El modelo Zero Trust

Zero Trust, o Cero Confianza, es un paradigma de seguridad que combina una verificación de identidad estricta y un permiso explícito para cada persona o entidad que intente acceder o utilizar los recursos de la red, los que son, por supuesto, recursos de una organización, independientemente de si la persona o entidad se encuentra “dentro” del perímetro de red de una empresa o si accede de forma remota.

Publicado el 28 Feb 2021

alianza2

Por Hugo Galilea, Director de la Alianza Chilena de Ciberseguridad (ACC).

El modelo Zero Trust (ZT) fue implementado tempranamente por Google el año 2009, en respuesta a un ataque altamente sofisticado (APT) llamado “Operación Aurora”, realizado por una serie de grupos criminales de supuesta procedencia China, como Elderwood Group, con base en Beijing, y que fue sancionado por el Gobierno de ese país. Luego fue introducido por John Kindervag, cuando trabajaba para la firma de analistas Forrester Research en el año 2010.

El mencionado ataque/operación, realizado contra múltiples compañías norteamericanas, provocó un aumento de inversión considerable en servicios de ciberseguridad para proteger su perímetro, pero fue Google el que innovó al implementar su arquitectura de red llamada “The BeyondCorp Framework”, un sistema Zero Trust, sino el primero, que supone que cualquier entidad en la red después del firewall es tan sospechosa como cualquiera detrás de este.

El modelo Zero Trust no se basa en una sola tecnología. Se trata de un marco que soporta la implementación de “acceso con privilegios mínimos”. Puede incluir una variedad de tecnologías diferentes y mejores prácticas, todas centradas en saber de manera confiable quién está tratando de acceder o usar datos y si tiene permiso explícito para hacerlo. La filosofía detrás de esto a menudo se reduce a “nunca confiar, siempre verificar”, mientras que la mayoría de los modelos tradicionales se pueden describir como “confiar, pero verificar”.

¿Qué son las ZTNA?

Las Zero Trust Network Access (ZTNA), como servicios basados en la nube, son la evolución natural del uso de las Virtual Private Network (VPN) para 2021. Llamamos ZTNA a una forma de implementar el modelo ZT para controlar el acceso a datos y recursos internos desde dentro y fuera de la organización. Pero para entender bien las ZTNA se debe hacer un poco de historia y comprender para qué fueron creadas las VPN. Estas son muy útiles para entregar acceso a una red local desde el exterior, por un túnel de datos encriptados.

Hace no muchos años era en la red local donde se encontraban todos los servicios a los que el usuario debía acceder, los datos y base de datos necesarios. Todos los activos y servicios digitales estaban alojados en la LAN de la organización.

Hoy, con la desaparición del perímetro de trabajo gracias a la adopción de labores remotas, la moda del BYOD, Shadow IT y la tendencia a ambientes híbridos o full cloud, nos enfrentamos a un escenario diferente, donde el usuario debe acceder tanto a servicios locales como en la nube. Por esto, ingresar a este servicio a través de una VPN que conecte primero con la oficina y desde ahí salir a la web no hace mucho sentido. En vez de que cada uno utilice su ancho de banda remoto, estamos creando un “cuello de botella” artificial: el ancho de banda de nuestra LAN.

Cabe recordar todo el “hype” que se vivió cuando se amenazó la supremacía de las MPLS (Multiprotocol Label Switching) con los SD-WAN (Software Defined – Wide Area Network). Esta última se trata de una red de larga distancia con gran extensión geográ- fica. Es una solución que simplifica la interconexión entre sucursales distantes, baja los costos y, más importante aún, devuelve el control. El tema con las ZTNA es similar, buscamos adecuarnos a las nuevas características de nuestra organización, donde las fronteras no existen, pero siempre buscando mejorar tanto la seguridad de los datos, como la experiencia del usuario.

La alternativa actual, si utilizamos una VPN, es dar acceso a los servicios en la nube a los usuarios en forma remota, pero pedirles a ellos que se conecten por VPN para algunos servicios que se alojan en la LAN (seguramente los más críticos y con información más sensible), mientras que se conectan en forma directa para otros servicios que se encuentran en nubes públicas. Sin embargo, esto puede ser un real “dolor de cabeza” para los usuarios menos experimentados, obligando a nuestra mesa de soporte a recibir y solucionar cientos de consultas de esta índole. Otra alternativa podría ser la microsegmentación, estableciendo reglas complicadas para controlar que los usuarios puedan acceder a la red, lo que sabemos que es complejo y, a mayor dificultad, más cantidad de errores involuntarios.

Es en este ámbito donde brillan los sistemas ZTNA, que con frecuencia se ofrecen como un servicio basado en la nube, donde se personaliza el acceso de cada usuario solo a las aplicaciones específicas que necesita. Todo lo demás en la red interna permanece oculto. Este enfoque admite que los equipos de redes permitan el acceso remoto a aplicaciones de la línea de negocios, mientras los equipos de seguridad otorgan visibilidad y el control que necesitan para mantener protegida a la empresa.

Agregando seguridad y eficiencia

Y así como los SD-WAN, las ZTNA también entregan mayor seguridad al poder controlar el acceso al uso y la forma de compartir o almacenar los datos. ZTNA, además, nos permitirá fácilmente aislar accesos de red y de aplicaciones, accediendo a la red y solo a las aplicaciones que la organización estime que ese usuario/entidad puede. Asimismo, este sistema nos permite ocultar las IPs a usuarios/entidades no autorizados, algo crucial para combatir cibercriminales, al realizar solo conexiones salientes. Además, posibilita facilitar accesos a aplicaciones o recursos multi cloud, cloud interno o híbridos, a través de una política centralizada de políticas de acceso.

Integrado con UAM (User Activity Monitoring), el cual se refiere a herramientas que rastrean el comportamiento de los usuarios en la organización a través de dispositivos, redes y nubes, las organizaciones podrán comprender cómo interactúan sus usuarios con los recursos y datos de la para detectar y detener las amenazas internas.

Es interesante entender cómo el enfoque de seguridad centrado en la red cambia a un enfoque entidad/aplicación, transformando Internet en la nueva red corporativa, con micro túneles cifrados de extremo a extremo como una micro VPN en lugar de una MPLS. Las organizaciones de seguridad maduras utilizan las herramientas UAM para comprender de forma proactiva y continua el riesgo, ya sea a través de errores humanos o de intenciones maliciosas, frente a la vigilancia de los empleados objetivo y las mediciones de rendimiento; lo mismo que veníamos haciendo dentro de las LAN lo podemos implementar ahora en forma remota.

Verificar quién es el que accede a los datos y si está autorizado para esto, es solo el comienzo. Una vez más debemos poner en contexto dicho uso, dado que puede existir un riesgo si hay un cambio de comportamiento sospechoso.

Les ha tomado más de 10 años a las ZTNA tener el control, pero con la adopción de tecnologías cloud y móviles, han hecho desaparecer el perímetro de la red y existe la oportunidad para implementarlas, agregando seguridad y eficiencia.

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

Redacción

Artículos relacionados

Artículo 1 de 2