Llegamos a ustedes gracias a:



Reportajes y análisis

5 pasos para crear un modelo de seguridad de 'confianza cero'

[16/11/2018] El enfoque de confianza cero para la seguridad empresarial propuesto por la firma de análisis Forrester Research hace casi una década puede ser difícil de implementar. Necesita una comprensión clara de los cambios que conlleva y el impacto que puede tener en la experiencia del usuario.

El modelo hace hincapié en la autenticación robusta del usuario y la validación de dispositivos en la red y la seguridad del endpoint como clave para proteger las aplicaciones y los datos contra amenazas nuevas y emergentes. En lugar de tener mecanismos de aplicación en el perímetro de la red, la confianza cero se centra en moverlos lo más cerca posible de la aplicación o superficie real que necesita ser protegida. No se confía en los usuarios y dispositivos de manera automática porque simplemente están detrás del perímetro de la empresa o en una red de confianza.

"Confianza cero es un proceso de reflexión y un enfoque sobre cómo crear la postura de seguridad cibernética de su organización", señala Steve Dyre, CTO de Respond Software. "Conceptualmente, se reduce a 'no confiar en la red, ya sea dentro o fuera del perímetro'".

La implementación del modelo requiere una planificación cuidadosa y el reconocimiento de que la confianza cero es un viaje y no un destino. "Los proveedores están saltando hacia la confianza cero como la próxima gran cosa de la que pueden colgar sus plataformas existentes", señala Dyre.

En realidad, gran parte de lo que implica la implementación del modelo es un trabajo aburrido y poco atractivo para crear y mantener políticas sobre el acceso a los datos y la autorización de acceso a las aplicaciones que leen y escriben tales datos. "No existe una solución milagrosa. El peso pesado caerá sobre los equipos internos, ya que comprenden a los impulsores de negocios y los activos principales", anota Dyre.

Estos son algunos de los pasos clave que Dyre y otros creen que son necesarios para las organizaciones al iniciar el camino hacia la confianza cero.

1. Definir confianza cero

El punto de partida perfecto es que su equipo se reúna y acuerde una definición de confianza cero, señala Dyre. Defina objetivos en términos de políticas y desarrolle una hoja de ruta para alcanzar esas metas. "No significa desechar las tecnologías implementadas actualmente que protegen el perímetro", indica. Pero significa estar dispuesto a pensar de manera diferente y hacer cambios organizacionales cuando se trata de proteger sus activos principales.

No se obsesione demasiado con la tecnología aun. Aplace las decisiones sobre cómo implementar la confianza cero y las tecnologías que pueden ayudarlo, hasta que tenga una idea clara de lo que significa la confianza cero en su entorno.

"No puede salir y comprar una confianza cero", añade Dyre. "Es una combinación de cuestiones intersectoriales para hacer que funcione, y es por eso que no será fácil. Un verdadero compromiso y comprensión por parte del personal directivo será clave".

2. Comprender la experiencia del usuario

Al planificar un enfoque de confianza cero, tenga en cuenta el impacto que tendrá el modelo en su experiencia de usuario. El enfoque de confianza cero, de nunca confiar y verificar siempre, puede cambiar la forma en que los usuarios interactúan con sus sistemas y datos. Debe saber quiénes son sus usuarios, a qué aplicaciones están accediendo, cómo se conectan a sus aplicaciones y los controles que tiene establecidos para asegurar ese acceso.

Asegúrese de entender cómo será la experiencia del usuario en el futuro antes de tomar la decisión de cambiarla, comenta Andy Ellis, CSO de Akamai. Considere cómo planea hacer que la confianza cero sea consistente en todas sus aplicaciones y para todos los usuarios. ¿Qué tipo de mecanismos desea para controlar el acceso de forma granular y coherente?

Pregúntese si es necesario un control distribuido, por ejemplo, al permitir que los propietarios de aplicaciones definan sus propias políticas de seguridad. O, ¿es mejor controlar las políticas a través de un grupo de seguridad o de TI centralizado? Considere cómo garantizará y mantendrá el cumplimiento con requisitos para el acceso seguro a los datos.

"Una vez que una organización identifica cómo quiere que sus usuarios interactúen con los sistemas, debe aceptar que esta transición no puede ocurrir de la noche a la mañana", asegura Ellis. En cambio, concéntrese en implementar un modelo de confianza cero para los casos de uso de mayor riesgo, y tómese el tiempo que necesite para implementar el modelo correctamente. "Con el tiempo, más y más pequeñas victorias inmediatas se unirán en una transformación completa. Cada victoria cuenta", añade.

3. Elija la arquitectura correcta

No existe un enfoque único para implementar un modelo de confianza cero y tampoco existe una tecnología única. En el nivel más básico, confianza cero se trata de proteger sus aplicaciones al garantizar que solo los usuarios y dispositivos autenticados de manera segura tengan acceso a ellas. El lugar en el que se encuentra en la red importa menos que cuán bien está autenticado y lo confiable que sea su dispositivo.

Actualmente, existen tres enfoques competitivos para implementar un modelo de confianza cero: microsegmentación, perímetros definidos por software (SDP), y proxies de confianza cero, señala Charlie Gero, CTO de Enterprise y Advanced Projects Group en Akamai.

La microsegmentación ha existido de una forma u otra durante años, y básicamente implica categorizar todos los activos de la red, usuarios, aplicaciones, almacenes de datos, etc., en grupos lógicos. Los grupos están segmentados en sus propios enclaves, generalmente a través de VLANs y, a menudo, tienen un firewall que actúa como un policía de tráfico entre ellos. Algunos consideran que la confianza cero trata sobre la segmentación de la red, pero no es así.

