Zero Trust Network: entendiendo lo que significa su denominación
- Opinión
Para Sébastien Viou, cyber-evangelist de Stormshield , Zero Trust Network es cualquier cosa menos lo que su nombre sugiere: un perímetro de seguridad virtual (no inexistente) alrededor del triángulo usuario/máquina/aplicación; y lo más importante, un enfoque filosófico que no deja obsoletas las tecnologías de ciberseguridad existentes. De hecho, es todo lo contrario.
Hace tiempo, cuando se hablaba del perímetro de la red, todo era sencillo. Por un lado, estaba el interior del perímetro de la red corporativa, donde la confianza estaba en todas partes (¡o casi!), y, por otro, lo externo, que por defecto se percibía como una amenaza. Para acceder al sistema de información corporativo bastaba con entrar en el edificio de la empresa y si era necesario realizar una conexión remota, se realizaba a través de una VPN.
Sin embargo, en la actualidad, la transformación digital y más concretamente tendencias cómo el teletrabajo, las infraestructuras en la nube, el intercambio de información entre el ecosistema empresarial, la disponibilidad de nuevos servicios digitales en línea o múltiples dispositivos están cambiando las reglas del juego. En consecuencia, es necesario reflexionar acerca de qué significa realmente el perímetro de la red corporativa.
El nuevo perímetro de seguridad
Zero Trust Network (ZTN) no es una denominación errónea. De hecho, el fundamento de la Red de Confianza Cero se basa en la necesidad de homogeneizar la seguridad necesaria para todas las conexiones, ya que en estos momentos es posible acceder a las aplicaciones locales de forma externa o a las infraestructuras de la nube (IaaS, PaaS, SaaS) desde un puesto de trabajo dentro de la empresa.
En otras palabras, en ausencia de un perímetro de red corporativo formalmente determinado, el enfoque ZTN permite identificar quién accede a qué (aplicaciones, recursos), cuándo y desde dónde. Porque junto a la identificación y autentificación de los usuarios, es importante poder confiar en la máquina utilizada para especificar el nivel de acceso autorizado, de forma dinámica, durante una conexión.
No obstante, esto puede convertir la gestión de los inicios de sesión y de los permisos asignados en un verdadero quebradero de cabeza. Hoy en día, ante los crecientes riesgos cibernéticos, la solución no pasa por crear unos cuantos perfiles de usuario y aplicarlos a todos los empleados según su posición en la estructura corporativa, sino por crear perfiles individuales.
Tecnologías de ciberseguridad: todavía necesarias
Aunque la gestión de identidades y accesos (IAM) lleva mucho tiempo siendo utilizada y mejorada por las empresas, lo que hace que todo el planteamiento sea especialmente complejo es la proliferación de soluciones y dispositivos digitales dentro de la empresa.
Por supuesto, esto no es un obstáculo, pero para garantizar que los riesgos se minimizan, la política del menor privilegio sigue siendo la mejor defensa. Esto significa, por defecto, asignar el menor número posible de privilegios (inicios de sesión, vistas, ediciones/acciones) y aumentarlos poco a poco, según las necesidades. De este modo, no hay peligro de asignar privilegios innecesarios.
Desde el punto de vista técnico, el enfoque Confianza Cero no tiene nada de revolucionario, ya que se basa en las tecnologías existentes para establecer el nivel de confianza adecuado: cortafuegos y proxies para la protección del perímetro y la microsegmentación, directorios de confianza y autenticación multifactor, VPN para cifrar las comunicaciones o análisis del comportamiento de las máquinas, entre otras.
Por tanto, hay que desconfiar de las soluciones anunciadas como "Zero Trust llave en mano”: La confianza cero es un concepto que requiere el uso de múltiples soluciones. Además, se recomienda un enfoque gradual durante el proceso de adopción, aprovechando al máximo las capacidades de las soluciones ya utilizadas en la organización. Esto reduce no solo los costes, sino también los riesgos de mantenimiento. En cualquier caso, sean cuales sean las opciones técnicas elegidas, el objetivo de la Confianza Cero -como su nombre indica- es restablecer la confianza concediéndola con mucha moderación.
En la práctica: primeros pasos
Ahora bien, ¿cómo iniciar el enfoque de Zero Trust utilizando soluciones ya existentes en la organización o minimizando la inversión?
En primer lugar, se puede implementar una cuidadosa segmentación entre todos los activos de la empresa (aplicaciones, servidores, IaaS, PaaS, usuarios, invitados, etc.) mediante los firewalls existentes. A continuación, es posible hacer uso de las funciones de autenticación basadas en certificados, que generalmente se ofrecen en estos mismos dispositivos, con el fin de asignar derechos de acceso granulares para cada flujo de datos.
La mayoría también ofrece un portal cautivo que puede gestionar usuarios externos. Por supuesto, también es un paso necesario incorporar una PKI de máquina -disponible en Microsoft o en algunos cortafuegos- para toda la infraestructura, con el fin de identificar claramente cuáles son dispositivos empresariales y cuáles no.
Y al mismo tiempo, es aconsejable "endurecer" estos mismos dispositivos, utilizando soluciones de análisis de comportamiento de punto final, para evaluar la confianza en los puestos de trabajo de los usuarios.
Sébastien Viou, cyber-evangelist consultant, Stormshield