La confianza cero no es difícil... Si eres pragmático

Hace unas semanas, Rob Lemos de Dark Reading discutió las razones por las que, a pesar de reconocer los beneficios obvios de seguridad, las organizaciones y sus profesionales de seguridad dudan en implementar un modelo de confianza cero. Las preocupaciones generales son que los entornos "brownfield" tienen demasiada deuda técnica que debe superar para lograr el estado de Zero Trust y, por lo tanto, solo se puede aplicar a nuevos entornos netos (lo que a menudo llamamos "greenfield", generalmente como parte de alguna migración a la nube). Además, las organizaciones asumen que los beneficios solo se pueden obtener una vez que todo se haya "Zero-Trust-ified" (si es que existe tal estado), que no hay un estado intermedio en el camino hacia Zero Trust que sea beneficioso y alcanzable. 

Estos son mitos que deben romper.

El marco de confianza cero de Forrester se extiende a través de siete pilares que, cuando se combinan, proporcionan una estrategia integral para proteger la compañía

Para que una organización se considere a sí misma como una completa postura de Zero Trust, debe:

1. Implemente privilegios mínimos en todas sus cargas de trabajo, redes, personas, dispositivos y datos. 
2. Cerciorar de que estos controles se controlen y mantengan completamente a través de la automatización.
3. Aproveche la visibilidad no como un subproducto, sino como un facilitador para #1 y #2. Monitorear continuamente, retroalimentando la automatización para garantizar que se mantenga la integridad del estado de Zero Trust. 

Parece una gran tarea, no es de extrañar que algunas compañías opten por aplazar su puesta en práctica. Y eso es incluso antes de que comiencen a examinar las ofertas de tecnología que afirman ofrecer una completa "Zero Trust-ificación" en un solo producto: son como los muchos remedios caseros cuestionables para COVID-19 que circulan actualmente en las redes sociales. 

Pero, ¿qué pasaría si, en lugar de adoptar el enfoque en cascada para ofrecer seguridad Zero Trust en nuestros entornos, adoptáramos un enfoque más incremental y ágil? ¿Podríamos obtener beneficios mientras seguimos en esto (interminable?) ¿viaje? ¿Y podríamos integrar más capacidades a medida que avanzamos?

La respuesta, como era de esperar, es un rotundo "Sí" a todo lo anterior. Entonces, ¿cómo lo hacemos? 

Aquí está mi recomendación. Este enfoque (algo simplificado) permite que una organización dé pasos pequeños y realistas para lograr una postura de confianza cero. 

1. Identifique qué proteger: Identifique los datos, la aplicación o el proceso empresarial que se centra en proteger en esta fase. 
2. Determine en qué pilar de Confianza cero centrar: Determine para cuál de los pilares de Confianza cero va a crear controles. Illumio es una compañía de segmentación: ayudamos a las organizaciones a centrar principalmente en la visibilidad, las cargas de trabajo y las redes. 
3. Especifique el control exacto: Ahora, especifique el control exacto que está tratando de lograr en esta fase. Supongamos que desea segmentar las cargas de trabajo que ejecutan su proceso de negocio crítico del resto de la red. Por lo tanto, el resultado de Confianza cero que está tratando de lograr es el acceso con privilegios mínimos a través de la red a las cargas de trabajo que ejecutan este proceso crítico. 
4. Prescriba qué datos se necesitan: Ahora necesita los datos y la visibilidad (en el caso de Illumio, proporcionamos un mapa) para crear la política específica que logrará el resultado: esto consiste en metadatos relevantes para identificar cargas de trabajo y sus dependencias asociadas, además de datos de tráfico que determinarán la naturaleza de esas dependencias.
5. Diseñe la directiva: Armado con estos puntos de datos, puede crear una política de segmentación de Confianza cero para este proceso de negocio en individuo y validarlo. Pruebe antes de implementar: de lo contrario, no obtendrá ningún agradecimiento. 
6. Validar, implementar y monitorear: Una vez que la política está implementada, el tráfico disponible y el monitoreo de manipulaciones nos permiten monitorear continuamente la postura de su entorno y reaccionar a cualquier cambio, ya sea manualmente o mediante la automatización. 
7. Enjuague y repita los pasos 1 a 6. 
    

Cada paso se basa en lo que ya se hizo, mejorando continuamente el estado de seguridad general e incluso permite que los entornos brownfield adopten y se beneficien de Zero Trust. 

Lograr Zero Trust de una sola vez para todo su entorno es difícil. Dicho esto, es posible crear un MVP de ZT e iterar para lograr una postura integral para su organización, y estamos aquí para ayudarlo.

Para obtener más información, visite nuestra página sobre cómo poner en práctica su estrategia de Zero Trust con microsegmentación.