.png)
Lo que necesita para hacer cumplir la política de confianza cero, de forma rápida y segura
En este serial, consideramos las características imprescindibles para detectar, crear y distribuir correctamente una política de segmentación de Confianza cero. Esta semana concluimos analizando de cerca lo que es necesario para hacer cumplir una política de segmentación de confianza cero. Una política de confianza cero que no llega a la aplicación completa simplemente no es capaz de detener el malware, el ransomware o los actores maliciosos. Hay consideraciones clave que se deben tener en cuenta para garantizar que todas las políticas de Confianza cero se puedan aplicar rápidamente en toda la infraestructura y sin interrumpir la función de la aplicación.
Cuídate, no lo lamentes
Cuando se trabaja en entornos existentes en la nube y en el centro de datos, el primer requisito es hacer el juramento hipocrático: ¡No hacer daño! Todas las soluciones de microsegmentación emplean agentes. Necesita uno seguro, y ningún agente en línea es seguro. Cualquier agente que implemente un firewall en línea, filtrado u otras funciones de seguridad no se puede considerar seguro. Si el agente falla al cerrar, la aplicación se interrumpe, lo que no es seguro desde el punto de vista operativo. Si el agente en línea falla al abrir, el mecanismo de seguridad desaparece, que es la definición de computación insegura. La única tecnología de agente seguro para la aplicación es un agente fuera de la ruta de datos. Debe requerir una solución que mantenga las reglas en su lugar, incluso si el agente del proveedor falla o se elimina. Exija un agente que instale y actualice sin resetear. Los agentes deben ejecutar en el espacio de usuario. Rechaza cualquier cosa que modifique el kernel, instale adaptadores de red personalizados o se quede en línea. No hay necesidad de reinventar algo tan básico como un firewall con estado cuando literalmente todo en el centro de datos o la nube incluye uno.
Hacer cumplir todo
Una vez que tenga una política de Zero Trust para hacer cumplir, el mejor lugar para colocarla es: ¡en todas partes! Todos los sistemas operativos de los últimos doce años tienen un firewall con estado perfectamente bueno: iptables / Netfilter y la plataforma de filtrado de Windows. Existen tecnologías similares para AIX, Solaris e incluso Mainframes. Los conmutadores de red, los equilibradores de carga y los firewalls de hardware toman reglas de firewall. ¿Por qué no usarlo todo? Ponga Zero Trust en todas partes y automatice la aplicación de políticas en todo lo que ya posee. La aplicación debe incluir su entorno de contenedores de Kubernetes, instancias de Amazon, Azure y Google Cloud , servicios SaaS e incluso mantener sus dispositivos OT fuera del entorno de TI. Ni siquiera vale la pena considerar agentes de proveedores propietarios para hacer cumplir las políticas de Zero Trust cuando todos los dispositivos ya son compatibles con todo lo que necesita.
Mejorar la velocidad de la confianza
Las implementaciones de Confianza cero se realizan a la tasa de confianza en la seguridad de la directiva. Luego de todo, una política de Zero Trust requiere especificar todo lo que se desea, todo lo demás se niega. Eso implica que las políticas de Zero Trust deben ser perfectas. ¿Cuántos flujos hay en un centro de datos? Suena difícil confiar en la perfección en todos esos flujos. Relajar. La segmentación de confianza cero no tiene por qué ser difícil. Cerciorar de que podrá aplicar incluso un solo servicio en el extremo pequeño de la escala. Luego de todo, algunos de los flujos más vulnerables son los servicios centrales y los sistemas de gestión que tocan todas las máquinas del entorno. Muchos usan un solo puerto o un rango pequeño. Cualquier buena solución debería ser capaz de aplicar selectivamente solo esos pocos puertos. Son fáciles de definir, fáciles de acordar y fundamentales de cerciorar. En el otro extremo del espectro está simplemente hacer cumplir deseos de políticas como "Evitar que todos mis sistemas DEV se comuniquen con PROD, excepto la siguiente lista de servicios compartidos, pero limitarla tanto como sea posible". Nadie va a tener un conocimiento perfecto de todos los sistemas DEV y todos los sistemas PROD, es demasiado dinámico y complejo. Pero las mejores soluciones de segmentación de confianza cero pueden definir fácilmente los límites de aplicación que proporcionan esta funcionalidad exacta y, al mismo tiempo, preservar la libertad de problemas de orden de reglas o romper la herencia de políticas. ¿Qué tan rápido pueden todos los miembros del equipo estar seguros de que la política es correcta y segura? Busque una solución que pueda aplicar a nivel de una sola declaración de política y, al mismo tiempo, hacer cumplir los objetivos generales de separación. Cuando ambos son igualmente simples, es fácil hacer que las políticas de Confianza cero a través del control de cambios se apliquen a la aplicación.
En resumen
Aislar los sistemas de nube, endpoints y centros de datos con reglas aplicadas es el objetivo de Zero Trust. Las soluciones de solo visibilidad o monitoreo nunca se pueden contar como segmentación de confianza cero. Una buena solución de segmentación primero será segura y no dependerá de tecnologías en línea que fallan abiertas o cerradas, poniendo en riesgo todo el entorno. La aplicación debe ser amplia y aprovechar todos los firewalls por los que ya pagó, desde los firewalls basados en el sistema operativo hasta el hardware y el equipo de red que se encuentran en los bastidores. Implementar políticas de segmentación de confianza cero para contenedores, nube y en todo el entorno informático significa que se necesitan muchas soluciones diferentes, así que ¿por qué no usar lo que ya está en cada una? Finalmente, es importante poder crear la aplicación desde una sola declaración de política hasta formas fáciles de segmentar entornos completos. La microsegmentación de grano fino procede a la tasa de confianza compartida de que los sistemas no se interrumpirán. Por lo tanto, una solución con una aplicación altamente flexible y matizada siempre brindará los resultados de Zero Trust más rápidos.
ICYMI, lea el resto de este serial:
