.png)
¿Dónde encaja la segmentación de Zero Trust en el nuevo modelo de madurez de Zero Trust de CISA?
La semana pasada, CISA lanzó su muy esperado Modelo de Madurez de Confianza Cero 2.0 , una iteración actualizada del Modelo de Madurez de Confianza Cero (ZTMM) que afirma la industria lanzado por primera vez en 2021.
A un alto nivel, ZTMM de CISA describe cómo las organizaciones modernas pueden desarrollar resiliencia cibernética "dentro de un entorno y un panorama tecnológico en rápida evolución". También es una extensión crítica de la Orden Ejecutiva de 2021 de la Administración Biden sobre la Mejora de la Ciberseguridad de la Nación, que requería que las agencias federales desarrollaran e implementaran una Arquitectura de Confianza Cero (ZTA).
Si bien carece de los detalles y, en general, de un esquema más general de los objetivos federales de resiliencia a largo plazo (como suelen ser las guías de arquitectura como estas), ¡siempre es prometedor ver que continúe el impulso federal de Zero Trust! Y con la guía de segmentación esparcida por todas partes, a través de pilares y niveles de madurez, tácticas actualizadas como estas ayudarán a las agencias federales a lograr de manera más efectiva sus objetivos de resiliencia cibernética.
Aquí es donde entra en juego la segmentación
A menudo, cuando las personas en TI federal piensan en la segmentación, lo primero en lo que piensan es en la red. El ZTMM actualizado no es diferente. La segmentación de red se incluye como una capacidad técnica completa en la sección 5.3, relacionada con el pilar de red de ZTA de CISA. CISA escribe que en la etapa inicial, la segmentación de red se ve así: "La agencia comienza a implementar una arquitectura de red con el aislamiento de cargas de trabajo críticas, restringiendo la conectividad a los principios de función mínima y una transición hacia interconexiones específicas del servicio".
En términos prácticos, esto significa comenzar a practicar el privilegio mínimo (es decir, limitar la confianza implícita) y comenzar a segmentar las cargas de trabajo críticas fuera del servidor. Suena bastante simple, ¿verdad?
A continuación, CISA amplía el aspecto de la funcionalidad de segmentación de red en todos los niveles de madurez, desde la implementación de la macrosegmentación en niveles más tradicionales hasta la aplicación de una microsegmentación más gruesa en etapas avanzadas y óptimas.
Para las agencias federales avanzadas, la aplicación de segmentación de red puede ver así: "La agencia amplía la implementación de mecanismos de aislamiento de perfiles de aplicaciones y puntos finales a más de su arquitectura de red con microperímetros de entrada/salida e interconexiones específicas del servicio".
Con soluciones como Illumio Endpoint, Illumio hace que sea simple y sin problemas para las organizaciones de todos los niveles de madurez aplicar la segmentación de confianza cero (ZTS) hasta el punto final.
Los principios de ZTS no se limitan solo al cubo de red. En la sección 5.4, que analiza la seguridad de las aplicaciones y las cargas de trabajo, CISA escribe que en la etapa inicial: "La agencia comienza a implementar capacidades de autorización de acceso a aplicaciones que incorporan información contextual (por ejemplo, identidad, cumplimiento del dispositivo y / u otros atributos) por solicitud con vencimiento".
En la etapa avanzada, "la agencia automatiza las decisiones de acceso a las aplicaciones con información contextual ampliada y condiciones de vencimiento aplicadas que se adhieren a los principios de privilegios mínimos".
Estos también son lugares donde la visibilidad y la segmentación pueden ayudar: crear límites de aplicación en torno a identidades y dispositivos, hacer cumplir los principios de privilegios mínimos y automatizar políticas basadas en contextos verificados.
Otras conclusiones clave de un CTO federal
Si bien no es necesariamente el centro de atención en el nuevo ZTMM, la realidad es que la segmentación se adapta a todos los cubos, y es esencial (y factible) para organizaciones de todos los niveles de Zero Trust. Francamente, es prometedor ver que la tecnología finalmente obtenga el prestigio que se merece, pero todavía hay trabajo y educación por hacer.
Particularmente a medida que las agencias federales buscan alcanzar las etapas más avanzadas de madurez, la visibilidad y la segmentación de Zero Trust son fundamentales. La visibilidad en todo el entorno híbrido (nube, local, endpoint, TI/OT) es clave para comprender lo que tiene y saber qué proteger. Y se puede implementar una política de sentido común para autorizar el acceso, en función del cumplimiento del dispositivo u otros requisitos, proporcionando una aplicación coherente sin aislamiento.
ZTS no es solo un control proactivo para las agencias federales que buscan ampliar su ZTA. También es una estrategia proactiva esencial: garantizar que cuando las agencias federales sean violadas, las misiones puedan continuar sin obstáculos. De hecho, las organizaciones que aprovechan Illumio ZTS vieron una reducción del 66% en el impacto (o radio de explosión) de una brecha y ahorraron $ 3.8 millones debido a menos interrupciones y tiempo de inactividad. Al final del día, un verdadero ZTA tiene en cuenta tanto a las organizaciones maduras como a las amenazas avanzadas y persistentes.
Puede obtener más información sobre cómo ZTS de Illumio puede ayudar a su agencia federal a alcanzar sus objetivos de Zero Trust.
.webp)
.webp)
