¿Qué es Zero Trust y por qué ha captado la atención de los profesionales de la ciberseguridad en la industria y el gobierno?

Vamos a explicarlo con un ejemplo fácil de entender: para imprimir un documento, un empleado debe estar «en la misma red» que la impresora. La topología de la red crea una relación de confianza implícita. El simple hecho de estar «en la red» implica que el empleado está autorizado a acceder a la impresora. Pero, si en lugar de la impresora, el recurso ahora es una base de datos que contiene información de la tarjeta de crédito del cliente, debemos tener mucho cuidado con quién tiene acceso a la red.

Si en cambio, confiáramos en autenticar primero al empleado para asegurarnos de que es quien dice ser, luego otorgarle acceso autorizado basado en una política corporativa, no necesitaríamos ceder. Esto significa que nuestra base de datos de tarjetas de crédito tiene cierto nivel de protección contra atacantes que se encuentran en la misma red.

Con un marco de Confianza Cero implementado, se supone que todas las redes ya están violadas. El término «Confianza cero» sugiere que el acceso a cualquier recurso no se asume en función del acceso a la red; se otorga solo después de que se establezca la confianza mediante autenticación y autorización. El modelo Zero Trust promueve una especie de «seguridad sin perímetro» que protege los recursos y los datos, incluso en caso de que se comprometan en algún lugar de la red. Reemplazar la confianza implícita con la confianza explícita revela cualquier supuesto de seguridad oculto, lo que facilita la gestión de la seguridad y el riesgo.

El modelo de seguridad empresarial tradicional se basaba en un perímetro «reforzado». Había menos aplicaciones, ejecutándose en unos pocos centros de datos centralizados, completamente bajo el control de la TI empresarial; en aquella época, asegurar la empresa en el perímetro era suficientemente buen nivel de ciberseguridad para la empresa media.

Sin embargo, las aplicaciones empresariales de hoy en día se ejecutan en un entorno cada vez más complejo. Las aplicaciones y los datos se han movido cada vez más más allá del perímetro corporativo tradicional hacia la nube pública, lo que ya hace hincapié en el modelo de perímetro. Además, se le añade una fuerza laboral cada vez más móvil, requisitos crecientes para la colaboración del ecosistema e iniciativas de múltiples nubes. Al mismo tiempo, se digitalizan más operaciones comerciales que antes: las empresas son más susceptibles a las amenazas cibernéticas de lo que solían ser.

Las herramientas probadas y verdaderas del arsenal de TI, es decir, firewalls, VPN y VLAN,tienen ahora más de veinte años. Con estas herramientas, la política se define por topología. Se definieron para admitir redes estáticas, y la gestión de cambios para admitir requisitos complejos y dinámicos, es una lucha.

El acceso desde el punto A al punto B se define mediante la programación de direcciones IP y todos los enrutadores y cortafuegos a lo largo de la ruta. Ya es bastante difícil visualizar que está conectado con que, además deba tratar de administrar el riesgo en función de la interacción de estos componentes administrados por separado.

Artículo publicado en CiberSecurity News

Compartir en:
X