Programa de Zero Trust

Descubre 5 sencillos proyectos hacia un futuro Zero Trust

La adopción de Zero Trust es compleja, pero empezar no tiene por qué serlo

Es un hecho ampliamente reconocido que la adopción de la seguridad Zero Trust es difícil. En muchos sentidos, esta reputación la tiene merecida. La estrategia Zero Trust requiere unos esfuerzos acerca de los que los responsables de TI y de la seguridad se muestran cautos, y con razón: replantearse las políticas de permiso por defecto y la arquitectura de red basada en el perímetro, la colaboración entre equipos funcionalmente diferentes y confiar en los nuevos servicios de seguridad. Es posible que las organizaciones pospongan esta transformación por diversas razones, entre ellas:

• Limitaciones de capacidad debido a otros proyectos simultáneos

• La variedad de soluciones que ofrecen los proveedores Zero Trust

• La incertidumbre sobre dónde se encuentran los distintos recursos y aplicaciones en la red

• La posible interrumpción de la productividad de los empleados

El marco Zero Trust es bastante complejo en su conjunto (la hoja de ruta completa hacia la arquitectura Zero Trust consta de 27 pasos). Sin embargo, algunos de ellos apenas requieren esfuerzo, incluso para los equipos pequeños con limitaciones de tiempo.

Adopción gradual de Zero Trust

En un contexto de red, la seguridad Zero Trust requiere la inspección, la autenticación, la encriptación y el registro de cada solicitud que entre, salga o circule dentro de una red corporativa. Se basa en la idea de que no se debe confiar implícitamente en ninguna solicitud, venga de donde venga o se dirija a donde se dirija.

Los primeros pasos hacia la adopción de Zero Trust requieren establecer estas funciones allí donde actualmente no existen. Para las organizaciones que empiezan desde cero, a menudo significa ampliar estas funciones más allá de un único "perímetro de red".

A continuación te presentamos cinco de los proyectos más sencillos de adopción de Zero Trust. Se centran en la seguridad de los usuarios, las aplicaciones, las redes y el tráfico de Internet. Estos proyectos por sí solos no lograrán una arquitectura Zero Trust integral. Pero ofrecen ventajas inmediatas y proporcionan el impulso inicial para una transformación más amplia.

PROYECTO 1

Aplicar la autenticación multifactor para las aplicaciones críticas

En un enfoque Zero Trust, la red debe estar extremadamente segura de que las solicitudes proceden de la entidad de la que afirman proceder. Esto significa establecer sistemas de protección contra el robo de credenciales de usuario mediante phishing o fugas de datos. La autenticación multifactor (MFA) es la mejor protección contra este robo de credenciales. Una implementación integral de la autenticación multifactor puede llevar mucho tiempo, pero centrarse en las aplicaciones más críticas es una victoria más sencilla, aunque igualmente de gran impacto.

Las organizaciones que ya disponen de un proveedor de identidad pueden configurar la autenticación multifactor directamente en ese proveedor, por ejemplo, mediante códigos de un solo uso o aplicaciones de notificaciones push enviadas a los dispositivos móviles de los empleados. Para las aplicaciones no integradas directamente con tu IdP, considera la posibilidad de utilizar un Proxy inverso para aplicaciones delante de la aplicación para exigir la autenticación multifactor.

Las organizaciones que no cuentan con un proveedor de identidad pueden adoptar un enfoque distinto respecto a la autenticación multifactor. Las plataformas sociales como Google, LinkedIn y Facebook, o las contraseñas de un solo uso (OTP), son otra forma de comprobar dos veces la identidad de los usuarios. Esta es una forma habitual de arrancar el acceso para proveedores de terceros sin añadirlos a un proveedor de identidad corporativo. También puede aplicarse dentro de la propia empresa.

PROYECTO 2

Aplicación de políticas Zero Trust para aplicaciones críticas

Aplicar la arquitectura Zero Trust no solo significa verificar la identidad de los usuarios. Las aplicaciones también deben estar protegidas con políticas que verifiquen siempre las solicitudes, tengan en cuenta diversos comportamientos y factores contextuales antes de autenticar, y supervisen continuamente la actividad. Como en el Proyecto 1, la implementación de estas políticas se simplifica cuando se aplican a una lista inicial de aplicaciones críticas.

