Cómo implementar un modelo de seguridad confiable cero en un panorama amplio

No hace mucho tiempo, la seguridad implicaba el almacenamiento en las instalaciones con perímetros vigilados. Las organizaciones podían confiar en la solidez de su protección porque sabían dónde vivían los datos confidenciales y el número limitado de personas a las que se les otorgaba acceso físico.

Este simplemente no es el mundo digital en el que vivimos hoy. Los perímetros fortificados fueron reemplazados por entornos remotos y una proliferación de dispositivos móviles. Los datos empresariales ahora se distribuyen en almacenamiento virtualizado alojado en servidores de todo el mundo. Si bien esto ofrece una gran flexibilidad y escalabilidad para las compañías, también amplía la superficie de ataque para los actores maliciosos que buscan explotar las brechas de seguridad.

En respuesta a este desafío, los profesionales de la seguridad están marcando el comienzo de una nueva era de seguridad Zero Trust. En su forma más básica, un enfoque de Confianza cero requiere verificar cada solicitud de acceso entre todos los recursos, sin importar quién, qué o dónde se encuentren. Fundamentalmente, Zero Trust es una mentalidad y estrategia de seguridad, que puede ser difícil de implementar por completo.

En esta publicación, discutiremos el origen de la metodología Zero Trust y explicaremos cómo las organizaciones pueden implementar la seguridad Zero Trust en un panorama cada vez más remoto y sin perímetro, primero en la nube.

Una breve historia de Zero Trust

El término Zero Trust se discutió por primera vez en la década de 1990 en una tesis doctoral sobre seguridad computacional, aunque no se usó en su significado actual. El concepto ganó más fuerza alrededor de 2010 luego de una discusión de Forrester Research sobre los principios de lo que se convertiría en la base del paradigma.

Forrester reconoció que la idea de un perímetro confiable en las organizaciones es arriesgada. No solo se podrían comprometer las credenciales, sino que no menciona la prevención de amenazas internas. Por lo tanto, todo el tráfico de red debe considerar no confiable a menos que se demuestre lo contrario.

Avance rápido unos años, y nuestra fuerza laboral cada vez más móvil (y ahora, cada vez más remota) está redefiniendo incluso la idea básica de un perímetro. Esto, combinado con el auge de las soluciones en la nube, requiere un cambio adicional de la autenticación basada en credenciales. Además de centrarnos en las personas, ahora debemos ampliar el marco de Zero Trust para centrarnos en los datos. Esto significa que las herramientas de seguridad de próxima generación deben tener en cuenta la actividad de la red, el acceso y los privilegios de los usuarios, y el acceso y uso de los datos.

Zero Trust ahora requiere más que solo preguntar quién es el usuario. Cada intento de inicio de sesión debe exigir contexto, como:

• ¿Se está empleando el dispositivo como un dispositivo conocido?
• ¿El inicio de sesión proviene de una ubicación o red conocida?
• ¿A qué datos o aplicaciones intentan acceder?

Por supuesto, exigir y verificar todo este contexto puede ser más fácil decirlo que hacerlo en nuestro panorama cada vez más abierto. Los profesionales de la seguridad deben preparar para las nuevas tendencias en un panorama digital cada vez más abierto. Vamos a dar un paso más para ver cómo adoptar un paradigma de confianza cero en un entorno de seguridad moderno.

Implementación de Zero Trust en un entorno sin fronteras

La naturaleza de la proliferación de datos y el trabajo remoto hoy en día hace que sea casi imposible hacer cumplir los perímetros de seguridad como lo hacíamos antes. Entonces, echemos un vistazo a algunos pasos prácticos para convertir esta estrategia en resultados y un paradigma de seguridad impulsado por la tecnología.

Definir la superficie de protección

El primer paso para proteger el entorno de su organización es definir dicho entorno. En esencia, estás tratando de establecer una frontera donde no existe. Este enfoque requiere una visión holística de la red y el entorno, incluidos todos los usuarios, dispositivos, privilegios y tráfico

Esto es particularmente desafiante si emplea servicios basados en la nube o tiene alojamiento compartido para sus servidores. Según el experto de la industria Alex Williams de Hosting Data, cada vez que se comparten recursos, la seguridad puede ver afectada. "La naturaleza muy comunitaria del servidor puede permitir que los virus se propaguen a través de un sitio de servidor, infectando a quienes están vinculados a él", dice Williams. "No tienes forma de personalizar tu seguridad. Básicamente, confías en tu equipo de anfitriones para protegerte".

Independientemente de su configuración particular, nuestra moderna superficie de ataque siempre se está expandiendo. Hay varias formas de Definir una superficie expuesta a ataques, pero con Zero Trust, lo abordamos específicamente en términos de lo que debe proteger.

