Vamos a entender, filosóficamente hablando, qué es esto de Zero Trust y cuando comenzó a tener un impacto en nuestros negocios.
Zero Trust es un modelo de seguridad que no confía implícitamente en nada dentro o fuera de la red corporativa. Fue creado por Forrester en 2010 como alternativa al modelo tradicional de «confiar, pero verificar». Zero Trust requiere autenticación, verificación, análisis y control de todas las conexiones, endpoints y recursos de la red. El objetivo es prevenir, detectar y mitigar amenazas de seguridad de manera más efectiva.
Fue un cambio importante, pasar de la estrategia de «confiar, pero verificar» a «nunca confiar, siempre comprobar». En el modelo Zero Trust, no se confía en ningún usuario o dispositivo para acceder a un recurso hasta que se compruebe su identidad y autorización.
Este proceso se aplica a quienes suelen encontrarse en una red privada, como una persona empleada en un ordenador de empresa que trabaja de forma remota desde casa o en su dispositivo móvil durante una conferencia al otro lado del mundo. También se aplica a todas las personas o terminales fuera de esa red. No importa si ha accedido a la red antes o cuántas veces lo ha hecho: su identidad no es de confianza hasta que se vuelva a comprobar. La idea es suponer que cada máquina, usuario y servidor no son de confianza hasta que se demuestre lo contrario.
Que aporta este modelo de seguridad: Fortificacion.
Zero Trust aporta principalmente una base normativa sobre la que exponer recursos. Una base que indica el camino a seguir por parte de un departamento técnico que tenga previsto fortificar el acceso a sus recursos.
Fortificación, securización… como si de un castillo medieval se tratase y quisieses proteger todo lo que hay dentro. Para facilitar la adecuación a este modelo debemos tener en cuenta tres principios básicos
- Comprobar explícitamente: realizar siempre las operaciones de autorización y autenticación en función de todos los recursos a los que un usuario pudiera acceder. Preguntar constantemente, ¿quién eres tú?
- Usar el acceso de privilegios mínimos: limitar el acceso de los usuarios en tiempo y forma con el menor de los privilegios administrativos necesarios para realizar la tarea en cuestión.
Utilizar directivas que se adaptan al nivel de riesgo y al grado de exposición del recurso, a demandas por parte de usuarios malintencionados y protección de datos con criptografía para evitar fuga de información confidencial llegado el caso.
- Asumir que hay brechas: Dar por hecho que existen brechas pero que están controladas. Minimizar el radio de expansión y el acceso a los segmentos corporativos para evitar propagaciones laterales y tener un control exhaustivo de la demanda del usuario.
Conclusión
Zero Trust es un Excelente modelo para tenerlo como base con la intención de proteger los recursos corporativos y bunkerizar tu entorno de trabajo.
Además podemos interpretar mas fácilmente qué productos pueden cubrir cada uno de los tres principios básicos analizando que ofrece el mercado y a través de que proveedor o fabricante hacerlo.
Una excelente guía para saber qué buscar en tus socios tecnológicos.
Gadesoft
Gadesoft Trainer and Consultant
