Seguridad Zero Trust | ¿Qué es una red Zero Trust?

Zero Trust es un modelo de seguridad basado en el principio de mantener controles de acceso estrictos y no confiar en nadie por defecto, ni siquiera en los que ya están dentro del perímetro de la red.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir la seguridad Zero Trust
  • Resumir las tecnologías y los principios en los que se basa Zero Trust
  • Más información sobre cómo implantar una arquitectura de seguridad de Zero Trust

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es la Seguridad Zero Trust?

La seguridad Zero Trust es un modelo de seguridad informática que requiere una estricta verificación de la identidad para cada persona y dispositivo que intente acceder a los recursos de una red privada, independientemente de que se encuentre dentro o fuera del perímetro de la red. ZTNA es la principal tecnología asociada a la arquitectura Zero Trust; pero Zero Trust es un enfoque holístico de la seguridad de red, que incorpora diferentes principios y tecnologías.

Dicho de forma más sencilla: la seguridad tradicional de las redes informáticas confía en cualquiera y en cualquier cosa dentro de la red. Una arquitectura Zero Trust no confía en nadie ni en nada.

La seguridad tradicional de las redes informáticas se basa en el concepto perimetral. En la seguridad perimetral, es difícil obtener acceso desde fuera de la red, pero se confía en cualquiera que esté dentro de la red. El problema de este enfoque es que, una vez que un atacante consigue acceder a la red, puede moverse con libertad en el interior.

En el modelo de seguridad perimetral, los usuarios de la VPN son de confianza

Esta vulnerabilidad de los sistemas perimetrales se ve agravada por el hecho de que las empresas ya no tienen sus datos en un solo lugar. En la actualidad, la información suele estar repartida entre los proveedores de la nube, lo que hace más difícil tener un único control de seguridad para toda la red.

La seguridad Zero Trust significa que no se confía en nadie por defecto, ni desde dentro ni desde fuera de la red, y que se requiere la verificación de todos los que intentan acceder a los recursos de la red. Se ha demostrado que esta capa de seguridad añadida evita las fugas de datos. Hay estudios que han demostrado que el coste medio de una sola fuga de datos es de más de 3 millones de dólares. Teniendo en cuenta esta cifra, no debería sorprender que muchas organizaciones estén ahora impacientes por adoptar una política de seguridad Zero Trust.

¿Cuáles son los principios fundamentales de la Zero Trust?

Supervisión y validación continuos

La filosofía de una red Zero Trust parte de la base de que hay atacantes tanto dentro como fuera de la red, por lo que no se debe confiar automáticamente en ningún usuario o máquina. Zero Trust verifica la identidad y los privilegios de los usuarios, así como la identidad y la seguridad de los dispositivos. Los inicios de sesión y las conexiones se agotan periódicamente una vez establecidos, lo que obliga a volver a verificar continuamente a usuarios y dispositivos.

Mínimo privilegio

Otro principio de la seguridad Zero Trust es el acceso con mínimos privilegios. Esto significa dar a los usuarios solo el acceso que necesitan, como el general de un ejército, que solo da a los soldados la información necesaria. Esto minimiza la exposición de cada usuario a las partes sensibles de la red.

La implementación del mínimo privilegio implica una gestión cuidadosa de los permisos de los usuarios. Las VPN no se adaptan bien a los enfoques de autorización de mínimos privilegios, ya que el inicio de sesión en una VPN da a un usuario acceso a toda la red a la que se ha conectado.

Control de acceso a los dispositivos

Además de los controles sobre el acceso de los usuarios, Zero Trust también requiere controles estrictos sobre el acceso a los dispositivos. Los sistemas Zero Trust tienen que controlar cuántos dispositivos diferentes intentan acceder a su red, asegurarse de que cada dispositivo esté autorizado y evaluar todos los dispositivos para asegurarse de que no se hayan puesto en riesgo. Esto minimiza todavía más la superficie de ataque de la red.

