El término "confianza cero" sigue confundiendo a la gente—y con razón.Aunque el término transmite cierta autoridad absoluta ("cero", "no", "nada"), los enfoques contemporáneos ofrecen capacidades mucho más matizadas. Y aunque hoy en día la confianza cero se asocia típicamente a las iniciativas de seguridad, los conceptos tienen su origen en la definición de los perímetros de la red, a quién se le concede acceso y cómo se proporciona ese acceso.
La evolución de la seguridad no ha sido de la confianza implícita a la no confianza, sino más bien hacia controles contextuales que conceden a las personas adecuadas el acceso adecuado a los recursos adecuados en el momento adecuado y por las razones adecuadas. Pero, en última instancia, para dar sentido a la confianza cero es necesario comprender cómo ha cambiado el papel de la red y la infraestructura con respecto a los objetivos críticos de la seguridad en los últimos años.
El papel cambiante de la red: una breve historia
En los primeros tiempos de la construcción de redes y la definición del perímetro corporativo, todas las empresas eran esencialmente islas. Construían redes corporativas para facilitar las interacciones entre los empleados y los datos que estaban todos en las instalaciones locales. Cuando llegó Internet, todo el mundo quiso participar en ella. Pero las empresas se dieron cuenta rápidamente de que la confianza implícita por defecto de Internet iba a causar problemas a la hora de protegerse de personas ajenas con intenciones maliciosas.
El primer paso natural fue utilizar la red para crear puntos de demarcación. Las arquitecturas evolucionaron hasta incluir algo llamado DMZ, que tiene una función similar a la de las zonas desmilitarizadas del mundo físico (como la franja de tierra de 2,5 millas de ancho entre Corea del Norte y Corea del Sur, cuyo aislamiento natural creó un parque involuntario que ahora se considera una de las zonas con un hábitat tranquilo mejor conservadas del mundo). Este tipo de arquitectura de "castillo y foso" funcionó realmente durante mucho tiempo. Pero luego, a medida que las empresas evolucionaban y requerían una conectividad constante con otras empresas, socios, proveedores e incluso con sus propios clientes en determinadas circunstancias—se necesitaban nuevos modelos.
Hubo muchos intentos de crear estos nuevos patrones a lo largo de los años. El Foro de Jericó promovió la “desperimetrización” a principios de la década de 2000. Unos años más tarde, escribí sobre "la muerte de la DMZ" y realicé algunas presentaciones en Microsoft TechEd en las que abogaba por autenticar a cada persona y sistema, autorizar todas las acciones y comportamientos, auditar cada actividad y transacción, y cifrar cuando fuera necesario. (Aunque hoy en día, cambiaría esto último por cifrar todo el tiempo).
Luego llegó la red basada en confianza cero . Esto era útil—pero todavía se estaba pensando más en algo parecido a controlar con “puertas” el acceso a las redes. La iniciativa BeyondCorp de Google proponía: "¿Qué pasaría si la gente estuviera siempre en Internet, aunque estuviera en la oficina?". En realidad, sólo obtienen una conexión a Internet; todas las solicitudes para interactuar con las aplicaciones deben fluir a través de algún tipo de intermediario. Entonces apareció Zero Trust eXtended (ZTX) de Forrester. Gartner ofreció su propia versión inicial del concepto, que se denominó CARTA (por sus siglas en inglés, evaluación adaptativa continua de riesgos y confianza).