El modelo Zero Trust, acuñado por Forrester en 2009, es un modelo de seguridad que funciona con el principio de «nunca confíe, siempre verifique». Todos los usuarios y dispositivos se consideran no confiables hasta que se verifique su identidad, incluso aquellos que han accedido previamente a activos empresariales antes o que están dentro de la red de la compañía.
Zero Trust va más allá de la mera segmentación de la red o de la seguridad basada en la identidad. Abarca seguridad de endpoints, seguridad de datos, SIEM, inteligencia sobre amenazas y mucho más.
Zero Trust es crucial en el modelo de teletrabajo actual, ayuda a proteger a las organizaciones frente a amenazas que los métodos tradicionales de seguridad no pueden enfrentar, tales como ataques basados en credenciales e infiltrados maliciosos que pueden comprometer los servicios u obtener datos confidenciales de la organización. De igual forma, permite a las empresas a cumplir con los mandatos regulatorios del mercado.
NIST SP800-207 nos indica los componentes lógicos de una red Zero Trust:
- Motor de políticas (PE): El PE se encarga de conceder o denegar el acceso a un determinado recurso. Para tomar su decisión, utiliza las políticas de la organización y las aportaciones de otros componentes como el sistema de diagnóstico y mitigación continuos (CDM), SIEM, servicios de inteligencia sobre amenazas, infraestructura de clave pública de la empresa (PKI), sistemas de gestión de identidades, etc.
- Administrador de las políticas (PA): El PA es el ejecutor de la toma de decisiones del PE, es el responsable de establecer o cortar la conexión entre las identidades (usuarios, aplicaciones, equipos) y los recursos a los que intentan acceder. Genera los tokens de autenticación específicos de la sesión y las credenciales necesarias para acceder a cualquier recurso de la empresa.
- Punto de aplicación de las políticas (PEP): El PEP es responsable de habilitar, monitorizar y finalizar las conexiones entre las identidades y los recursos a los que intentan acceder. Remite las solicitudes de conexión al PA y, a continuación, crea, deniega o interrumpe las conexiones con los recursos según las órdenes del PA. Más allá del PEP está la zona de confianza implícita en la que se encuentran los recursos de la organización.
La implementación de un modelo Zero Trust requiere disponer de soluciones que cubran todo el ciclo de vida de seguridad para todos los cinco pilares del Zero Trust
- Identidad (punto central)
- Datos
- Dispositivos
- Aplicaciones
- Seguridad de la red
Todo ello con herramientas que garanticen la:
- Visibilidad: de todas las identidades, dispositivos, datos, aplicaciones que acceden a su red, además de sus actividades.
- Detección: y análisis de todas las entidades y actividades dentro de su red para señalar cualquier actividad sospechosa o amenaza
- Respuesta: a amenazas y riesgos de manera adecuada —al forzar una autorización y autenticación adicionales, restringiendo los privilegios de los usuarios, poniendo en cuarentena dispositivos, terminando sesiones y más
- Resolución: al tomar medidas preventivas y fortalecer su seguridad —como restablecer credenciales y parchear vulnerabilidades.
ManageEngine ofrece a las organizaciones el fundamento tecnológico para implementar completamente su modelo de seguridad Zero Trust o llenar los vacíos de seguridad en su método existente.