Cómo trazar el camino hacia zero trust

La transformación digital es un viaje, y al igual que toda aventura, un poco de preparación puede ayudar mucho a garantizar un resultado exitoso. Prepararse para cualquier aventura debe incluir determinar a dónde quiere ir, el mejor camino para llegar allí y reunir o adquirir los equipos, servicios y suministros necesarios para el camino. 

Un recorrido de transformación de TI generalmente comienza con la transformación de aplicaciones, donde las organizaciones trasladan las aplicaciones fuera del centro de datos y hacia la nube. La transformación de la red es necesaria para que los usuarios puedan tener acceso a las aplicaciones, que ahora están muy dispersas, pasando de una arquitectura de red radial a un método de conectividad directa. Esto, a su vez, impulsa la necesidad de una transformación de la seguridad, en la que las organizaciones pasen de un enfoque de seguridad castle-and-moat a una arquitectura zero trust. Aunque el orden mencionado anteriormente es típico, no es ciertamente la única manera. Puede comenzar su viaje hacia zero trust dondequiera que se sienta más cómodo o preparado. Si empezar con la transformación de la seguridad antes de la transformación de las aplicaciones tiene más sentido para su organización, puede empezar por ahí.

Evaluar sus equipos

Las arquitecturas de seguridad castle-and-moat, que aprovechaban los firewalls, las VPNs y las pilas centralizadas de aplicaciones de seguridad, funcionaban bien cuando las aplicaciones residían en el centro de datos y los usuarios trabajaban desde la oficina. Eran los equipos adecuados para el trabajo de ese momento. Pero en la actualidad, su personal trabaja desde todas partes, y sus aplicaciones han salido del centro de datos hacia las nubes públicas, SaaS e Internet. Esos firewalls, VPN y pilas de hardware de seguridad heredados han cumplido su vida útil, pero no están diseñados para satisfacer las necesidades de las empresas extremadamente distribuidas de hoy en día. 

Para acceder a las aplicaciones, las VPNs y los firewalls deben conectar a los usuarios a la red, extendiendo esencialmente la red a todos sus usuarios, dispositivos y ubicaciones remotas. Esto expone a su organización a un riesgo mayor ya que abre más oportunidades a los atacantes para atacar a los usuarios, dispositivos y cargas de trabajo, y moverse lateralmente para alcanzar activos de alto valor, extraer datos confidenciales y causar daños en su empresa. Proteger a sus usuarios, datos y aplicaciones extremadamente distribuidos requiere un nuevo modelo.

Establecer la mejor ruta

Cuando se trata de la transformación de la seguridad, los líderes innovadores recurren a zero trust. A diferencia de los métodos de seguridad basados en el perímetro, que dependen de los firewalls y en la confianza implícita y proporcionan un amplio acceso una vez que se ha establecido la confianza, zero trust es un enfoque holístico de la seguridad basado en el principio del acceso con privilegios mínimos y en la idea de que ningún usuario, dispositivo o carga de trabajo debe ser inherentemente confiable. Comienza con la suposición de que todo es hostil, y otorga acceso solo después de que se verifiquen la identidad y el contexto y se verifique el cumplimiento de políticas.

Conseguir una verdadera zero trust requiere algo más que trasladar los firewalls a la nube. Requiere una nueva arquitectura, nacida en la nube, y suministrada de manera nativa a través de la nube, para conectar de manera segura a los usuarios, dispositivos y cargas de trabajo con las aplicaciones sin necesidad de conectarse a la red. Las organizaciones con visión de futuro están recurriendo a Zscaler Zero Trust Exchange para guiarlas en su camino hacia el verdadero zero trust. 

Iniciar su viaje de zero trust: 7 elementos esenciales a tener en cuenta antes de comenzar

Como en todo viaje importante, es útil dividir el viaje hacia zero trust en varias etapas que definan claramente el camino, sin perder de vista el destino final. El modelo único de Zero Trust Exchange utiliza siete elementos esenciales para evaluar de manera dinámica y continua los riesgos y las comunicaciones seguras con los agentes en cualquier red, desde cualquier ubicación. 

Utilizando estos siete elementos, su organización puede implementar una verdadera zero trust para eliminar su superficie de ataque, prevenir el movimiento lateral de las amenazas y proteger su empresa de verse afectada y de la pérdida de datos. 

