Enciclopedia de ciberseguridad Security Defined¿Qué es la seguridad Zero Trust?

¿Qué es «confianza cero»?

7.5 min read

Seguridad de confianza cero o "Zero Trust"

«Confianza cero» es un modelo de seguridad basado en la premisa de no confiar en nadie a ciegas ni permitir el acceso a los recursos de la empresa hasta que se haya superado un proceso de validación, legitimación y autorización. Es compatible con la implementación del acceso con menos privilegios, que se designa para conceder acceso de manera selectiva única y exclusivamente a aquellos recursos que necesitan los usuarios o grupos de usuarios. Además, las personas que obtienen acceso a la red, a los datos y a otros recursos deben autenticar continuamente su identidad.

La adopción del modelo de confianza cero se ha acelerado en respuesta al rápido aumento de los trabajadores móviles y teletrabajadores, la tendencia de usar dispositivos personales (BYOD), el Shadow IT y el auge de los servicios en la nube. Mientras que estas tendencias beneficiaban a los usuarios e incorporaban nuevos niveles de flexibilidad a las tecnologías informáticas, también reducían la capacidad de la organización de controlar y proteger el acceso a los datos y los recursos de red. El modelo de confianza cero devuelve este control y endurece las medidas de seguridad ante el proceso de disolución del perímetro de la red.

Piense en su infraestructura de red y datos como si fuese un edificio lleno de habitaciones con puertas cerradas y cada cerradura con su propia llave individual, donde solo se permite a los usuarios el acceso a la habitación donde se encuentran los recursos que necesitan y nada más. Eso es la confianza cero en pocas palabras.

qué es la seguridad de confianza cero


Blog: Primeros pasos con Zero Trust
Libro blanco: Práctica líder de confianza cero


 

Breve historia de la confianza cero

El término «confianza cero» fue acuñado por el analista de Forrester John Kindervag en su estudio, cuando explicaba la importancia de la «no confianza» inherente cuando se trata del tráfico de red, independientemente de su procedencia. El concepto se originó como un término de seguridad en la red y justamente, ya que la mayoría de las empresas operaban con sus propias redes internas y sus capacidades de almacenamiento de datos en el momento en que se originó el concepto.

Sin embargo, muchas de las nociones expresadas con «redes de confianza cero» tienen su origen en un concepto mucho más antiguo, propuesto en 2004 por el Foro de Jericó, llamado desperimetrización. La seguridad perimetral se lleva a cabo mediante cortafuegos y protecciones perimetrales con el fin de mantener alejados a los intrusos. El defecto de esta estrategia es la falta de protecciones una vez que los intrusos han conseguido romper el perímetro. La desperimetrización es una estrategia de seguridad que consiste en eliminar la seguridad de «frontera» estándar que separa una red de internet y, en su lugar, crear un sistema de seguridad segmentado y de varios niveles basado en cifrado y autenticación. La arquitectura de confianza cero (ZTA) proporciona seguridad por niveles mediante la reautenticación constante y la desconfianza inherente de todos los dispositivos, usuarios y acciones, existan o no dentro del perímetro.

 

The Future of Zero Trust Architecture

Hoy en día, la confianza cero ha evolucionado hasta englobar un concepto más general que una arquitectura específica de la red. El concepto está ganando fuerza entre todos los actores del sector y, aunque las dos aplicaciones más comunes de confianza cero existen en los espacios de red (acceso a la red de confianza cero) y de datos (protección de datos de confianza cero), este modelo de seguridad se está expandiendo a otros ámbitos, como:

  • Cargas de trabajo de confianza cero
  • Bases de usuarios de confianza cero
  • Automatización de confianza cero
  • Dispositivos de confianza cero

El modelo Zero Trust ha venido para quedarse, pero requiere aplicar una mentalidad y una estrategia de seguridad donde la nube es prioritaria. Debido al aumento del número de trabajadores remotos y la adopción de entornos en la nube, las estrategias centradas en la red ya no son tan eficaces como antes a la hora de mitigar las amenazas de ciberseguridad. La nueva naturaleza y los requisitos dinámicos de estos usuarios remotos y entornos de nube dinámicos ponen a prueba las arquitecturas de seguridad desde todos los ángulos.

