves seguros además del cifrado tradicional para hacer cumplir los tres pilares de la seguridad de los datos: en tránsito, en reposo y en la memoria. Para obtener más información de este tema, consulta la publicación sobre ZTA del NIST y el artículo de Google sobre BeyondProd.
La realidad tecnológica actual es bastante más compleja para las organizaciones con activos (datos, funciones, infraestructura y usuarios) repartidos a través de varios límites de seguridad como servidores locales, múltiples proveedores de nube y una variedad de servicios SaaS. Esto requiere un cambio de paradigma en la planificación de seguridad a nivel empresarial y arquitectura de sistemas, pasando de un manejo estático de las políticas de seguridad, basadas en zonas de confianza y configuraciones de red, a la aplicación dinámica de políticas de seguridad detalladas basadas en privilegios de acceso temporal.
La Arquitectura de Confianza Cero (zero trust architecture, ZTA) es una estrategia y un proceso de una organización para implementar principios de seguridad de confianza cero para todos sus activos, como dispositivos, infraestructura, servicios, datos y usuarios, ya que esto incluye la implementación de prácticas como asegurar todo tipo de acceso y comunicación sin importar el lugar de la red, aplicando políticas como código basadas en el menor privilegio y con la mayor granularidad posible, y el monitoreo continuo y la mitigación automatizada de amenazas. Nuestro Radar refleja muchas de las técnicas habilitadoras, tales como politicas de seguridad como código, sidecars para seguridad de endpoints, y BeyondCorp. Si estás en el proceso de la implementación de ZTA, revisa la publicación del NIST sobre ZTA para aprender más sobre principios, componentes de tecnologias habilitadoras y patrones de migración así como las publicaciones de Google sobre BeyondProd.