Zero Trust (ZT) es probablemente uno de los temas, términos o palabras de moda más comentados en el mercado de la ciberseguridad hoy en día. Si ha asistido a alguna conferencia en todo el mundo en los últimos 2 años en el circuito cibernético, es muy probable que se haya topado con esta "cosa" de Zero Trust. Pero, ¿qué es el Zero Trust? ¿Dónde se originó el concepto y la idea y por qué debemos estar inundados con esta avalancha de travesuras Zero Trust?
¿Qué es el Zero Trust?
¿Cuál es la definición de Zero Trust?
Zero Trust es una estrategia de ciberseguridad que significa que, por un lado, las organizaciones deben eliminar la confianza implícita y, por otro, en lugar de limitarse a confiar en los usuarios, es fundamental la verificación continua de la identidad del usuario. Uno de los principios básicos del concepto es "Nunca confíes, siempre verifica". No se debe confiar en todo lo que está dentro de la red de la empresa y siempre se requiere la verificación de toda persona que quiera acceder a los recursos de la red.
Una estrategia Zero Trust ayuda a las organizaciones a proteger sus entornos y es una ayuda importante durante la transformación digital. Algunos principios básicos de las cosas que puede hacer es:
Segmentación de la red
Control granular de las solicitudes de acceso
Aplicación de métodos de verificación estrictos
Evitar el movimiento lateral
¿Cuál fue el papel del Foro Jericó en la historia de Zero Trust?
Para entender qué es Zero Trust, debemos retroceder el reloj unos 16 años hasta el Foro Jericó. Se trata de un grupo de académicos que se sentaban a reflexionar sobre las cuestiones más tangenciales de la seguridad de las redes y sobre cómo podrían aplicar su capacidad intelectual para abordar esa cuestión fundamental.
En aquel momento, hace casi dos décadas, recuerden, el activo más potente de una empresa que se introdujo en el mercado fue el NGFW, firewall de nueva generación. Se suponía que este "todopoderoso" dispositivo iba a cambiar las reglas del juego para eliminar las amenazas y ayudar a segmentar la infraestructura de los sistemas e infraestructuras del perímetro. Aunque en su momento fue innovador, no era mucho más que una herramienta de segmentación dinámica de gran potencia.
Así las cosas, los miembros del Foro Jericó adoptaron el concepto de investigación de "Seguridad Desperimetrizada". Esencialmente, el esfuerzo centrado en el uso de la capacidad de la herramienta NGFW para extender el control y la segmentación a través de la infraestructura de forma más dinámica, pero con un enfoque en no sólo un gran "muro" en el borde de la red. En su lugar, se trataría de una serie de segmentos más granulares con controles más específicos y una mejor supervisión.
Este sería un momento decisivo en la previsión de la infraestructura segura y, en verdad, nadie prestó mucha atención, salvo los miembros del Foro Jericó y un analista de Forrester, John Kindervag.
¿Cuál era el papel de John Kindervag?
John fue lo suficientemente visionario como para ver que la aplicación de este enfoque era valiosa y podía cambiar el juego para una infraestructura más segura y controlable a escala. John vio la potencia que iba a tener el cloud y el potencial de los problemas que podría crear una infraestructura diversa y en constante crecimiento. También tuvo la previsión de darse cuenta de que el mundo se estaba moviendo hacia un espacio de BYOD (Bring Your Own Device) como método principal para futurizar el espacio de trabajo.
Al darse cuenta de ello, su experiencia en seguridad de redes, John, buscó el punto más singular de fracaso en ese estado futuro. Tras un año de investigación, llegó a la conclusión de que la "confianza" instalada e implícita en ese futuro estado de la arquitectura sería el precursor de su fracaso.
El hecho de compartir demasiados valores por defecto, la sobreconectividad y el acceso sin restricciones serían problemáticos para cualquier empresa que se viera comprometida, y John sabía que el compromiso era un hecho, no una posibilidad.
Con esa base, John acuñó el término Zero Trust y comenzó la misión de difundir su evangelio de que la "confianza" era el elemento más importante a controlar en cualquier infraestructura (de red) y que, en ese momento, el uso de la próxima generación Firewall (NGFW) era la forma de hacerlo. Promovió una forma más estricta de manejar el control de acceso en las empresas.