Con el vertiginoso aumento del número de trabajadores remotos que necesitan acceso a los datos y recursos de la empresa y el aumento de las aplicaciones privadas alojadas en nubes públicas, las organizaciones son conscientes de que su perímetro de seguridad debe traspasar las paredes de su empresa. Por tanto, las estrategias tradicionales de control de acceso no resultan adecuadas: no pueden proteger los datos frente a un uso no autorizado ni protegerse de las amenazas modernas y evasivas, que cada vez son más sofisticadas y específicas.

Luckily, zero trust technologies have been maturing to address these new requirements. Zero trust essentially adopts a “default-deny” approach to security that requires all users and devices attempting access to be verified first. New zero trust cloud security solutions are highly scalable and give users safe access to applications, as opposed to the network, to effectively protect private applications and data from breaches or misuse.

 

¿Cuáles son los principios de la confianza cero?

Estos son los tres principios fundamentales que rigen el modelo de confianza cero:

 

1. Conceder el menor número posible de privilegios

El principio básico de la confianza cero se centra en la idea de conceder la menor cantidad posible de privilegios y accesos sin que ello afecte a la capacidad de una persona para completar sus tareas. Solo se permite el acceso caso por caso, exactamente a lo que se necesita y nada más.

 

2. Nunca confiar, siempre verificar

Ninguna acción o usuario goza de confianza inherente dentro de un modelo de seguridad de confianza cero. Cada nueva entrada a un sistema o solicitud de acceso a datos nuevos debe incluir algún tipo de autenticación para verificar la identidad del usuario.

 

3. Siempre supervisar

Por último, la confianza cero requiere supervisión y evaluación constantes del comportamiento del usuario, los movimientos de datos, los cambios en la red y las alteraciones de datos. Aunque la autenticación y las restricciones de privilegios son la columna vertebral de la confianza cero, siempre es mejor verificar todas las acciones realizadas dentro de la infraestructura de su organización.

 

¿Qué tipos de «confianza cero» hay?

La implementación de un modelo de confianza cero protege las aplicaciones privadas, los datos sensibles y los activos de red, al mismo tiempo que reduce drásticamente riesgos como los usuarios internos malintencionados y las cuentas comprometidas.

Actualmente, hay dos aplicaciones distintas para el modelo de confianza cero:

  • Acceso a la red de confianza cero (ZTNA)
  • Protección de datos de confianza cero (ZTDP)

 

¿Qué es el acceso a la red de confianza cero?

When designing a zero trust solution for remote access to an environment, it is commonly referred to as Zero Trust Network Access (ZTNA) but is also known as a Software-Defined Perimeter (SDP). A ZTNA or SDP is a modern way to secure access to the network, which uses a cloud-first, software-based approach to replace the hardware of legacy VPNs. It creates an overlay network that securely connects users and devices over the Internet to the servers and applications they need in the data center or public cloud.

Una solución ZTNA ofrece las siguientes ventajas:

  • Protección eficiente del acceso de usuarios remotos
  • Autenticación fuerte
  • Implementación de una gobernanza eficaz de acceso a los recursos
  • Reducción de posibles infracciones y daños
  • Compatibilidad con iniciativas de auditoría de conformidad
  • Aceleración de una transición a la nube
  • Transformación de la seguridad: iniciando la sustitución de las VPN y adoptando soluciones definidas mediante software

La mayoría de las organizaciones empresariales adoptan un modelo Zero Trust para proporcionar visibilidad y control completos sobre los usuarios y los dispositivos que tienen acceso a un número cada vez mayor de servicios de datos y aplicaciones en la nube. Aquí se incluyen tanto aplicaciones gestionadas en un ecosistema de la empresa como aplicaciones no gestionadas utilizadas por líneas empresariales y usuarios dentro de la empresa.

 

¿Qué es la protección de datos de confianza cero?

On the other hand, you have Zero Trust Data Protection (ZTDP), a new security framework created by Netskope which applies the core principles of zero trust when guarding your data from unauthorized viewing, movement, alteration, and exfiltration.

Las ventajas de ZTDP incluyen:

  • Evaluación continua de riesgos
  • Contexto de datos y concienciación sobre la sensibilidad, para una mejor aplicación de políticas
  • Acceso seguro desde cualquier lugar
  • Protección garantizada de los datos en cualquier lugar
  • Cumplimiento de las normas vigentes

La incorporación de otras herramientas, como las plataformas analíticas y la visibilidad en línea del uso de la nube, la web y la red, permiten a estos administradores adaptar sus reglas de confianza cero y evitar el movimiento lateral no autorizado a otros conjuntos de datos. En resumen, la estrategia de protección de datos de confianza cero es una primera línea de defensa contra el acceso no autorizado a los datos y la fuga de información.


