En una época más sencilla, proteger la infraestructura organizacional era relativamente fácil: La mayoría, si no todas, las aplicações, servicios y recursos necesarios para que un usuario (normalmente un empleado) sea productivo estaban disponibles en la red. Con las credenciales correctas, generalmente un nombre de usuario y una contraseña, los usuarios eran considerados autorizados y confiables y podían acceder a la red y utilizar cualquier aplicação, servicio y recurso al que estuvieran autorizados, además de ver la mayoría de las otras aplicações, servicios y recursos en la red. Las organizaciones reforzaron la seguridad de su perímetro y se sintieron seguras y protegidas frente a ataques y amenazas, porque todo estaba seguro detrás de los muros fortificados del “castillo” de la red.
Sin embargo, con el tiempo, proteger las aplicações, los servicios y los recursos de una organización se volvió extremadamente complejo y difícil. Hoy en día, el perímetro de la red no es fácil de definir ni identificar, en particular con el uso cada vez mayor de las nubes, el movimiento de trabajar desde cualquier lugar, el uso de dispositivos móviles y la explosión de la Internet de las cosas (IoT). El personal puede estar compuesto por empleados, contratistas, consultores, proveedores de la cadena de suministro y más. La gran complejidad de la infraestructura organizacional actual ha superado rápidamente lo que la seguridad de red basada en el perímetro puede manejar.
Entra el modelo de Confianza Cero. Zero Trust no es una idea nueva, sin embargo es un concepto de seguridad que hoy es más relevante e importante que nunca. Una arquitectura de confianza cero elimina el modelo de una red confiable dentro de un perímetro definido. Zero Trust asume que un atacante ya está presente en un entorno. También presupone que un entorno propiedad de una organización no es diferente (ni más confiable) que cualquier entorno que no sea propiedad de una organización. Además, una organización nunca debe asumir una confianza implícita. La máxima de Confianza Cero es “Nunca confíes, verifica siempre”.
A medida que creció el concepto y el deseo de adoptar una arquitectura de confianza cero, también creció la confusión sobre qué era exactamente una arquitectura de confianza cero.
En un esfuerzo por ayudar a comprender la Arquitectura de Confianza Cero, el Instituto Nacional de Estándares y Tecnología (NIST) desarrolló la Publicación Especial (SP) 800-207 del NIST, Arquitectura de Confianza Cero . Si bien no es una guía de implementación , SP 800-207 describe Zero Trust para arquitectos de seguridad y ofrece una hoja de ruta para la migración y la implementación de los requisitos de seguridad para una arquitectura de Zero Trust.
F5 ha sido nombrado como uno de los 18 proveedores que colaborarán con el NCCoE del NIST en el “Proyecto de implementación de una arquitectura de confianza cero” para desarrollar enfoques prácticos e interoperables para diseñar y construir arquitecturas de confianza cero que se alineen con los principios y principios documentados en NIST SP 800-207, Arquitectura de confianza cero . Las soluciones de ejemplo propuestas integrarán productos comerciales y de código abierto que aprovechan los estándares de ciberseguridad y las prácticas recomendadas para mostrar las sólidas características de seguridad de una arquitectura de confianza cero aplicada a varios casos de uso comunes de TI empresarial. (Tenga en cuenta que el NIST no evalúa productos comerciales bajo este consorcio y no respalda ningún producto o servicio utilizado).
Puede encontrar información adicional sobre este consorcio en https://www.nccoe.nist.gov/zerotrust .
“F5 se siente orgulloso y emocionado de anunciar nuestra colaboración con el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del Instituto Nacional de Estándares y Tecnología (NIST) en su “Proyecto de implementación de una arquitectura de confianza cero”, afirmó Peter Kersten, vicepresidente de ventas federales. Esperamos un sólido esfuerzo de colaboración con nuestros socios y otros líderes de seguridad que culmine en arquitecturas de referencia y demostraciones de diversos enfoques de diseño interactivos e integrados para una arquitectura de confianza cero que respete los principios y principios publicados en la norma NIST SP 800-207, Arquitectura de Confianza Cero.
En este proyecto se unen a F5 los colaboradores Amazon Web Services (AWS), AppGate, Cisco, FireEye, Forescout, IBM, Ivanti, McAfee, Microsoft, Okta, Palo Alto Networks, PC Matic, Radiant Logic, SailPoint Technologies, Symantec (Broadcom), Tenable y Zscaler.
El resultado de este proyecto será una Guía de Prácticas de Ciberseguridad del NIST, una descripción disponible públicamente de los pasos prácticos necesarios para implementar diseños de referencia de ciberseguridad para una Arquitectura de Confianza Cero.
Para obtener más información sobre el “Proyecto de implementación de una arquitectura de confianza cero”, haga clic aquí . Para obtener información sobre F5 BIG-IP Access Policy Manager (APM), haga clic aquí .