Microsegmentación

Las redes Zero Trust también utilizan la microsegmentación. La microsegmentación es la práctica de dividir los perímetros de seguridad en pequeñas zonas para mantener un acceso separado para las diferentes partes de la red. Por ejemplo, una red con archivos en un único centro de datos que utiliza la microsegmentación puede contener docenas de zonas seguras separadas. Una persona o un programa con acceso a una de esas zonas no podrá acceder a ninguna de las demás sin una autorización independiente.

Evitar el movimiento lateral

En seguridad de redes, "movimiento lateral" es cuando un atacante se desplaza dentro de una red después de haber accedido a ella. El movimiento lateral puede ser difícil de detectar incluso si se descubre el punto de entrada del atacante, porque este ya se habrá ido para poner en riesgo otras partes de la red.

Zero Trust está diseñado para contener a los atacantes de modo que no se puedan mover lateralmente. Como el acceso de Zero Trust está segmentado y tiene que restablecerse de forma periódica, un atacante no puede moverse a otros microsegmentos de la red. Una vez se detecta la presencia del atacante, el dispositivo o la cuenta de usuario en riesgo pueden ponerse en cuarentena, impidiendo el acceso a otras partes. (En un modelo perimetral, si el movimiento lateral es posible para el atacante, poner en cuarentena al dispositivo o usuario en riesgo original tiene poco o ningún efecto, ya que el atacante ya habrá llegado a otras partes de la red).

Autenticación multifactor (MFA)

La Autenticación multifactor (MFA) también es un valor fundamental de la seguridad Zero Trust. MFA implica que se requiere más de una prueba para autenticar a un usuario; no basta con introducir una contraseña para obtener acceso. Una aplicación habitual de la AMF es la autorización de 2 factores (2FA), que se usa en plataformas en línea como Facebook y Google. Además de introducir una contraseña, los usuarios que activan la 2FA para estos servicios también deben introducir un código enviado a otro dispositivo, como un teléfono móvil, proporcionando así dos pruebas de que son quienes dicen ser.

¿Cuáles son las ventajas de Zero Trust?

Zero Trust como filosofía se adapta mejor a los entornos informáticos modernos que los enfoques de seguridad más tradicionales. Con una variedad tan amplia de usuarios y dispositivos que acceden a los datos internos, y con datos almacenados tanto dentro como fuera de la red (en la nube), es mucho más seguro suponer que ningún usuario o dispositivo es confiable, que suponer que las medidas preventivas de seguridad han tapado todos los agujeros.

El principal beneficio de aplicar los principios de Zero Trust es ayudar a reducir la superficie de ataques de una organización. Además, Zero Trust minimiza el daño cuando se produce un ataque, restringiendo la brecha a una pequeña zona mediante la microsegmentación, lo que también reduce el coste de recuperación. Zero Trust reduce el impacto de robo de las credenciales del usuario y de los ataques de phishing al exigir múltiples factores de autenticación. Ayuda a eliminar las amenazas que eluden las protecciones tradicionales dirigidas al perímetro.

Y, al verificar cada solicitud, la seguridad de Zero Trust reduce el riesgo que plantean los dispositivos vulnerables, incluidos los dispositivos IoT, que a menudo son difíciles de proteger y actualizar (consulte Seguridad IoT).

¿Cuál es la historia de la seguridad Zero Trust?

El término "Zero Trust" lo acuñó un analista de Forrester Research Inc. en 2010, cuando se presentó por primera vez el modelo del concepto. Unos años más tarde, Google anunció que había implementado la seguridad Zero Trust en su red, lo que motivó un creciente interés en su adopción en la comunidad tecnológica. En 2019, Gartner, una empresa global de investigación y consultoría, incluyó el acceso de seguridad Zero Trust como un componente básico de las soluciones de perímetro de servicio de acceso seguro (SASE) .

¿Qué es el Acceso a la red Zero Trust (ZTNA)?

El Acceso a la red Zero Trust (ZTNA) es la principal tecnología que permite que las organizaciones implementen la seguridad Zero Trust. Similar a un perímetro definido por software (SDP), ZTNA oculta la mayor parte de la infraestructura y los servicios, estableciendo conexiones encriptadas personalizadas entre los dispositivos y los recursos que necesitan. Más información sobre cómo funciona ZTNA.