Además de ser enormemente difícil de implementar, la segmentación no es muy escalable y está plagada de otros obstáculos. "Por ejemplo, cuando una empresa tiene una infraestructura compartida como una base de datos Oracle, ¿en qué grupo debería estar? La respuesta es que probablemente se deba acceder a ella desde la mayoría de las otras VLANs, ya que es un recurso compartido", señala Gero.

Con un SDP, las organizaciones pueden establecer túneles IP a pedido entre las aplicaciones y los usuarios a través de un firewall intermedio, una vez que el usuario se haya autenticado y haya pasado una verificación de la política de autorización para la aplicación dada. "Por lo tanto, los usuarios ni siquiera pueden ver o tocar activos a los que no tienen autorización. En efecto, las partes sensibles y fuera del límite de la red se apagan". Una limitación es que una vez que se establece el túnel, un SDP hace poco para garantizar la seguridad e integridad de las transacciones.

El tercer enfoque -algo que Akamai ha adoptado- es usar proxies de confianza cero para establecer el perímetro a pedido entre el usuario autenticado y la aplicación, y el análisis de la carga útil y el comportamiento en línea, señala Gero. "Los proxies de confianza cero combinan las mejores características de las dos tecnologías anteriores junto con el análisis de la carga útil en un sistema manejable que se puede implementar de manera incremental".

4. Implementar medidas firmes para verificar usuarios y dispositivos

La confianza cero requiere un replanteamiento completo de cómo asegurar cada aplicación, endpoint, infraestructura y usuario, señala Tom Kemp, CEO de Centrify. La diferencia fundamental con la confianza cero es que los mecanismos de aplicación se trasladan del perímetro de la red al sistema y la aplicación de destino. En lugar de basar las políticas de seguridad en si alguien está accediendo a un recurso empresarial desde una red confiable o no confiable, el enfoque principal es verificar la identidad del usuario y validar su dispositivo.

Del lado del usuario, esto requiere la mejora de las contraseñas con autenticación multifactor (MFA) y pasos de verificación adicionales para determinar el nivel de acceso que se otorgará. Los principios de confianza cero deben aplicarse independientemente del tipo de usuario (usuario final, usuario privilegiado, TI tercerizado, socio o cliente) o el recurso al que se accede. Kemp comenta que sus decisiones de acceso deben ser adaptables y dinámicas.

Lograr una confianza cero también significa poder confiar en los dispositivos que intentan acceder a sus activos. Eso significa contar con medidas para garantizar que los usuarios verificados inscriban sus dispositivos para que sean reconocidos. "Si el usuario solicita acceso desde un dispositivo registrado que usa todos los días, tiene un cierto nivel de confianza", señala Kemp. "Si intentan acceder a los servicios desde una estación de trabajo en un cibercafé que nunca ha usado antes, la confianza se va al tacho".

La validación de dispositivos también implica establecer un conjunto mínimo de requisitos de seguridad para ellos, y garantizar que solo los dispositivos que cumplan con ese umbral tengan acceso a la red. "¿Tienen jailbreak? ¿Las configuraciones del dispositivo se ajustan a las políticas de la compañía, como el cifrado del disco, la protección contra virus y los parches actualizados?", anota Kemp.

5. Prepararse para los retos

No subestime la escala y el alcance del trabajo involucrado en la implementación de un marco de confianza cero, especialmente en organizaciones grandes. Pasar a un modelo que solo permite el acceso autenticado y autorizado a las aplicaciones, independientemente de dónde se encuentre en la red, no es fácil.

Para muchas organizaciones, definir y desarrollar una política de acceso a datos que sea consistente en toda la empresa llevará tiempo y supondrá un gran desafío, comenta Dyre de Respond Software. Implementar y administrar un sistema unificado de autorización y control de acceso, e identificar todas las aplicaciones que brindan acceso a datos críticos, también puede ser una gran tarea.

Descubrir una manera de limitar el acceso y los privilegios de los usuarios es otro gran desafío. "El cambio más grande que deben hacer las organizaciones es otorgar a los usuarios el privilegio que necesitan para hacer su trabajo y solicitar el MFA sin afectar innecesariamente la experiencia del usuario", asegura Kemp. Deben poder garantizar que cualquier privilegio otorgado a un uso sea temporal, esté sujeto a plazos, y se revoque automáticamente.

Para Akamai, el mayor desafío de implementación fue con sus aplicaciones no web, muchas de las cuales no admitían fácilmente la capacidad de hacer cosas como MFA. La compañía dedicó una cantidad significativa de tiempo a desarrollar capacidades para manejar dichas aplicaciones y, finalmente, tuvo que crear un agente ligero que permitiera que las aplicaciones no web funcionen mejor con el proxy de confianza cero. "Ahora estamos implementando túneles de aplicaciones ligeros y del lado del cliente para proporcionar acceso autenticado a dichas aplicaciones, pero esa fue un área en la que realmente tuvimos que pensar", anota Ellis.

En el nivel más básico, la confianza cero significa asegurar la identidad del usuario y luego proteger la aplicación, explica Stephen Kovac, vicepresidente de gobierno y cumplimiento global en Zscaler. "Esto se puede lograr de mejor manera brindando conectividad interna, acceso preciso, e encriptación, etc.".

Esto significa que la red y los endpoints ya no importan. Lo que importa es que los usuarios estén protegidos independientemente del dispositivo o la ubicación. "Si protegemos la identidad del usuario, entendemos las aplicaciones que utilizan y protegemos bien la aplicación, entonces el dispositivo endpoint y la red se vuelven irrelevantes. Esto es un cambio enorme".