Zpedia 

/ ¿Qué es una arquitectura de confianza cero?

¿Qué es una arquitectura de confianza cero?

La arquitectura de confianza cero es una arquitectura de seguridad diseñada para reducir la superficie de ataque de una red, prevenir el movimiento lateral de las amenazas y reducir el riesgo de una filtración de datos basada en el modelo de seguridad de confianza cero. Dicho modelo deja a un lado el "perímetro de red" tradicional (dentro del cual todos los dispositivos y usuarios son de confianza y tienen amplios permisos) a favor de los controles de acceso de privilegios mínimos, la microsegmentación granular y la autenticación multifactor (MFA).

7 elementos de la arquitectura de confianza cero

Arquitectura de confianza cero y acceso a la red de confianza cero: ¿cuál es la diferencia?

Antes de examinar con más detalle las distintas arquitecturas de confianza cero, veamos la diferencia entre estos dos términos interrelacionados:

  • Una arquitectura de confianza cero (ZTA) es un diseño que se basa en los principios de la confianza cero, como una gestión de acceso hermético, una autenticación estricta de dispositivos y usuarios, y una fuerte segmentacióo, Es distinta de una arquitectura de “castillo y foso”, que confía en todo lo que hay dentro de forma predeterminada.
  • El acceso a la red de confianza cero (ZTNA) es un caso de uso de la confianza cero que ofrece a los usuarios acceso seguro a aplicaciones y datos cuando los usuarios, las aplicaciones o los datos pueden no estar dentro de un perímetro de seguridad tradicional, lo cual se ha vuelto común en la era de la nube y el trabajo híbrido.

Si combinamos ambos conceptos, una arquitectura de confianza cero proporciona la base que las organizaciones necesitan para ofrecer ZTNA y hacer que sus sistemas, servicios, API, datos y procesos sean accesibles desde cualquier lugar, en cualquier momento y desde cualquier dispositivo.

Comprender la necesidad de una arquitectura de confianza cero

Durante décadas, las organizaciones han estado reconstruyendo y reconfigurando redes radiales complejas y de área amplia. En este tipo de entornos, los usuarios y las sucursales se conectan al centro de datos mediante conexiones privadas. Para acceder a las aplicaciones que necesitan, los usuarios deben estar en la red. Las redes radiales están protegidas con pilas de dispositivos como VPN y cortafuegos de “próxima generación” utilizando una arquitectura conocida como seguridad de red de castillo y foso.

Este enfoque resultó útil para las organizaciones cuando sus aplicaciones residían en sus centros de datos, pero ahora, con la mayor popularidad de los servicios en la nube y las crecientes preocupaciones sobre la seguridad de los datos, las está frenando.

Hoy en día, la transformación digital se está acelerando a medida que las organizaciones adoptan la nube, la movilidad, la inteligencia artificial, el Internet de las cosas (IoT) y la tecnología operativa (OT) para volverse más ágiles y competitivas. Los usuarios están en todas partes y los datos de las organizaciones ya no se encuentran exclusivamente en sus centros de datos. Para colaborar y mantener la productividad, los usuarios quieren acceder directamente a las aplicaciones desde cualquier lugar y en cualquier momento.

Enrutar el tráfico de vuelta al centro de datos para llegar de forma segura a las aplicaciones en la nube no tiene sentido. Es por ello que las organizaciones se están alejando del modelo de red radial y optando por uno que ofrece conectividad directa a la nube: una arquitectura de confianza cero.

Este vídeo ofrece un resumen conciso de la transformación digital segura.

Experimente una transformación digital segura

¿Cuáles son los principios básicos de la confianza cero?

La confianza cero no es solo la suma de la identidad del usuario, la segmentación y el acceso seguro. Es una estrategia de seguridad sobre la cual construir un ecosistema de seguridad completo. Sus elementos centrales son tres principios:

  1. Terminar cada conexión: a diferencia de las técnicas de inspección de paso tan comunes en las tecnologías heredadas (por ejemplo, los cortafuegos), una arquitectura de confianza cero eficaz finaliza cada conexión para permitir que una arquitectura de proxy en línea inspeccione todo el tráfico, incluido el tráfico cifrado, en tiempo real, antes de que llegue a su destino.
  2. Proteger los datos mediante políticas granulares basadas en el contexto: las políticas de confianza cero verifican las solicitudes de acceso y los derechos basándose en el contexto, que incluye la identidad del usuario, el dispositivo, la ubicación, el tipo de contenido y la aplicación que se solicita. Las políticas son adaptables, por lo que se valida y se vigila que los privilegios de acceso de los usuarios se evalúan continuamente a medida que cambia el contexto.
  3. Reducir el riesgo eliminando la superficie de ataque: con un enfoque de confianza cero, los usuarios se conectan directamente a las aplicaciones y los recursos, nunca a las redes (véase ZTNA). Las conexiones directas eliminan el riesgo de movimiento lateral y evitan que los dispositivos comprometidos infecten otros recursos. Además, los usuarios y las aplicaciones son invisibles en Internet, por lo que no se pueden descubrir ni atacar.