Los siete elementos se pueden agrupar en tres secciones:

• Verificación de la identidad y el contexto
• Control del contenido y el acceso
• Haga cumplir la política

Veámoslo más detenidamente. 

Verificación de la identidad y el contexto

La aventura comienza cuando se solicita una conexión. La arquitectura zero trust comenzará cortando la conexión y verificando la identidad y el contexto. Examina el quién, el qué y el dónde de la conexión solicitada. 

1. ¿Quién se está conectando? - El primer elemento esencial es verificar la identidad del usuario/dispositivo, del dispositivo IoT/OT o de la carga de trabajo. Esto se logra mediante integraciones con proveedores de identidades (IdP) externos como parte de un proveedor de administración de acceso a la identidad empresarial (IAM).   

2. ¿Cuál es el contexto de acceso? - A continuación, la solución debe validar el contexto del solicitante de la conexión examinando detalles como la función, la responsabilidad, la hora del día, la ubicación, el tipo de dispositivo y las circunstancias de la solicitud. 

3. ¿Hacia dónde va la conexión? – Zero Trust Exchange confirma que el propietario de la identidad tiene los derechos y cumple con el contexto necesario para tener acceso a la aplicación o recurso en función de las reglas de segmentación de entidad a recurso: la piedra angular de zero trust.

Control del contenido y el acceso

Después de verificar la identidad y el contexto, la arquitectura zero trust evalúa el riesgo asociado con la conexión solicitada e inspecciona el tráfico para protegerlo contra las ciberamenazas y la pérdida de datos confidenciales.

4. Evaluar el riesgo - Zero Trust Exchange aprovecha la IA para calcular dinámicamente una puntuación de riesgo. Los factores que incluyen la postura del dispositivo, las amenazas, el destino, el comportamiento y la política se evalúan continuamente durante la vida de la conexión para garantizar que la puntuación de riesgo se mantenga actualizada.

5. Prevenir el compromiso - Para identificar y bloquear el contenido malicioso y prevenir el compromiso, Zero Trust Exchange descifra el tráfico en línea y aprovecha la inspección profunda del contenido del tráfico entre entidades y recursos a escala.  

6. Prevenir la pérdida de datos - El tráfico saliente se descifra e inspecciona para identificar los datos confidenciales y prevenir su exfiltración utilizando controles en línea o aislando el acceso dentro de un entorno controlado.

Haga cumplir la política

Antes de llegar al final del recorrido y, en última instancia, establecer una conexión con la aplicación interna o externa solicitada, se debe implementar un elemento final: el cumplimiento de la política. 

7. Cumplimiento de la política - Utilizando los resultados de los elementos anteriores, este elemento determina la acción a tomar con respecto a la conexión solicitada. El objetivo final no es una simple decisión de autorizar el paso o no. En su lugar, Zero trust Exchange utiliza la política de manera constante y uniforme por sesión, independientemente de la ubicación o el punto de cumplimiento, para proporcionar controles granulares que, en última instancia, resulten en una decisión condicional ya sea de permitir o de bloquear.

Una vez que se alcanza una decisión de permitir el acceso, Zero trust Exchange establece una conexión segura a Internet, a la aplicación SaaS o a la aplicación interna.

Alcanzar su destino de manera segura

La trayectoria hacia zero trust puede ser una tarea peligrosa si está intentando hacerlo con equipos heredados que no están diseñados para el recorrido que está emprendiendo actualmente. Aunque encontrar una solución que permita zero trust real puede parecer desalentador, empiece por donde tenga más sentido para su organización y utilice los siete elementos descritos anteriormente como guía. Solo una verdadera plataforma zero trust nativa de la nube, como The Zscaler Zero Trust Exchange, puede utilizar de manera única estos siete elementos para eliminar su superficie de ataque, evitar el movimiento lateral de las amenazas y prevenir las ciberamenazas y la pérdida de datos, al tiempo que conecta de manera segura a los usuarios, los dispositivos y las cargas de trabajo con las aplicaciones, en cualquier red y desde cualquier lugar. 

Para obtener más información sobre cada uno de los siete elementos y comprender las tecnologías, los requisitos y las consideraciones arquitectónicas, descargue nuestro eBook gratuito, The Seven Elements of Highly Successful Zero Trust Architecture" (Los siete elementos de una arquitectura Zero Trust de gran éxito) y visite nuestra página web Seven Elements of Zero Trust (Los siete elementos de Zero Trust) hoy mismo.