¿Qué es la seguridad de confianza cero?

La seguridad de confianza cero es una arquitectura de seguridad que limita el acceso a los recursos mediante estrictos procedimientos de verificación de identidad y dispositivos. La confianza cero se basa en el concepto de «nunca confiar, siempre verificar» y reconoce que los modelos de seguridad tradicionales ya no son eficaces.

La seguridad de confianza cero incorpora los conceptos de identidad de confianza cero (ZTI) y arquitectura de red de confianza cero (ZTNA). La identidad de confianza cero garantiza que ningún terminal sea de confianza de forma predeterminada, independientemente de su ubicación y tipo. La arquitectura de red de confianza cero limita el acceso de los usuarios y los dispositivos a segmentos específicos de una red.

Los usuarios y sus dispositivos deben pasar por estrictos controles de seguridad para acceder a las entidades protegidas. El proceso de autenticación y autorización antes de permitir que un solo paquete llegue al servicio de destino aplica lo que se conoce como «privilegios mínimos», en el que las entidades solamente reciben los privilegios mínimos que necesitan para realizar su trabajo.

«How To Get From Here To Zero Trust»

Simplifique la transición a la confianza cero

¿Por qué implementar una arquitectura de red de confianza cero?

Una arquitectura de red de confianza cero resuelve dos deficiencias esenciales en el diseño de red tradicional: en primer lugar, el modelo de seguridad de red tradicional proporciona un perímetro estático, con una red y puntos de demarcación de seguridad claramente definidos. Sin embargo, con los dispositivos móviles, la nube, el Internet de las cosas (IdC) y la informática perimetral, la red se desdibuja y dispone de numerosos puntos de entrada, lo que hace que los activos detrás del perímetro sean cada vez más difíciles de defender.

La arquitectura de red de confianza cero aborda este problema sin confiar en nada, ni dentro ni fuera de la red de la organización. El perímetro tradicional tiene menos relevancia y no hay nada que se considere «de confianza». Como resultado, las organizaciones pueden tener muchos puntos de entrada con seguridad a la altura de las cargas de trabajo.

En segundo lugar, las redes tradicionales suelen funcionar con un amplio nivel de acceso. Una vez se ha accedido a un segmento, existe la posibilidad de ver y acceder a todos los demás dispositivos. Un nivel de acceso amplio presenta una gran superficie de ataque e implica desplazamiento lateral sin control.

Una arquitectura de red de confianza cero le da la vuelta a este enfoque y crea un pequeño microsegmento dentro de la red, con un acceso muy limitado. En este modelo, la identidad no se basa en la dirección IP, sino en atributos lógicos como los nombres de las máquinas virtuales.

¿Cómo se implementa una red de confianza cero?

El camino para lograr una arquitectura de red de confianza cero comienza por la microsegmentación. La microsegmentación crea la red accesible mínima necesaria para realizar tareas específicas de forma segura. Esto se consigue subdividiendo las redes más grandes en microsegmentos pequeños, seguros y flexibles. En lugar de tener un perímetro estático, la microsegmentación presenta muchos perímetros pequeños que permanecen con las entidades protegidas. Esto reduce la superficie de ataque al mínimo absoluto.

Una arquitectura de red de confianza cero solo permite acceder a pequeños segmentos de la red, y solo a los usuarios que confirman que están autorizados a acceder a cada segmento. La autenticación de usuarios y dispositivos se realiza a nivel de microsegmento.

La conectividad a cada microsegmento se basa en un modelo de necesidad de conocimientos. No se transmite información de DNS, direcciones IP internas ni puertos visibles de la infraestructura de red interna.

Para acceder a cualquier segmento individual, los usuarios deben superar procedimientos estrictos de identificación y de verificación de dispositivos. Cada sesión debe estar autenticada, autorizada y contabilizada (AAA) antes de poder establecer una sesión de comunicación.

Para lograr la identidad de confianza cero, las identidades de red deben basarse en atributos lógicos, como la autenticación multifactor (MFA), un certificado de seguridad de la capa de transporte (TLS), el servicio de aplicaciones o el uso de etiquetas lógicas.

Para implementar una arquitectura de red de confianza cero completamente, VMware ofrece el cortafuegos definido por servicio de VMware, un cortafuegos interno distribuido y con escalabilidad horizontal, basado en VMware NSX, que protege el tráfico este-oeste en entornos multinube.

Mantenimiento de una red de confianza cero

Para mantener una red de confianza cero, debemos tener en cuenta varios ámbitos:

En primer lugar, para configurar los controles de seguridad adecuados, el departamento de TI debe tener una idea clara de todos los usuarios y dispositivos que tienen acceso a la red y los privilegios de acceso que necesitan para realizar su trabajo.

El departamento de TI también debe garantizar que las políticas de seguridad de red se mantengan actualizadas. Es una buena idea probar la efectividad de las políticas con regularidad para asegurarse de que ninguna vulnerabilidad haya pasado desapercibida. Además, el departamento de TI debe seguir supervisando la conformidad: el tráfico de red se supervisa constantemente para detectar comportamientos inusuales o sospechosos.

Por último, necesitamos visibilidad a nivel de flujo de tráfico y a nivel de proceso y contexto de datos. Sin este tipo de visibilidad granular de las aplicaciones, es difícil asignar y comprender completamente el flujo de tráfico normal en comparación con los patrones de comunicación irregulares.

Con el cortafuegos definido por servicio de VMware, las empresas obtienen una gran visibilidad y controles completos de políticas desde un solo panel de control.

Productos y soluciones relacionados

Microsegmentación

Defina y aplique políticas de seguridad de red en los distintos entornos de nube.

Workspace ONE

Esta plataforma de área de trabajo digital hace posible el modelo de confianza cero.

Seguridad de VMware

Implemente la confianza cero con menos herramientas y silos, mejor contexto y seguridad.