[31/08/2020] En pocas palabras, la confianza cero exige verificar a todos los usuarios y dispositivos que intentan acceder a la red y aplicar un estricto control de acceso y administración de identidad que limite a los usuarios autorizados a acceder solo a los recursos que necesitan para hacer su trabajo.
La confianza cero es una arquitectura, por lo que existen muchas soluciones potenciales disponibles, pero esta es una mirada a las que encajan en el ámbito de las redes.
Privilegios mínimos
Un principio amplio de confianza cero es el privilegio mínimo, que consiste en otorgarles a las personas acceso a los recursos suficientes para llevar a cabo su trabajo y nada más. Una forma de lograr esto es la segmentación de la red, que divide la red en secciones no conectadas según la autenticación, la confianza, el rol del usuario y la topología. Si se implementa de manera efectiva, puede aislar un host en un segmento y minimizar sus comunicaciones laterales o este-oeste, limitando así el "radio de explosión" del daño colateral si un host se ve comprometido. Debido a que los hosts y las aplicaciones solo pueden llegar a los recursos limitados a los que están autorizados a acceder, la segmentación evita que los atacantes se establezcan en el resto de la red.
A las entidades se les concede acceso y se les autoriza a acceder a los recursos según el contexto: quién es un individuo, qué dispositivo se está utilizando para acceder a la red, dónde está ubicado, cómo se comunica y por qué se necesita el acceso.
Existen otros métodos para hacer cumplir la segmentación. Uno de los más antiguos es la separación física en la que se configuran redes físicamente separadas con sus propios servidores dedicados, cables y dispositivos de red para diferentes niveles de seguridad. Si bien este es un método probado y verdadero, puede resultar costoso crear ambientes completamente separados para el nivel de confianza y el rol de cada usuario.
Segmentación de capa 2
Otro método es la segmentación de capa 2, en la que los usuarios finales y sus dispositivos se aíslan mediante un filtrado de seguridad en línea entre el dispositivo y el conmutador de acceso. Pero instalar un firewall entre cada usuario y el conmutador podría resultar muy costoso. Una alternativa es el control de acceso a la red basado en puertos, que otorga acceso y asigna cada nodo a una LAN virtual (VLAN) de capa 3 en función de la autenticación o un certificado solicitante.
Estos tipos de métodos se utilizan comúnmente en redes de acceso por cable e inalámbricas a través del protocolo de autenticación estándar y extensible, 802.1x. Sin embargo, es posible que las empresas no estén aprovechando los conjuntos completos de roles de usuario final, credenciales de autenticación, perfil de dispositivo y filtrado de tráfico avanzado de los proveedores para segmentar a los usuarios según su nivel de confiabilidad. La seguridad de los usuarios puede aumentar si lo hacen.
Segmentación de capa 3
Un método común para crear enclaves de aplicaciones implica separar los cables y puertos de acceso en subredes de capa 3 -VLANs- y realizar un filtrado en línea. El filtrado podría ser realizado por un dispositivo de red como un router o por un servidor de seguridad, o servidor proxy con estado, que tenga algún conocimiento de las identidades y roles de los usuarios. Un ejemplo típico es una arquitectura de aplicación web estándar de tres niveles, en la que los servidores web, los servidores de aplicaciones y los servidores de bases de datos están en subredes separadas.
En esta línea está la división de redes, el enfoque de red definido por software en el que la red está separada lógicamente en secciones, similar a los contextos de routing y reenvíos virtuales.
Una versión moderna de esto sería asignar a cada servidor su propia subred IPv4 o prefijo IPv6/64, y hacer que anuncie su subred a los routers de red como se describe aquí. Todo el tráfico dentro de esa subred del servidor es local dentro de ese servidor, y no podría ocurrir ninguna otra infiltración en esa red virtual dentro de ese host.
La encapsulación del tráfico en túneles superpuestos, que se ejecutan en la parte superior de una red IP, también puede separar segmentos de red, y esto se puede hacer de muchas maneras. Estas incluyen una LAN virtual extensible, la virtualización de red usando encapsulación de enrutamiento genérico, la encapsulación de virtualización de red genérica, la encapsulación en túneles superpuestos de transporte sin estado, y la descarga de segmentación de TCP.
El etiquetado de paquetes (marcado de paquetes con identificadores internos) se puede utilizar para crear relaciones de confianza entre interfaces, y así secuestrar paquetes de los dispositivos de los usuarios finales, en función de su identidad y autorización. Es posible etiquetar en protocolos que incluyen MPLS, 802.1ad Q-in-Q, 802.1AE MACsec y Cisco TrustSec. Una versión moderna de esto es el routing por segmentos, donde se utiliza un encabezado de routing especial en un paquete IPv6 para controlar la ruta de comunicaciones a través de redes MPLS o IPv6.
Recomendaciones del NIST
El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) ha enumerado los componentes lógicos de una arquitectura de confianza cero y ha proporcionado definiciones de algunos de los estilos de las implementaciones. Esto incluye validar y autenticar a los usuarios según los puntos de decisión de las políticas y los puntos de aplicación de las políticas. Esto es similar a cómo Cloud Security Alliance concibió por primera vez un perímetro definido por software (SDP, por sus siglas en inglés).
Este método involucra un controlador SDP que autentica a los usuarios, luego notifica a una puerta de enlace SDP para permitir el acceso a una aplicación específica según el rol y la autorización del usuario. El proceso puede utilizar un nombre de usuario y una contraseña de la vieja escuela, o el método de la nueva escuela de autenticación multifactor (MFA, por sus siglas en inglés) con una contraseña de un solo uso, token de software, token duro, aplicación móvil o mensaje de texto. Un método alternativo llamado autorización de paquete único o golpe de puerto utiliza el navegador o la aplicación del cliente para enviar un conjunto de paquetes al SDP controlador, que identifica al usuario y su dispositivo.
Existe una amplia variedad de métodos de red de microsegmentación, aislamiento de host y confianza cero. Algunas se implementan en los dispositivos de red, en los propios servidores, dentro de los sistemas de control de identidad y acceso, o en middleboxes como servidores proxy y firewalls. Existe una amplia gama de métodos de confianza cero que se pueden implementar en el sistema operativo host, en las redes virtuales del contenedor de software, en el hipervisor o en la infraestructura de nube virtual con SDP o IAP.
Muchos métodos de confianza cero también involucran un agente de software en el nodo del usuario final junto con certificados X.509, TLS mutuo (mTLS), autenticación de paquete único (SPA) y MFA. No todos estos pueden ser implementados por completo por la red, o el servidor, o los administradores de seguridad única e independientemente. Para lograr una arquitectura de red robusta de confianza cero, estas técnicas pueden implementarse en conjunto mediante la colaboración con un equipo de TI interdisciplinario.
Scott Hogg, Network World
Scott Hogg es cofundador de HexaBuild.io, una empresa de consultoría y capacitación en IPv6, y tiene más de veinticinco años de experiencia en la nube, redes y seguridad.