De la complejidad de las siglas a la práctica: desmitificamos el modelo de seguridad Zero Trust
Zero Trust es uno de esos términos del que llevamos oyendo hablar desde hace años. Sin embargo, a pesar de su trayectoria, es un concepto que está rodeado de cierto misticismo, un enigma que se hace aún más complicado si cabe por la lista interminable de acrónimos que le acompañan: SSE, SASE, SWG, ZTNA, CASB, RBI.
Las empresas, sorprendidas por esta vorágine, se encuentran sumidas en la confusión, mientras una multitud de proveedores promociona sus productos Zero Trust como la solución definitiva a todos los problemas de seguridad. Pero, como te dirán todos los expertos, la implementación de un modelo de seguridad Zero Trust no es tan sencillo como comprar un producto listo para usar. Se trata más bien de una filosofía. Por desgracia, a las empresas no les resulta nada fácil adoptar filosofías y, al final, necesitan tecnologías o soluciones para llevar las cosas a la práctica. Y aquí es exactamente donde suele surgir la confusión.
Protección del usuario
Revisemos a fondo el concepto Zero Trust y pasemos de lo esotérico a lo tangible. Nos centraremos en el objetivo que realmente cumple Zero Trust, la protección del usuario. Tradicionalmente, los usuarios de la red tenían acceso casi ilimitado a los recursos de la empresa, tal vez solo un desafío de nombre de usuario y contraseña. Esta permisividad se puede convertir en un grave problema cuando un hacker vulnera las credenciales o el dispositivo de un usuario. Lo ideal sería disponer de una herramienta para proteger al usuario y su dispositivo sin crear un problema que amenace la productividad. Se ha dicho que la seguridad Zero Trust es como un papel de burbujas invisible para los usuarios. Es una analogía extraña, pero que vulnera la esencia de lo que es Zero Trust, — seguridad y experiencia de usuario incomparables.
Este enfoque nos lleva a la VPN, la hijastra decepcionante de la ciberseguridad. Su naturaleza tosca y compleja refleja la era de la conexión telefónica a Internet, solo que sin los tonos del módem. Inicia tu cliente VPN, escribe tus credenciales, espera la conexión, navega por la intranet laberíntica de tu empresa, y desconéctate para volver a conectarte a la red de Internet normal. Es un baile bien ensayado, el tango de la VPN.
Con la llegada del teletrabajo, las VPN adquirieron mayor relevancia, y empezaron a notarse algunas deficiencias. Las aplicaciones corporativas tradicionales quedaron relegadas en favor de las alternativas SaaS, dejando a los proveedores de VPN en una carrera desenfrenada para seguir el ritmo. ¿El resultado? Cuellos de botella, ralentización de las conexiones, e incluso fallos de conectividad. Las VPN suelen estar protegidas por un desafío de nombre de usuario y contraseña, y proporcionan el mismo acceso a la red que se suele conceder a los usuarios en local.
El resultado está claro. Las redes VPN son muy amplias, interrumpen la experiencia del usuario, su integración con la nube es compleja, y tienen problemas a la hora de escalar y proporcionar acceso desde cualquier lugar. Y si, además, añadimos la amenaza de un ataque DDoS contra la infraestructura inestable de la VPN, estaremos en la antesala del desastre.
Entramos en una nueva era, la era del "teletrabajo". El crecimiento exponencial de las aplicaciones basadas en la nube, de los usuarios remotos y de los dispositivos personales exige una renovación total del modelo de seguridad del perímetro de la red. Los sistemas de protección tradicionales, las soluciones VPN basadas en dispositivos, no se pueden adaptar a esta realidad. El acceso a la red Zero Trust (ZTNA) entra en escena.
La filosofía de Zero Trust en la práctica
La filosofía de Zero Trust se basa en un principio muy sencillo, "nunca confíes, verifica siempre". ZTNA encarna esta filosofía, ya que brinda acceso directo, granular y adaptado al contexto a los recursos, sin otorgar un acceso a la red demasiado amplio. La adopción de ZTNA cambia las reglas del juego, mejora las experiencias del usuario, y garantiza mayor seguridad, visibilidad y escalabilidad. Es la respuesta que necesitan los equipos de trabajo híbridos de hoy día.