¿Cuáles son los cinco pilares de la arquitectura de confianza cero?

Los cinco “pilares” de la confianza cero los estableció por primera vez la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) para dar una guía de las capacidades clave de confianza cero que las agencias gubernamentales (y otras organizaciones) deberían implementar en sus estrategias de confianza cero.

Los cinco pilares son los siguientes:

  • Identidad: pasar a un enfoque de acceso con privilegios mínimos para la gestión de identidades.
  • Dispositivos: garantizar la integridad de los dispositivos utilizados para acceder a servicios y datos.
  • Redes: alinear la segmentación y las protecciones de la red de acuerdo con las necesidades de los flujos de trabajo de sus aplicaciones en lugar de permitir que haya confianza implícita, que es inherente a la segmentación de red tradicional.
  • Aplicaciones y cargas de trabajo: integración más estrecha de las protecciones con los flujos de trabajo de las aplicaciones y brindar acceso a las aplicaciones según la identidad, el cumplimiento del dispositivo y otros atributos.
  • Datos: pasar a un enfoque de ciberseguridad centrado en los datos empezando por la identificación, categorización e inventario de los activos de datos.

Cada capacidad puede progresar a su propio ritmo y puede estar más avanzada que otras y, en algún momento, se necesita coordinación entre estos pilares (haciendo hincapié en la interoperabilidad y las dependencias) para garantizar la compatibilidad. Esto permite una evolución gradual hacia la confianza cero y que se distribuyan los costes y esfuerzos a lo largo del tiempo.

¿Cómo funciona la arquitectura de confianza cero?

La confianza cero se basa en la sencilla idea de que es mejor verificar antes que confiar y supone que todo en la red es hostil o está en peligro. El acceso solo se concede después de que se hayan verificado la identidad del usuario, la postura del dispositivo y el contexto empresarial, y se hayan aplicado comprobaciones de políticas. Todo el tráfico debe registrarse e inspeccionarse, lo que requiere un grado de visibilidad que los controles de seguridad tradicionales no pueden lograr.

Un verdadero enfoque de confianza cero se aplica mejor con una arquitectura basada en proxy que conecta a los usuarios directamente a las aplicaciones en lugar de a la red, lo que permite aplicar más controles antes de permitir o bloquear las conexiones.

Antes de establecer una conexión, una arquitectura de confianza cero somete cada conexión a un proceso de tres pasos:

  1. Verificar la identidad y el contexto. Una vez que el usuario/dispositivo, la carga de trabajo o el dispositivo IoT/OT solicita una conexión, independientemente de la red subyacente, la arquitectura de confianza cero primero finaliza la conexión y verifica la identidad y el contexto mediante la comprensión del quién, qué y dónde de la solicitud.
  2. Controlar el riesgo.Una vez que se verifican la identidad y el contexto de la entidad solicitante y se aplican reglas de segmentación, la arquitectura de confianza cero evalúa el riesgo asociado con la solicitud de conexión e inspecciona el tráfico en busca de ciberamenazas y datos confidenciales.
  3. Aplicar la política. Finalmente, se calcula una puntuación de riesgo para el usuario, la carga de trabajo o el dispositivo para determinar si está permitido o restringido. Si la entidad está permitida, la arquitectura de confianza cero establece una conexión segura a Internet, la aplicación SaaS o el entorno IaaS/PaaS.

Siete componentes de una arquitectura Zero Trust de éxito

Obtenga un resumen detallado de la confianza cero de Nathan Howe, vicepresidente de tecnologías emergentes de Zscaler.

Ventajas de la arquitectura de confianza cero

Una arquitectura de confianza cero proporciona el acceso de usuario preciso y contextual que necesita para operar a la velocidad que requieren los negocios modernos mientras protege a sus usuarios y datos contra el malware y otros ciberataques. Como base de ZTNA, una arquitectura de confianza cero efectiva le ayuda a:

  • Garantizar un acceso seguro y rápido a los datos y aplicaciones para los trabajadores remotos, incluidos los empleados y socios, dondequiera que estén, lo que mejora la experiencia del usuario.
  • Proporcionar un acceso remoto fiable, y gestionar y aplicar políticas de seguridad de manera más fácil y uniforme que con tecnología heredada como la VPN.
  • Proteger datos confidenciales y aplicaciones (locales o en un entorno en la nube), en tránsito o en reposo con controles de seguridad herméticos, incluido el cifrado, la autenticación o las comprobaciones de estado, entre otros
  • Detener las amenazas internas dejando de conceder confianza implícita por defecto a cualquier usuario o dispositivo que esté dentro del perímetro de su red.
  • Restringir el movimiento lateral con políticas de acceso granular hasta el nivel de los recursos, lo que reduce la probabilidad de que se produzcan infracciones
  • Detectar y corregir infracciones, y responder a estas, de forma rápida y eficaz, para mitigar su impacto.
  • Obtener una visibilidad más profunda del qué, cuándo, cómo y dónde de las actividades de los usuarios y las entidades con una supervisión detallada y un registro de las sesiones y las acciones realizadas.
  • Evaluar su riesgo en tiempo real con registros de autenticación detallados, comprobaciones del estado de los dispositivos y los recursos, análisis del comportamiento de los usuarios y las entidades, etc

