Zero trust está ganando terreno. Entender qué es y cómo mejorarla es imprescindible para la ciberseguridad.
El modelo de zero trust fue creado por John Kindervag en 2010, cuando era analista principal de Forrester Research Inc. La arquitectura zero trust es una estrategia de seguridad potente e integral que está ayudando a impulsar las empresas de forma más rápida y segura.
Una arquitectura zero trust acaba con la idea de red fiable dentro de un perímetro definido. En otras palabras, es un modelo de seguridad que se centra en la verificación de cada usuario y dispositivo, tanto dentro como fuera del perímetro de una organización, antes de conceder el acceso. El modelo zero trust:
El enfoque de zero trust se centra principalmente en la protección de datos y servicios, pero debe ampliarse para incluir todos los activos de la empresa (dispositivos, componentes de infraestructura, aplicaciones, componentes virtuales y de la nube) y los sujetos (usuarios finales, aplicaciones y otras entidades no humanas que solicitan información de los recursos).
En el pasado, los enfoques de seguridad perimetral seguían un paradigma simple: «confiar pero verificar». Aunque la experiencia de usuario era mejor, la evolución de las amenazas a la ciberseguridad obliga ahora a las organizaciones a reexaminar sus enfoques. En los últimos años, la infraestructura típica de una empresa se ha vuelto más compleja y está dejando atrás a los modelos de seguridad perimetral.
Entre los ejemplos de estas nuevas complejidades de la ciberseguridad se encuentran:
Además de estas complejidades, la seguridad del perímetro de la red es insuficiente porque las aplicaciones están ahora en múltiples entornos de nube, ya que el 81 % de las empresas tienen aplicaciones con al menos dos proveedores de nube (IBM Mobile Workforce Report). Además, las tendencias globales de trabajo a distancia continúan creciendo, ya que el 65 % de los trabajadores afirma que le gustaría seguir trabajando desde casa o a distancia (encuesta de Gallup). Además, el crecimiento global de las plantillas móviles continúa, tal y como indica el informe de Gartner Why Organizations Choose a Multicloud Strategy (Por qué las organizaciones eligen una estrategia multinube), que estima que, en 2022, habrá 1870 millones de trabajadores móviles en todo el mundo.
En primer lugar, un modelo exitoso de zero trust debe proporcionar visibilidad para todo el tráfico: entre usuarios, dispositivos, ubicaciones y aplicaciones. Además, debe permitir la visibilidad de las capacidades de zonificación del tráfico interno. También debe considerar la mayor capacidad para proteger adecuadamente los nuevos puntos de control en un entorno de zero trust.
Un buen encargado de las políticas de acceso protege, simplifica y centraliza el acceso a las aplicaciones, las API y los datos, independientemente del lugar en el que se encuentren los usuarios y sus aplicaciones. La validación de un modelo zero trust basado en el conocimiento granular del contexto y la identidad, así como la seguridad de cada solicitud de acceso, es clave y debe supervisar continuamente la integridad del dispositivo, la ubicación y otros parámetros de acceso a la aplicación de cada usuario a lo largo de su sesión de acceso a la aplicación.
En un enfoque zero trust, también es importante contar con una sólida cartera de productos de seguridad para aplicaciones. Las soluciones adecuadas pueden proteger contra los ataques DoS de capa 7 mediante la capacidad de analizar comportamientos y la supervisión continua del estado de sus aplicaciones. Proteger las credenciales para evitar que los atacantes accedan sin autorización a las cuentas de sus usuarios puede reforzar su enfoque de seguridad de zero trust. Además, con el creciente uso de las API, necesita una solución que las proteja y asegure sus aplicaciones contra los ataques a las API.
En lo que respecta a zero trust, en F5 nos basamos en gran medida en la publicación especial del NIST 800-207 Zero Trust Architecture, ya que proporciona modelos de implementación generales específicos del sector y casos de uso en los que zero trust podría mejorar la seguridad de la tecnología de la información de una empresa. El documento describe el zero trust para los arquitectos de seguridad de la empresa y ayuda a comprender el zero trust para los sistemas civiles no clasificados. Además, ofrece una hoja de ruta para la migración y el despliegue de los conceptos de seguridad de zero trust en un entorno empresarial.
F5 y los principios de zero trust: mejoras continuas de seguridad
La recopilación de información sobre los activos actuales, la infraestructura de la red y el estado de las comunicaciones para mejorar su seguridad es fundamental para mejorar el zero trust. Recomendamos seguir estos pasos para guiar a su organización en este proceso:
F5 puede ayudarle específicamente a implementar un modelo eficaz de zero trust que aproveche nuestras soluciones de acceso fiable a aplicaciones, seguridad de la infraestructura de las aplicaciones y seguridad de la capa de las aplicaciones. Obtenga más información aquí.
WHITE PAPER
Seguridad de Zero Trust para aplicaciones en contenedores
ARTÍCULO
Tendencias sobre ciberseguridad que afectan a las agencias federales en 2021