Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Por qué la política es importante para Zero Trust

Illumio Editorial
Illumio Editorial
30de abril de 2021
23 min. leer

La idea de privilegio mínimo no es nueva, y tampoco lo es la idea de mantener los dispositivos separados en la red al servicio del privilegio mínimo. Luego de todo, cada firewall sale de su contenedor de envío con una regla predeterminada, "denegar todo", que invita a la creación de una política de privilegios mínimos. Y así, durante los últimos 15 o 20 años, estuvimos ingresando diligentemente más y más declaraciones de licencias y denegaciones en los firewalls perimetrales. La mayoría de las organizaciones ahora tienen tantas de estas declaraciones que se necesitan equipos de administradores altamente calificados para gestionarlas, y la complejidad se disparó en los últimos años.

El problema (multiplicado por 3)

Ahora, Zero Trust prescribe que volvamos al privilegio mínimo. Solo que esta vez, no en el borde, sino en cada carga de trabajo, cada usuario, cada punto final. ¿Qué tan factible es esto? Cada año, Cisco publica una encuesta detallada de las redes empresariales y proporciona una aproximación simple para que la consideremos. En 2020, el 73% del tráfico se produjo "este-oeste", es decir, entre los sistemas del centro de datos, y alrededor del 27% pasó por el perímetro. Las reglas de firewall perimetral existentes, por lo tanto, cubren el 27% del tráfico.

La clara participación es que crear una política similar para el otro 73% del tráfico es aproximadamente tres veces el trabajo, tres veces la complejidad de la regla y tres veces el número de personas. Y ese es el problema. Nadie puede gastar 3 veces, contratar 3 veces y configurar 3 veces la complejidad. Aquellos que intentaron doblar una solución SDN para que cumpla esta tarea o intentaron implementar firewalls virtuales saben que simplemente no funciona.

Cualquier proveedor que proponga Zero Trust tiene que resolver este enigma. No es creíble afirmar que se puede lograr un resultado de Zero Trust sin lidiar con la realidad operativa de la inmensa tarea que tenemos entre manos. Cualquiera que busque un resultado de Zero Trust necesita pruebas creíbles de la capacidad de cumplir con los componentes de costos, complejidad operativa y recursos humanos para una implementación exitosa.

No necesitamos más lugares para hacer cumplir la política

Cuando los firewalls ingresaron por primera vez a la red, eran el único dispositivo capaz de bloquear y restringir el tráfico a escala. Pero hoy en día, lograr la microsegmentación de Zero Trust no es un problema de puntos de aplicación. Todos los sistemas operativos modernos en el centro de datos, desde Windows hasta Linux, incluidos AIX, Solaris y System Z (mainframes), tienen un firewall con estado bien implementado en la ruta de reenvío del kernel. Todos los dispositivos de red, desde enrutadores y conmutadores hasta firewalls y equilibradores de carga, pueden tomar reglas de firewall.

De hecho, es el caso de que casi todos los dispositivos conectados a la red en el centro de datos tienen algunas capacidades de control de acceso. Esto implica que nadie necesita comprar paletas de firewalls para implementar Zero Trust. Los puntos de aplicación ya están disponibles. Esto significa que el costo de implementar Zero Trust se sentirá casi por completo en el área de complejidad de la configuración. Luego de todo, la cantidad de personas necesarias se deriva de la cantidad de trabajo por hacer.

La gestión de políticas determina los resultados de Zero Trust

Concluimos, entonces, que la política es el factor más importante en una implementación de Zero Trust. La posibilidad de alcanzar cualquier objetivo de Confianza cero dependerá de lo fácil o difícil que sea descubrir, crear, distribuir y aplicar directivas.

A los proveedores les gusta hablar de sus características y mostrar lindas interfaces de usuario, pero al final, lo único que importa es qué tan bien simplifican, reducen y automatizan el trabajo de gestión de políticas inherente a una iniciativa de microsegmentación de Zero Trust.

Antes de que alguien pueda escribir una política de Confianza cero, primero debe conocer todos los flujos de comunicación relevantes y cómo funciona la aplicación en cuestión: cómo depende de los servicios principales y los usuarios y otros dispositivos a los que se conecta. Esto es descubrimiento de políticas, y es más que una imagen linda de una aplicación en una burbuja. En última instancia, necesita toda la información necesaria para crear correctamente la directiva de Confianza cero.

La creación de una política tiene que eliminar la carga de traducir el deseo humano en direcciones IP. Necesita usar metadatos para simplificar, escalar y heredar directivas para reducir la carga de creación. Una vez que escribió una directiva, necesita una forma de distribuirla a los puntos de aplicación que ya existen. ¿Cómo mantiene todas las políticas actualizadas y realiza un seguimiento automático con la automatización de aplicaciones? Si puede tener en cuenta los movimientos, las adiciones y los cambios, la carga de trabajo disminuye en su equipo de administración.

Finalmente, la aplicación de políticas depende en última instancia de la capacidad de validar y desarrollar confianza en la política propuesta. Los firewalls no tienen ninguna capacidad de modelado. Pero no es suficiente "permitir y orar". Necesita la capacidad de saber que la política es precisa, completa y no romperá la solicitud, y poder comunicarlo a todas las partes interesadas.

Conclusion

Saber qué es importante para la gestión de políticas de Zero Trust es lo mismo que saber lo que se necesita para entregar un proyecto de Zero Trust o microsegmentación. La puesta en práctica de la segmentación detallada se llevará a cabo a la velocidad determinada por nuestra capacidad humana para descubrir, crear, distribuir y hacer cumplir la política. Cuando existe una gestión de políticas eficaz y eficiente, las necesidades de personal disminuyen proporcionalmente. Por lo tanto, está claro que el factor más importante para poner en práctica Zero Trust es lidiar de manera efectiva con la complejidad de las políticas necesarias para reforzar los controles de segmentación. Dado que es tan importante, consideraremos la gestión de políticas con gran detalle en las próximas publicaciones del blog.

Temas relacionados

No items found.

Artículos relacionados

Mejorar la recuperación de brechas, nuevas iniciativas de seguridad del gobierno y reconocer el liderazgo de Illumio
Segmentación de confianza cero

Mejorar la recuperación de brechas, nuevas iniciativas de seguridad del gobierno y reconocer el liderazgo de Illumio

Obtenga un resumen de la cobertura de noticias de Illumio de mayo de 2023.

Read more
Cómo el viaje de seguridad de OT del CTO de Armis, Carlos Buenonano, condujo a Zero Trust
Segmentación de confianza cero

Cómo el viaje de seguridad de OT del CTO de Armis, Carlos Buenonano, condujo a Zero Trust

Conozca el viaje de Bueño hacia la seguridad de OT, el papel fundamental que desempeñan los principios de Zero Trust en la protección de los entornos industriales y los desafíos para llegar allí.

Read more
5 razones por las que a su equipo de firewall le encantará la microsegmentación
Segmentación de confianza cero

5 razones por las que a su equipo de firewall le encantará la microsegmentación

La actualización que los administradores de firewall necesitaron durante mucho tiempo, la microsegmentación mueve el punto de aplicación a la propia instancia de la aplicación. Así es como funciona.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more