(Adaptado de “Implementing a Zero Trust Architecture”, una publicación especial del Instituto Nacional de Estándares y Tecnología [NIST])

¿Por qué la arquitectura de confianza cero supera a los modelos de seguridad tradicionales?

La arquitectura de confianza cero supera a los modelos de seguridad tradicionales debido a su enfoque proactivo, adaptable y centrado en los datos. Los modelos tradicionales se basan en defensas perimetrales, mientras que la confianza cero es consciente de que las amenazas pueden provenir tanto del interior como del exterior de la red, y valida continuamente la identidad y la postura de seguridad de los usuarios y dispositivos.

Al aplicar controles granulares de acceso con privilegios mínimos, la confianza cero otorga a los usuarios y dispositivos solo el acceso mínimo necesario. La supervisión continua, la autenticación multifactor (MFA) y el análisis de comportamiento detectan amenazas en tiempo real, antes de que puedan convertirse en ataques exitosos. Su adaptabilidad hace que la confianza cero sea más ágil, lo que a su vez la hace más adecuada que los modelos tradicionales para proteger las superficies de ataque masivas y las nuevas vulnerabilidades inherentes al trabajo remoto y al mundo que gira en torno a la nube de la actualidad.

Fundamentalmente, la confianza cero se centra en proteger los datos, no la red, y en proteger los datos dondequiera que estén o se muevan: en la red, en la nube o en dispositivos remotos.

Arquitectura One True Zero Trust: Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™ es una plataforma nativa en la nube integrada basada en el principio de acceso con privilegios mínimos y la idea de que ningún usuario, carga de trabajo o dispositivo es intrínsecamente confiable. En su lugar, la plataforma concede acceso basado en la identidad y el contexto (como el tipo de dispositivo, la ubicación, la aplicación y el contenido) para intermediar una conexión segura entre un usuario, carga de trabajo o dispositivo a través de cualquier red, desde cualquier lugar, basándose en una política empresarial.

Zero Trust Exchange ayuda a su organización a lo siguiente:

  • Eliminar la superficie de ataque de Internet y el movimiento lateral de las amenazas. El tráfico de los usuarios nunca llega a su red. En su lugar, los usuarios se conectan directamente a las aplicaciones a través de túneles cifrados uno a uno para evitar la detección y los ataques dirigidos.
  • Mejorar la experiencia del usuario. A diferencia de las arquitecturas de red estáticas y heredadas, con una "puerta principal" que traslada los datos a los centros de procesamiento, Zero Trust Exchange gestiona y optimiza de forma inteligente las conexiones directas a cualquier nube o destino de Internet, y aplica políticas y protecciones adaptables en línea en el perímetro, lo más cerca posible del usuario.
  • Se integra sin problemas con los principales proveedores de nube, identidad, protección de puntos finales y SecOps. Nuestra plataforma global combina funciones de seguridad básicas (por ejemplo, SWG, DLP, CASB, cortafuegos, sandboxing) con tecnologías emergentes como el aislamiento del navegador, la supervisión de la experiencia digital y ZTNA, para obtener una pila de seguridad en la nube completa.
  • Reducir los costes y la complejidad. Zero Trust Exchange es fácil de implementar y administrar, sin necesidad de VPN o políticas complejas de cortafuegos perimetral de red.
  • Ofrecer una seguridad consistente a escala. Zscaler opera la mayor nube de seguridad del mundo, distribuida en más de 150 centros de datos en todo el mundo y que procesa más de 240 000 millones de transacciones en periodos de máxima actividad, y evita 8400 millones de amenazas al día.

Image

Zero Trust Exchange conecta y protege usuarios, cargas de trabajo y dispositivos a través de cualquier red desde cualquier ubicación.

Recursos sugeridos

Siete elementos de una arquitectura de confianza cero de gran éxito
Obtenga el libro electrónico
Por qué los cortafuegos y las VPN no son adecuados para la confianza cero
Ver a la carta
Un breve historial de la confianza cero: los principales hitos a la hora de replantear la seguridad empresarial
Obtenga la documentación técnica
Informe sobre la adopción de la confianza cero | Cybersecurity Insiders
Obtenga el informe completo
¿Qué es la confianza cero?
Más información
Guía de mercado para el acceso a la red de confianza cero de Gartner
Obtenga el informe completo

01 / 04

Preguntas frecuentes