El perímetro de la red corporativa ha muerto, ¿viva la red Zero Trust?

Abordado por Forrester a finales de la década de 2000, el modelo de seguridad de acceso a la Red Zero Trust (ZTN, por sus siglas en inglés) se plantea regularmente como respuesta a las ciberamenazas y a la previsible desaparición del perímetro de la red corporativa. Sin embargo, es importante no olvidar que Zero Trust no es una tecnología, sino más bien un enfoque -de hecho, casi una filosofía- que cuestiona la relación de confianza y construye un modelo de seguridad utilizando diferentes bloques tecnológicos.

El perímetro de la red está desapareciendo

Hace mucho tiempo, existía una línea roja entre lo que se encontraba dentro del perímetro de la red corporativa y, por tanto, se consideraba de confianza, y lo que quedaba fuera, y se percibía como una amenaza potencial.

Sin embargo, la transformación digital ha traído consigo un profundo cambio en la arquitectura de sistemas. Desde el uso generalizado del acceso VPN para el teletrabajo seguro hasta las aplicaciones e infraestructuras en la nube, o la práctica de “Bring Your Own Device” están desdibujando aún más el perímetro corporativo, presentando nuevas limitaciones de seguridad. Tanto es así, que, ahora, circunscribir la protección de la empresa a su perímetro de red ya no tiene sentido real, por lo que surgen dos prioridades tradicionales: autenticar y autorizar a los usuarios, para asegurar el acceso remoto.

El primer punto puede abordarse (parcialmente) con la VPN. Al crear un túnel de acceso seguro y encriptado, la empresa proporciona un medio para que los empleados accedan a los recursos de la empresa -independientemente del lugar en el que se encuentren físicamente- y muevan los datos de forma segura. Al hacerlo, delega su confianza en la VPN, que tiene muchas ventajas: un protocolo bien controlado; algoritmos de cifrado y tamaños de clave conocidos; y capacidades y límites claramente identificados. Por lo tanto, los problemas de identificación y autenticación parecen estar resueltos mediante herramientas de inicio de sesión remoto y soluciones 2FA. Pero esto sigue dejando el problema de controlar el acceso a un conjunto de aplicaciones y equipos no controlados, de ahí el auge del enfoque de confianza cero en los últimos años.

Tres pilares de confianza: identidad, máquina y acceso

A diferencia de la VPN, que establece un cierto nivel de confianza para una conexión segura entre dos entidades, el enfoque Zero Trust consiste en confiar en.… nada. En otras palabras, se basa en la verificación de los inicios de sesión, las identidades y los privilegios en cada acceso, incluso dentro de la red corporativa. Sin embargo, eso puede parecer imposible; cuando proporcionas acceso a activos sensibles, necesitas algo tangible a lo que aferrarte. Por tanto, ¿cuánta confianza hay que otorgar en función de la sensibilidad de la información o del entorno que hay que proteger?

El enfoque ZTN, más que rescindir la confianza, la traslada a otro lugar: al usuario. Según un principio sencillo: si un usuario ha sido autentificado, se puede confiar en él. Pero, ¿es suficiente? Realmente, no. El usuario puede ser central, y haber sido autenticado, pero la máquina que utiliza sigue siendo una vulnerabilidad potencial. Por tanto, es necesario confiar en ella. A este respecto, el enfoque Zero Trust va más allá de iniciar sesión en la red corporativa, también busca proporcionar una seguridad holística centrada en el individuo y en el dispositivo, y que incluya la identificación del usuario y de la máquina, la autenticación multifactorial y la gestión del acceso.

Como tercera pata, este enfoque ahonda en la importancia de definir claramente los derechos de acceso de cada empleado. La Gestión de Identidades y Accesos (IAM) no es solo cosa del departamento de TI: los responsables de cada departamento deben poder determinar quién de su equipo tiene acceso a qué y con qué propósito. Es una tarea que contribuye a la seguridad de la empresa. La buena noticia es que, una vez hecho el trabajo, la aplicación es rápida, aunque si las empresas quieren conservar el control y hacer un seguimiento completo de los accesos, deben lidiar con una política que evoluciona con el tiempo y con una amplia gama de herramientas de control dispares, especialmente si sus aplicaciones están alojadas en la nube.

Un cambio de filosofía

Llegados a este punto, queda claro, por tanto, que un enfoque de confianza cero requiere de varios requisitos previos: controlar el nivel de seguridad de las estaciones de trabajo y de los equipos de acceso a las aplicaciones; definir quién accede a qué y cómo (y hacerse esta pregunta con regularidad); y desplegar esta política de acceso de manera uniforme en todas las aplicaciones, que a veces son de naturaleza muy variada (IaaS, PaaS, SaaS...).

Al cambiar la orientación de la confianza hacia la identificación y autenticación del usuario, su acceso y su máquina, el enfoque de confianza cero convierte la identidad en un nuevo perímetro de seguridad. Esto requiere la aplicación de mecanismos de verificación en una fase muy temprana, comenzando en el nivel de la aplicación empresarial, que antes se basaba únicamente en el control de acceso a la red. 

Sería una ilusión pensar que Zero Trust es una especie de enfoque mágico que sustituye a todos los demás enfoques de seguridad. En realidad, se basa en las tecnologías existentes para establecer el nivel de certeza adecuado: autenticación multifactor para confiar en el usuario, VPN para cifrar las comunicaciones y confiar en sus transferencias, análisis de comportamiento para confiar en la máquina que se utiliza, etc. El énfasis está en reevaluar continuamente el grado de confianza que debe concederse. Esto confirma un principio inmutable: la ciberseguridad no es un sistema rígido, sino un ejercicio de formación continuo.