¿Cuáles son algunos casos de uso de Zero Trust?

Cualquier organización que dependa de una red y almacene datos digitales probablemente considerará utilizar una arquitectura Zero Trust. Sin embargo, algunos de los casos de uso más comunes de Zero Trust son:

Sustituir o aumentar una VPN: muchas organizaciones confían en las VPN para proteger sus datos, pero como se ha descrito anteriormente, a menudo las VPN no son ideales para defenderse de los riesgos actuales.

Apoyando de forma seguro el trabajo remoto: mientras que las VPN crean congestiones y pueden ralentizar la productividad de los trabajadores remotos, Zero Trust puede ampliar el control de acceso seguro a las conexiones desde cualquier lugar.

Control de acceso para la nube y la multinube: una red Zero Trust verifica cualquier petición, sea cual sea su origen o destino.También puede ayudar a reducir el uso de servicios no autorizados basados en la nube (una situación denominada "shadow IT"), controlando o bloqueando el uso de aplicaciones no autorizadas.

Incorporación de terceros y contratistas: Zero Trust puede ampliar rápidamente el acceso restringido con los mínimos privilegios a terceros, que suelen utilizar ordenadores que no gestionan los equipos informáticos internos.

Incorporación rápida de nuevos empleados: las redes Zero Trust también pueden facilitar la incorporación rápida de nuevos usuarios internos, convirtiéndolas en una buena opción para las organizaciones de rápido crecimiento.En cambio, una VPN puede requerir que se añada más capacidad para dar cabida a un gran número de nuevos usuarios.

¿Cuáles son las principales buenas prácticas de Zero Trust?

  • Supervise el tráfico de red y los dispositivos conectados: la visibilidad es crucial para que los usuarios y las máquinas puedan ser verificados y autentificados.
  • Mantenga los dispositivos actualizados: es necesario parchear las vulnerabilidades lo antes posible.Las redes Zero Trust deben poder restringir el acceso a los dispositivos vulnerables (otra razón por la que la supervisión y la validación son fundamentales).
  • Aplique el principio del menor privilegio para todos los miembros de la organización: desde los ejecutivos a los equipos de TI, todos deben tener el menor acceso que necesiten.Esto minimiza el daño si una cuenta de usuario final está en riesgo.
  • Divida la red: dividir la red en fragmentos más pequeños ayuda a contener las infiltraciones en una fase temprana, antes de que puedan propagarse.La microsegmentación es una forma efectiva de hacerlo.
  • Actúe como si el perímetro de la red no existiera: a menos que una red esté completamente sin conexión (una rareza), los puntos en contacto con Internet o la nube son probablemente demasiado numerosos para eliminarlos.
  • Utilice claves de seguridad para MFA: los tokens de seguridad basados en hardware son evidentemente más seguros que los tokens blandos, como los códigos de acceso de un solo uso (OTP) enviados por SMS o correo electrónico.
  • Incorpore inteligencia sobre amenazas: dado que los atacantes actualizan y perfeccionan constantemente sus tácticas, suscribirse a las últimas fuentes de datos de inteligencia sobre amenazas es fundamental para identificar las amenazas antes de que se propaguen.
  • Evite motivar a los usuarios finales para que eludan las medidas de seguridad: del mismo modo que unos requisitos de contraseña demasiado estrictos incentivan a los usuarios a reciclar las mismas contraseñas una y otra vez, obligar a los usuarios a volver a autenticarse una vez cada hora mediante múltiples factores de identidad puede ser demasiado, lo que irónicamente disminuye la seguridad.Tenga siempre en mente las necesidades del usuario final.

Cómo implementar la seguridad Zero Trust

Zero Trust puede sonar complejo, pero adoptar este modelo de seguridad puede ser relativamente sencillo si se cuenta con el socio tecnológico adecuado. Por ejemplo, Cloudflare One es una plataforma SASE que combina servicios de red con un enfoque Zero Trust integrado para el acceso de usuarios y dispositivos. Con Cloudflare One, los clientes implementan automáticamente la protección de Confianza Cero en torno a todos sus activos y datos.