Es un hecho ampliamente reconocido que la adopción de la seguridad Zero Trust es difícil. En muchos sentidos, esta reputación la tiene merecida. El modelo Zero Trust requiere esfuerzos sobre los cuales los responsables de informática y de seguridad se muestran cautos, y con razón: replantearse las políticas de permiso por defecto y la arquitectura de red basada en el perímetro, la colaboración entre equipos funcionalmente diferentes y confiar en los nuevos servicios de seguridad. Es posible que las organizaciones pospongan esta transformación por diversas razones, entre ellas:
Limitaciones de capacidad debido a otros proyectos simultáneos
La variedad de soluciones que ofrecen los proveedores Zero Trust
La incertidumbre sobre dónde se encuentran los distintos recursos y aplicaciones en la red
Interrupciones de la productividad de los empleados
El marco Zero Trust es bastante complejo en su conjunto. La hoja de ruta completa de la arquitectura Zero Trust consta de 28 proyectos integrales. Sin embargo, algunos proyectos requieren relativamente poco esfuerzo, incluso para equipos pequeños con poco tiempo.
En un contexto de red, la seguridad Zero Trust requiere la inspección, la autenticación, el cifrado y el registro de cada solicitud que entre, salga o circule dentro de una red corporativa. Se basa en la idea de que no se debe confiar implícitamente en ninguna solicitud, venga de donde venga o se dirija a donde se dirija.
Los primeros pasos hacia la adopción de Zero Trust requieren establecer estas funciones allí donde actualmente no existen. Para las organizaciones que empiezan desde cero, a menudo significa ampliar estas funciones más allá de un único "perímetro de red".
A continuación te presentamos cinco de los proyectos más sencillos para adoptar un modelo de seguridad Zero Trust. Se centran en la seguridad de los usuarios, las aplicaciones, las redes y el tráfico de Internet. Estos proyectos por sí solos no lograrán una arquitectura Zero Trust integral, pero ofrecen ventajas inmediatas y pueden brindar el impulso inicial para una transformación más amplia.
En un enfoque Zero Trust, la red debe estar plenamente segura de que las solicitudes proceden de entidades de confianza. Las organizaciones deben establecer protecciones contra el robo de credenciales a través de técnicas de phishing o fugas de datos. La autenticación multifactor (MFA) es la mejor protección contra el robo de credenciales. Una implementación integral de la autenticación multifactor puede llevar mucho tiempo, pero centrarse en las aplicaciones más críticas es una victoria más sencilla, aunque igualmente de gran impacto.
Las organizaciones que ya disponen de un proveedor de identidad pueden configurar la autenticación multifactor directamente en ese proveedor, por ejemplo, mediante códigos de un solo uso o aplicaciones de notificaciones push enviadas a los dispositivos móviles de los empleados. Para las aplicaciones no integradas directamente con tu proveedor de identidad (IdP), considera la posibilidad de utilizar un proxy inverso para aplicaciones delante de la aplicación que exija la autenticación multifactor.
Las organizaciones que no cuentan con un proveedor de identidad pueden adoptar un enfoque diferente de la autenticación multifactor. El uso de plataformas sociales como Google, LinkedIn y Facebook, o contraseñas de un solo uso (OTP) puede ayudar a verificar las identidades de los usuarios. Estas son formas comunes de acceso por cuenta propia para proveedores externos, sin la necesidad de agregarlos a un proveedor de identidad corporativa, y estas estrategias también se pueden aplicar dentro de la propia empresa.
Aplicar la arquitectura Zero Trust no solo significa verificar la identidad de los usuarios. Las aplicaciones también deben estar protegidas con políticas que verifiquen siempre las solicitudes, tengan en cuenta diversos comportamientos y factores contextuales antes de autenticar, y supervisen continuamente la actividad. Como en el Proyecto 1, la implementación de estas políticas se simplifica cuando se aplican a una lista inicial de aplicaciones críticas.