Y ahí fue donde se centró la Zero Trust durante la siguiente década, más o menos, hasta que alrededor de 2017 la tecnología finalmente se puso al día y los enfoques más prácticos de la infraestructura segura moderna se convirtieron en parte del estado 2020 de la Zero Trust.
¿Por qué "confiar pero verificar" ya no es un enfoque válido?
Como se ha mencionado anteriormente, uno de los principios clave de un modelo Zero Trust es "Nunca confíes, siempre verifica". Pero antes, el mantra o enfoque de muchas organizaciones era "confiar pero verificar".
Sin embargo, en una arquitectura Zero Trust el objetivo es evitar el movimiento lateral de las amenazas dentro de una red. Porque si verificas el acceso de alguien una vez y luego confías en esta persona y en su dispositivo (quizás comprometido) siempre, no puedes evitar un posible ciberataque. La clave del acceso a la red Zero Trust es seguir verificando antes de conceder el acceso, esto en forma de microsegmentación y control de uso granular.
El propósito de una arquitectura de red de confianza cero es hacer frente al movimiento lateral de las amenazas dentro de una red aprovechando la microsegmentación y la aplicación de perímetros granulares, basados en los datos, el usuario y la ubicación. Esto también se conoce como el principio "nunca confíes, siempre verifica", que determina la confianza cero.
¡Consulte nuestros "Podcast "AwinguruTalks,
¡con el Dr. Chase "Zero Trust" Cunningham!
¿Es buena una VPN para activar la Seguridad Zero Trust?
A medida que la infraestructura crecía y la necesidad de una conectividad segura de esa fuerza de trabajo BYOD se convirtió en el estándar del lugar de trabajo, la VPN se convirtió en la aplicación "segura" estándar que se adoptaría para ayudar a permitir una fuerza de trabajo remota "segura".
Aunque al principio parecía un gran concepto y un enfoque del problema, en realidad, gracias a las violaciones masivas (de datos) que contenían nombres de usuario y contraseñas y a los hackeos de estados-nación que comprometieron a los proveedores de VPN, la VPN se convirtió en poco más que un estorbo para los usuarios, en el mejor de los casos, y en una tubería directa para los hackers en toda una red, en el peor.
La VPN no hizo mucho más que abrir agujeros en esos primeros sistemas Zero Trust y, sólo permitía conexiones directas a los sistemas para los malos. El NGFW y la segmentación no podían solucionar el problema de una VPN cuando esa conexión para un usuario BYOD se autenticaba con una contraseña pirateada y privilegios de administrador. Esta tecnología fue un problema para las empresas durante casi una década.
¿Cuáles son los principios clave de una estrategia de seguridad de confianza cero?
Ahora llegamos al estado actual de la industria: Las redes definidas por software, el aislamiento del navegador y la virtualización de la infraestructura de red son las claves de cualquier enfoque futuro de Zero Trust. Un espacio dinámico en el que todo puede ser remoto y seguro, y en el que se puede eliminar la necesidad de una autenticación de usuarios basada en contraseñas fallidas.
La verdadera infraestructura Zero Trust puede finalmente desplegarse porque estas herramientas o capacidades se han alineado con la realidad de lo que se necesita para permitir esta iniciativa estratégica vital. El uso de una combinación de estas importantes técnicas permite ahora a las empresas adoptar los principios básicos de un modelo de seguridad Zero Trust. Además, el uso de estos elementos clave eliminará los problemas de configuración por defecto que plagan la infraestructura de seguridad y puede permitir una fuerza de trabajo más dinámica simultáneamente.
Piensa en cómo te gustaría trabajar, o mejor aún, cómo te gustaría que trabajaran tus empleados. Sobre todo porque ahora vemos que el trabajo remoto y el BYOD son el nuevo estándar, no la opción, para las empresas.
Para tener una empresa más relacionada con la "Zero Trusty", y una que sea más fácil de trabajar, querrías eliminar la VPN, empujar el control de la seguridad desde el interior de la infraestructura hacia fuera, y permitir también el acceso continuo. Y todo ello sin afectar a la experiencia del usuario.