Pero espera, la filosofía Zero Trust no se refiere solo al acceso remoto. Por supuesto que no. Los principios de Zero Trust se extienden al navegador de Internet con las puertas de enlace web seguras (SWG) y el aislamiento remoto del navegador (RBI). Y no nos olvidemos del correo electrónico. Más del 90 % de los ciberataques comienzan con un correo electrónico de phishing. He llegado a la conclusión de que la filosofía de "nunca confíes, verifica siempre" se debería ampliar a la bandeja de entrada del correo electrónico con protección contra el phishing.
La protección de los usuarios finales es primordial, pero también lo es la de los datos relevantes de las empresas. Los servicios CASB (agente de seguridad de acceso a la nube) y DLP (prevención de pérdida de datos) también forman parte del universo Zero Trust, ya que ayudan a impedir las fugas de datos. Su implementación es ahora más acuciante que nunca en la era de la IA y los chatbots. La creación, la aplicación y la supervisión de políticas sobre cómo y por dónde se mueven los datos en tu red es también una parte importante del modelo Zero Trust. A medida que las empresas rediseñan sus redes con arquitecturas de seguridad definidas por software, la relevancia del modelo Zero Trust no hace sino crecer.
Si el modelo de seguridad Zero Trust es la panacea prometida, ¿por qué no lo implementa todo el mundo? Si estuviéramos empezando desde cero, Zero Trust sería la elección por la que todos se decantarían. Elegiríamos una plataforma Zero Trust, vincularíamos el proveedor de identidad de nuestra elección y ofreceríamos a todos los usuarios la tecnología ZTNA y el resto de herramientas. Sin embargo, las transiciones no ocurren de la noche a la mañana, debido a que los equipos de red y seguridad no siempre están sincronizados. Otras veces, las importantes inversiones en infraestructura VPN ya realizadas son las que paralizan la transformación. Incluso puede que haya escasez de recursos para que se materialice el cambio. Pero seamos claros, se trata de explicaciones, no de justificaciones.
Sabemos que las amenazas a la seguridad no solo son reales, sino que están en auge. El usuario está expuesto y se enfrenta al temor constante de provocar involuntariamente un ciberataque tras hacer clic por error en un enlace en el correo electrónico. En lugar de culpar a los usuarios, nos corresponde, como líderes en seguridad, protegerlos. El modelo Zero Trust, y su principio de "nunca confíes, verifica siempre", ofrece una estrategia eficaz y adaptable que aborda las deficiencias de las VPN tradicionales y de la seguridad basada en la red. La forma más sencilla de adoptar Zero Trust es a través de una única plataforma, en lugar de improvisar soluciones específicas de varios proveedores. La adopción de un modelo de seguridad Zero Trust, que ofrece una protección por capas tanto a los usuarios finales como a los datos, no tiene por qué ser complicada. Pero en la era del teletrabajo, de las aplicaciones SaaS y la IA, la adopción de un modelo Zero Trust no es solo una opción estratégica, sino una necesidad.
La base de la confianza
La implementación de un modelo Zero Trust representa un cambio de paradigma crucial en el panorama de la ciberseguridad en constante evolución. El hecho de que las organizaciones reconozcan que las defensas tradicionales basadas en el perímetro ya no son suficientes, les permitirá aprovechar numerosas ventajas, como una mayor protección de los datos, una reducción de las superficies de ataque y una mayor resistencia frente a amenazas sofisticadas. Zero Trust no es solo una opción tecnológica, es un imperativo estratégico que capacita a las organizaciones para salvaguardar sus activos críticos y desarrollar una base de confianza en un mundo por lo demás incierto.
Cloudflare permite a las organizaciones implementar Zero Trust con soluciones integradas de seguridad y red como servicio (SASE) que ofrecen seguridad, rendimiento y fiabilidad en un paquete completo. Cloudflare, que aprovecha el alcance global de su red, ofrece conexiones a Internet rápidas y fiables, independientemente de dónde se encuentren tus usuarios. La aplicación de la seguridad Zero Trust a cada solicitud de acceso, te permite autenticar todo el tráfico y proteger a tus usuarios y datos de las amenazas. Con Cloudflare Zero Trust, puedes evitar accesos no deseados, mitigar la pérdida de datos y tomar el control de todos tus recursos a través de una interfaz unificada. No importa en qué punto de tu recorrido hacia la transformación digital te encuentres, estás cubierto.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Autor
John Engates,
director de Tecnología, Cloudflare, @jengates
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Los requisitos para proteger a los usuarios y los datos han cambiado
Zero Trust permite una protección integral
Cómo desarrollar una base de confianza y asumir el control