Informe: Cybersecurity Insiders – Informe de 2020 sobre la confianza cero
Informe: 2020 Gartner Market Guide para Zero Trust Network Access


Aunque ambos conceptos aplican la confianza cero, ZTNA se ocupa de aplicar el modelo de confianza cero estrictamente con el fin de proteger el acceso a la red, mientras que ZTDP aplica la confianza cero a la protección del acceso a los datos. En un mundo perfecto, las empresas emplearían ambos conceptos como protección contra intrusiones de red y fugas o alteraciones de datos.

 

Predicciones e información de Gartner acerca de Zero Trust

 

80 % de los accesos a las nuevas aplicaciones digitales de empresa se hará a través de ZTNA
de los accesos a las nuevas aplicaciones digitales de empresa se hará a través de ZTNA
60 % de las empresas eliminará gradualmente la mayoría de sus VPN de acceso remoto para pasarse a ZTNA
of enterprises will phase out most of their remote access VPNs in favor of ZTNA
 

FUENTE: INFORME GARTNER: EL FUTURO DE LA SEGURIDAD DE LA RED ESTÁ EN LA NUBE

 

¿Cómo encaja la confianza cero en la infraestructura de seguridad de Netskope?

Para mantener la eficacia en los entornos cada vez más móviles y dispersos de hoy en día, donde la nube es prioritaria, las soluciones Zero Trust deben combinar una amplia gama de funciones y tecnologías, desde la autenticación multifactor (MFA) hasta la gestión de identidades y accesos (IAM), pasando por el cifrado, los sistemas de puntuaciones o los permisos del sistema de archivos, entre otros.

En cuanto a Netskope, nuestra solución Private Access se ha diseñado específicamente para que sea compatible con diversos entornos como plataforma de ZTNA nativa de la nube. Combina una gestión exhaustiva de las políticas de acceso, evaluación del cumplimiento, integración con soluciones IAM y de gestión de eventos e información de seguridad (SIEM) existentes; además, es compatible con cualquier aplicación y cualquier protocolo, para simplificar las operaciones de red y de seguridad.

La solución también proporciona una protección ampliada a través de la integración con Next Generation Secure Web Gateway (NG SWG) de Netskope, que consta de varias tecnologías de seguridad nativas de la nube integradas, entre otras, un CASB en línea, prevención de pérdida de datos (DLP), SWG y protección avanzada frente a amenazas (ATP). De este modo, puede ofrecerse como la única capaz de proporcionar visibilidad y protección unificadas en entornos de nube híbrida y mejorar las funciones de seguridad sensibles a la latencia, como DLP y ATP.

Simplificando, Netskope Private Access ofrece una estrategia de nueva generación para la accesibilidad Zero Trust, en cualquier aplicación y en cualquier entorno.


Ficha de producto: Netskope Acceso Privado


 

Recursos

Four Quick Wins and Three BP for your ZTNA Journey - webinar

Four Quick Wins and Three Best Practices for your ZTNA Journey

2020 Gartner Market Guide para Zero Trust Network Access

2020 Gartner Market Guide para Zero Trust Network Access

Cybersecurity Insiders 2020 Zero Trust Report (Informe de Cybersecurity Insiders de 2020 sobre Zero Trust)

Cybersecurity Insiders 2020 Zero Trust Report (Informe de Cybersecurity Insiders de 2020 sobre Zero Trust)

Protección de los trabajadores remotos con Netskope

Protección de los trabajadores remotos con Netskope

Estrategia de seis pasos para abordar la confianza cero «Zero Trust» en el mundo sin perímetro actual

Estrategia de seis pasos para abordar la confianza cero «Zero Trust» en el mundo sin perímetro actual

Achieving true Zero Trust model compliance in todays cloudy world

Achieving true Zero Trust model compliance in today’s “cloudy” world

Primeros pasos con Zero Trust

Primeros pasos con Zero Trust

Netskope Introduces Zero-Trust Secure Access to Private Enterprise Applications

Netskope Introduces Zero-Trust Secure Access to Private Enterprise Applications

Suscríbase para recibir los estudios más recientes sobre seguridad en la nube

Al enviar este formulario, acepta nuestras Condiciones de uso y nuestra Política de privacidad.