Este proceso varía en función del tipo de aplicación de que se trate:

1. Aplicaciones privadas autoalojadas (accesibles solo en la red corporativa)

2. Aplicaciones públicas autoalojadas (accesibles a través de Internet)

3. Aplicaciones SaaS

PROYECTO 3

Supervisar las aplicaciones de correo electrónico y filtrar los intentos de phishing

El correo electrónico no siempre se incluye en la conversación sobre Zero Trust. Sin embargo, es la forma número uno de comunicarse de la mayoría de las organizaciones, la aplicación SaaS más utilizada y el punto de entrada más común para los atacantes. Merece los principios Zero Trust para complementar los filtros y las inspecciones de amenazas habituales.

Un paso fundamental para lograr este objetivo es la implementación de la seguridad del correo electrónico en la nube. Además, el equipo de seguridad debería considerar una opción para poner en cuarentena en un navegador aislado aquellos enlaces que no sean lo suficientemente sospechosos como para bloquearlos por completo.

PROYECTO 4

Cerrar todos los puertos de entrada abiertos a Internet para la entrega de aplicaciones

Los puertos de red de entrada abiertos son un vector de ataque habitual y deberían recibir protección Zero Trust.

La tecnología de exploración permite encontrarlos y, a continuación, un proxy inverso Zero Trust puede exponer de forma segura una aplicación web a la red de Internet pública sin abrir ningún puerto de entrada. El único registro públicamente visible de la aplicación es su registro DNS, que puede protegerse con autenticación Zero Trust y funciones de registro.

Como capa adicional de seguridad, se puede aprovechar el DNS interno/privado utilizando una solución de acceso a la red Zero Trust.

PROYECTO 5

Bloquear las solicitudes de DNS hacia amenazas conocidas o destinos peligrosos

El filtrado de DNS es la práctica de impedir que los usuarios accedan a sitios web y a otros recursos de Internet maliciosos conocidos o muy sospechosos. No siempre se incluye en la conversación sobre Zero Trust porque no implica inspección ni registro del tráfico. No obstante, en última instancia, puede controlar dónde pueden transferir y cargar datos los usuarios (o los grupos de usuarios), lo que se adhiere a la filosofía Zero Trust a nivel más general.

El filtrado de DNS se puede aplicar a través de la configuración del enrutador o directamente en el equipo del usuario.

Comprender el panorama Zero Trust en su conjunto

La implementación de estos proyectos puede ser una primera toma de contacto relativamente sencilla con la arquitectura Zero Trust. Cualquier organización que los lleve a cabo con éxito habrá avanzado considerablemente hacia una seguridad mejor y más moderna.

La adopción más amplia de la arquitectura Zero Trust sigue siendo complicada. Para ayudarte, hemos creado una hoja de ruta independiente de proveedor para todo el recorrido hacia Zero Trust. Esta hoja de ruta abarca estos cinco proyectos y otros similares. Algunos tardarán mucho más que unos días, pero la hoja de ruta puede proporcionar una mayor claridad sobre lo que significa la adopción de la arquitectura Zero Trust.

Cloudflare ofrece todos estos servicios a través de Cloudflare Zero Trust. Puede verificar, filtrar, aislar e inspeccionar todo el tráfico de red, todo ello en una plataforma uniforme y modular para facilitar la configuración y las operaciones. Además, su red troncal virtual segura, que utiliza una red mundial de 300+ ciudades con más de 12,500 interconexiones, ofrece importantes ventajas de seguridad, rendimiento y fiabilidad en comparación con la red pública.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

CONCLUSIONES CLAVE

• La guía de implementación Zero Trust contiene 27 pasos detallados

• Los 5 proyectos de adopción del modelo Zero Trust requieren relativamente poco esfuerzo

• Los tipos de servicios que permiten la implementación

• Cómo iniciar una guía de implementación para tu organización

Recursos relacionados

• Guía de implementación de la arquitectura Zero Trust

• ¿Qué es el principio de mínimos privilegios?

• El auge del acceso a la red Zero Trust

• Seguridad Zero Trust para navegadores