El auge de la confianza cero: reinventando la seguridad de la red

Tradicionalmente, las estrategias de ciberseguridad se enfocaban en crear un perímetro formidable alrededor de la red, muy parecido a construir una fortaleza para protegerse contra los intrusos. Este proceso suele denominarse la estrategia del «castillo y el foso». La suposición aquí es que las amenazas son externas, mientras que todo o todos dentro de la red se consideran seguros y confiables.

Con el paso del tiempo, los defectos de este enfoque se hicieron cada vez más evidentes. El establecimiento de trabajo remoto, dispositivos móviles, servicios basados en la nube y políticas BYOD ha provocado que los bordes del «perímetro de la red» se vuelvan borrosos y, en algunos casos, desaparezcan por completo. Además, hemos observado casos en los que la amenaza surgió desde dentro de la red. Confiar en una estrategia de defensa basada en el perímetro en este contexto es similar a cerrar puertas y ventanas cuando el ladrón ya está dentro de la casa.

El advenimiento de la confianza cero

Zero Trust es un concepto de seguridad centrado en la creencia de que las organizaciones no deben confiar automáticamente en nada, ni dentro ni fuera de sus perímetros. En cambio, deben verificar cualquier cosa y todo lo que intente conectarse a sus sistemas antes de otorgar acceso. En otras palabras, no confíes en nada, verifica todo, de ahí el nombre Zero Trust.

Un cambio de mentalidad

El auge de Zero Trust marca un cambio de paradigma de ‘confiar, pero verificar’ a ‘nunca confiar, siempre verificar’. Cambia fundamentalmente la forma en que abordamos la seguridad al eliminar la suposición de confianza. Y esto no se limita a amenazas potenciales desde fuera de la red. Zero Trust exige que incluso las solicitudes que se originan dentro de la red deben verificarse antes de otorgar acceso. Esta filosofía ofrece una solución a las limitaciones del modelo de seguridad basado en el perímetro y garantiza un entorno más seguro, adaptable al panorama digital actual en constante cambio.

El mecanismo de la confianza cero

En el corazón de Zero Trust se encuentra el principio de privilegio mínimo (POLP). Se sugiere que un individuo (usuario o sistema) debe tener solo los permisos básicos necesarios para llevar a cabo sus funciones, nada más y nada menos. Limitar los derechos de acceso excesivos significa que POLP reduce la superficie de ataque y minimiza el riesgo de amenazas internas.

En una arquitectura Zero Trust, cada solicitud de acceso está fuertemente autenticada, estrictamente autorizada en base a POLP y cifrada de extremo a extremo. Este proceso se aplica cada vez que se accede al recurso, creando un protocolo de seguridad más dinámico y robusto.

El papel de ZTNA

En el modelo Zero Trust, ZTNA o Zero Trust Network Access juega un papel fundamental. Según los expertos de Hillstone Networks, reemplaza el acceso VPN tradicional y proporciona un control de acceso detallado y basado en el contexto a los recursos de la red. La adopción de ZTNA permite a las organizaciones hacer cumplir los principios de Zero Trust, lo que garantiza que todos los usuarios y dispositivos estén autenticados y autorizados antes de obtener acceso a los recursos de la red.

¿Por qué Confianza Cero?

Quizás se pregunte, ¿por qué el modelo Zero Trust es tan fundamental en el mundo actual? Aquí hay algunas razones:

• Se adapta a la arquitectura de red moderna: con el uso creciente de servicios basados en la nube, trabajo remoto y políticas BYOD, el perímetro de red convencional ya no existe. Zero Trust ofrece una solución flexible y adaptable que se adapta a estos requisitos de redes modernas.

• Mitiga las amenazas internas: los modelos de seguridad tradicionales estaban menos equipados para manejar las amenazas que se originaban dentro de la red. Asumir que todo no es confiable hasta que se verifique significa que Zero Trust reduce significativamente el riesgo de amenazas internas.

• Reduce la superficie de ataque: el principio de privilegio mínimo, que es la piedra angular de Zero Trust, restringe los derechos de acceso al mínimo necesario, reduciendo así los posibles puntos de ataque.

• Fortalece el cumplimiento normativo: la implementación de un control granular y una amplia visibilidad sobre el acceso permite que Zero Trust ayude a las organizaciones a cumplir con los estrictos requisitos normativos relacionados con la privacidad y la protección de datos.

Para concluir, el surgimiento de Zero Trust significa el comienzo de una nueva era en la seguridad de la red. Con él, estamos reinventando la seguridad de la red: una solicitud ‘no confiable’ a la vez.