Ah, y querrías usar protocolos que sean "más difíciles" de usar para la explotación. Esto significa HTTP en lugar de RDP. Por último, querrías eliminar los problemas presentes en torno a las máquinas viejas o anticuadas en las que los usuarios podrían querer trabajar mientras operan en tu empresa. Eso sería increíblemente difícil si trataras de construirlo por tu cuenta, y ese enfoque requeriría grandes inversiones en tiempo y esfuerzo para llegar a ese estado final.
¿Cómo puede Awingu ayudarle a hacer posible una estrategia de confianza cero?
Con Awingu los usuarios pueden obtener un acceso seguro, ya que nunca están realmente "en" la red, y no hay necesidad de una VPN. Esta es, con mucho, una de las principales ventajas del espacio de trabajo unificado, ya que reduce el riesgo de que alguien "malo" entre en la red de la empresa desde una red privada.
Al utilizar la potencia dinámica de la infraestructura virtualizada combinada con el aislamiento del navegador, todo el espacio de trabajo para el usuario es "empujado" hacia él dentro de una conexión virtual. De este modo, se dispone de una web gateway segura para todos los usuarios, ya sean empleados o contratistas externos.
Los usuarios finales pueden iniciar sesión a través del navegador de sus dispositivos, que pueden ser dispositivos gestionados o no gestionados. A continuación, obtienen acceso remoto a las aplicaciones publicadas (aplicaciones web, aplicaciones SaaS e incluso sistemas legacy), escritorios y archivos, en HTML5.
Ningún dato se almacena localmente, por lo que puede estar seguro de que incluso los datos sensibles no salen del entorno de la empresa. Si un usuario no es consciente y trabaja a través de un dispositivo comprometido, sigue sin tener acceso directo a los activos de su empresa y a la red de la organización. Por lo tanto, aunque no conozca la identidad del dispositivo, no tiene que preocuparse por la seguridad de la red, ya que los administradores de TI pueden definir el control de acceso.
No hay ninguna tubería que pueda ser utilizada por hackers malintencionados, todas las sesiones están encriptadas y la autenticación multifactor (MFA) es una oferta incorporada por defecto para todos los clientes. El uso de esta capacidad reducirá sin duda el riesgo. Con la autenticación de múltiples factores ya se puede construir muy fácilmente una capa adicional para asegurar el acceso de los usuarios. El usuario también se autentifica continuamente mientras opera en esa sesión remota segura y el sistema está integrado con una capacidad de inicio de sesión único (SSO) para que el inicio de sesión y la facilidad de uso estén disponibles. Así, el acceso de los usuarios puede seguir siendo tan fluido como antes.
Como administrador de TI, es posible definir aún más los permisos de los usuarios con capacidades como el conocimiento del contexto y el control granular del uso. En el panel de control para administradores, tienes acceso a una supervisión continua de lo que ocurre en el espacio de trabajo. Incluso puedes habilitar la grabación de la sesión y, como cualquier otra capacidad, puedes definirla para ciertos usuarios o grupos de usuarios, pero también para aplicaciones específicas o incluso para capacidades integradas. Supongamos que, siguiendo sus políticas de acceso, quiere que sólo se conceda acceso a sus contratistas externos a la aplicación AS400 legacy cuando estén en Estados Unidos y utilizando MFA. Es perfectamente posible, como usted quiera.
No hace falta decir que Awingu puede ayudarte a crear un entorno de confianza cero para proteger tus activos y evitar una violación de datos, por ejemplo, de una manera muy sencilla. Trabajar con Awingu redujo la complejidad de la seguridad para los administradores de TI de otras organizaciones. Cuanto más complicada es la solución o la configuración, más puede salir mal.
Si su empresa está implementando un enfoque de confianza cero y quiere simplificar su acceso remoto sin comprometer sus activos más críticos en la red... Eche un vistazo a este espacio de trabajo unificado que sin duda puede ayudarle con esta transformación digital en su viaje Zero Trust.
English 
Italian 
German 
Spanish 
French