Esto reduce el enfoque a lo que es más valioso para el negocio. Una "superficie de protección" incluye:

• Datos (como información de identificación personal o información de tarjeta de pago)
• Aplicaciones (las que se emplean para acceder a los datos, como CRM o proceso de pagos)
• Activos (servidores o equipos que procesan los datos, como terminales de punto de venta)
• Servicios (servicios críticos para la compañía que se usan para acceder a los datos, como DNS o Active Directory)

La definición de una superficie protegida reúne la gestión de datos y la gestión de activos, además de la gestión de acceso tradicional asociada con la autenticación de usuarios.

Borrador de la política de Confianza cero

Una vez definida la superficie de protección, debe usar esta información para formalizar la directiva de toda la organización. Zero Trust exige preguntar quién tiene acceso, a qué, cuándo y desde dónde. Cada vez que se realiza una solicitud de acceso a un recurso en individuo, hay un serial de preguntas que deben hacer:

• ¿Quién debería tener acceso?
• ¿Qué dispositivos deben tener acceso?
• ¿Cuándo pueden tener acceso los usuarios?
• ¿Desde dónde pueden acceder los usuarios?
• ¿Para qué se puede emplear el recurso?

Estas preguntas deben traducir en pasos prácticos que sean lo suficientemente específicos como para cubrir las necesidades únicas de diferentes activos o servicios. Un modelo de control de acceso basado en atributos (ABAC) será útil para crear políticas dirigidas a los atributos de diferentes grupos de recursos.

Sin embargo, el hecho de que tenga diferentes políticas para diferentes tipos de servicios no significa que no sea una política para toda la compañía. Si es nuevo en el tema, debería considerar consultar con un experto para que lo ayude a formular su estrategia de política de Zero Trust.

Forma el perímetro "virtual"

Hay varias herramientas y tácticas que se pueden aplicar para apuntalar el perímetro virtual. Un enfoque principal en un panorama abierto debe ser mapear los flujos de red y aumentar la visibilidad de los recursos nativos de la nube.

Puede ser que tenga un entorno de nube híbrida con algunos recursos locales y virtuales. También tendrá que lidiar con software interno versus de terceros. El modelo ABAC ayudará a consolidar las reglas para proporcionar una visibilidad más completa. Además, deberá segmentar sus servicios para aplicar Zero Trust.

Una herramienta de microsegmentación que ofrezca un control granular de su fuente protegida ayudará a reducir la gravedad de un ataque en caso de una infracción. La segmentación es particularmente crítica cuando usa microservicios basados en la nube: sin colocar muros virtuales, un atacante podría mover lateralmente a través de su sistema con solo un conjunto de credenciales robadas. La herramienta adecuada también le brindará visibilidad en tiempo real de los comportamientos del sistema, lo que ayudará a hacer cumplir sus políticas.

Monitorear y pruebe constantemente

Incluso una vez que confíe en sus políticas e implementación, nunca debe dejar de probar su sistema en busca de vulnerabilidades. Pruebe sus políticas prediseñadas para cerciorar de que detectan actividad sospechosa y se pueden usar para promulgar medidas de emergencia en caso de una amenaza. También puede ser útil realizar pruebas adversarias periódicas, ya sea internamente o subcontratadas, para mapear vulnerabilidades y evitar caer en la complacencia.

Educa a tus equipos

Finalmente, para avanzar en un paradigma de Zero Trust en toda su organización, debe emplear la educación específica para que todos participen. Es importante que todos, desde TI hasta C-suite, sepan por qué se están implementando los cambios de política y cómo los afectarán.

Por ejemplo, querrá capacitar a los empleados sobre cómo la gestión de acceso y la autenticación multifactor cambiarán sus procesos de inicio de sesión y por qué esto es importante para la compañía, los empleados y los clientes.

Conclusion

El mundo digital está en constante cambio y los profesionales de la seguridad soportan la carga de adaptar a estos cambios. Los días de los dispositivos locales bloqueados se fueron, reemplazados por la nube híbrida, la computación de borde y el Internet de las cosas.

Zero Trust ayuda a las compañías a estar a la altura de las circunstancias con una seguridad multicapa centrada en los datos. Y si se implementa correctamente, no hay razón para que la seguridad se sienta como un inconveniente. Más bien, puede ser un cambio de prioridad en toda la organización que fomente la responsabilidad y la higiene cibernética saludable.

Descubra cómo Illumio, el pionero y líder de la segmentación de confianza cero, puede ayudar a:

• Lea los últimos reportes de Forrester Wave sobre Zero Trust y microsegmentación.
• Obtenga orientación paso a paso en el libro electrónico 6 pasos para implementar un modelo de confianza cero.
• Descargue el estudio de Forrester Consulting, Trusting Zero Trust.