Este proceso varía según el tipo de aplicación:
Aplicaciones privadas con alojamiento propio (accesibles solo a través de la red corporativa)
Aplicaciones públicas con alojamiento propio (accesibles a través de Internet)
Aplicaciones SaaS
El correo electrónico es la principal forma de comunicación de la mayoría de las organizaciones, la aplicación SaaS más utilizada y el punto de entrada más común para los atacantes. Las organizaciones deben aplicar los principios Zero Trust al correo electrónico para complementar sus filtros e inspecciones de amenazas comunes.
Además, los equipos de seguridad deberían considerar el uso de un navegador aislado para poner en cuarentena los enlaces que no sean lo suficientemente sospechosos como para bloquearlos por completo.
Los puertos de red de entrada abiertos son un vector de ataque habitual y deberían tener protección Zero Trust para que solo acepten el tráfico de fuentes conocidas, de confianza y verificadas.
Estos puertos se pueden encontrar utilizando la tecnología de escaneado. De esta forma, un proxy inverso Zero Trust puede exponer de forma segura una aplicación web a la red pública de Internet sin abrir ningún puerto de entrada. El único registro públicamente visible de la aplicación es su registro DNS, que puede protegerse con autenticación Zero Trust y funciones de registro.
Como capa adicional de seguridad, se puede aprovechar el DNS interno/privado utilizando una solución de acceso a la red Zero Trust.
El filtrado de DNS es la práctica de impedir que los usuarios accedan a sitios web y a otros recursos de Internet maliciosos conocidos o muy sospechosos. No siempre se incluye en la conversación sobre Zero Trust porque no implica inspección ni registro del tráfico. Sin embargo, en última instancia, puede controlar dónde pueden transferir y cargar datos los usuarios (o los grupos de usuarios), lo que se adhiere a la filosofía Zero Trust a nivel más general.
El filtrado de DNS se puede aplicar a través de la configuración del enrutador o directamente en la máquina de un usuario.
La implementación de estos 5 proyectos puede ser una primera toma de contacto relativamente sencilla con la arquitectura Zero Trust. Cualquier organización que complete estos proyectos habrá avanzado significativamente hacia una seguridad mejor y más moderna.
La adopción más amplia de la arquitectura Zero Trust sigue siendo complicada. Para ayudarte, hemos creado una hoja de ruta independiente de proveedor para todo el recorrido hacia Zero Trust. Esta hoja de ruta abarca estos cinco proyectos y otros similares. Algunos tardarán mucho más que unos días, pero la hoja de ruta puede ofrecer una mayor claridad sobre lo que significa la adopción de la arquitectura Zero Trust.
Todos estos servicios están integrados en la conectividad cloud de Cloudflare, una plataforma unificada de servicios nativos en la nube diseñada para ayudar a las organizaciones a recuperar el control de su entorno informático. Cloudflare es la empresa líder en conectividad cloud. Ayuda a las organizaciones a aumentar la velocidad y mejorar la seguridad de sus empleados, aplicaciones y redes en todas partes, al tiempo que reduce la complejidad y los costos. Cloudflare, que utiliza una de las redes más grandes e interconectadas del mundo, bloquea por día miles de millones de amenazas en línea para sus clientes.
Este artículo forma parte de una serie de publicaciones sobre las últimas tendencias y temas que afectan a los encargados de la toma de decisiones sobre tecnología en la actualidad.
Después de leer este artículo podrás entender:
Los 28 proyectos de la hoja de ruta de Zero Trust
Los 5 proyectos de adopción del modelo Zero Trust que apenas requieren esfuerzo
Los tipos de servicios que permiten la implementación
Cómo iniciar una guía de implementación para tu organización
Descubre más información sobre la arquitectura Zero Trust y empieza a planificar una hoja de ruta para tu organización con la Guía de implementación de la arquitectura Zero Trust.