Este artículo es el primero de una serie de publicaciones sobre cómo simplificar la adopción de zero trust. Si no estás familiarizado con el concepto, te recomendamos que comiences tu camino de lectura a través de nuestro artículo sobre su funcionamiento básico y luego pasar a otro más detallado sobre su arquitectura. Quienes ya están familiarizados con el tema saben lo difícil que es implementar un modelo de seguridad zero trust.
De acuerdo con la página Zero Trust Roadmap, la arquitectura zero trust está compuesta por siete componentes. Su implementación ideal requiere el cumplimiento de 28 pasos que involucran diferentes niveles de esfuerzos y áreas de TI. Esto puede parecer desalentador al principio, pero los beneficios de zero trust son, como mínimo, muy recompensadores.
Afortunadamente, por más difícil que sea la escalada a la arquitectura zero trust, es posible simplificarla de modo que ejecutando determinados pasos consigas construir una base que te permita llegar a la cima más rápido. En este post, presentaremos los primeros estadios para lograr este objetivo.
Requisitos para un proceso de implementación de zero trust simplificado
Lo primero que debes hacer es idear un plan para simplificar el proceso. De acuerdo con las prácticas recomendadas por Forrester, este plan debe seguir cuatro etapas: identificación, mapeo de soluciones, microsegmentación y recorrido. A continuación, te explicamos cada uno de ellas.
Identificación
La identificación es el punto de partida de la fase de simplificación. Es donde se presentan todos los componentes de un ecosistema de zero trust (datos, cargas de trabajo, redes, usuarios y dispositivos).
Datos
Para que los datos sensibles de una empresa puedan ser protegidos y gestionados es necesario, primeramente, identificarlos. Hecho esto, pueden clasificarse y categorizarse para definir entonces un control de acceso para ellos.
Vale la pena enfatizar que la visibilidad de los eventos que ocurren en las aplicaciones es importante para el control de acceso a los datos. Después de todo, esto permite comprender cómo se han tratado los datos, quién y cómo) ha accedido a ellos y los ha compartido.
Cargas de trabajo
En el contexto de zero trust, las cargas de trabajo (workloads) se refieren a todos los elementos de los sistemas front-end y back-end utilizados para gestionar el negocio y adquirir, atender y retener clientes[1].
Esto incluye conexiones, aplicaciones y componentes que encajan como vectores de ataque y, por lo tanto, requieren un estricto mecanismo de seguridad para que no sean explotados por intrusos.
Redes
Abarca todas las redes públicas, privadas y virtuales existentes en la empresa. La identificación de redes permite la creación de un control de acceso granular para usuarios, endpoints y dispositivos a través de un proceso denominado microsegmentación, del que hablaremos más adelante.
Usuarios
Aquí se trata de identificar a todos los usuarios/entidades (y sus respectivos roles) en la red. Al obtener esta información, es posible establecer un control de acceso basado en el rol del usuario (RBAC).
El concepto RBAC (Role-Based Access Control, control de acceso basado en roles) es lo que hace posible la aplicación de un modelo de zero trust. Como los usuarios solo deben tener acceso a lo necesario para realizar una tarea o función, RBAC contribuye al permitir que se determine quién y cómo se puede acceder a un dato o servicio.
Dispositivos
Un dispositivo es cualquier activo físico o virtual que se comunique con la red, como los laptops, API o los dispositivos IoT. Identificarlos permite que el equipo de seguridad los proteja y los gestione de acuerdo con las mejores prácticas de zero trust.
A medida que se identifican y analizan los dispositivos, el equipo de seguridad obtiene una visión más general de los riesgos (risk awareness, conciencia del riesgo) que estos representan para la seguridad de los datos y de la propia aplicación.
Mapeo de soluciones
Después de la etapa de identificación, comienza el mapeo de soluciones. Es en este paso que se configuran los privilegios mínimos y se determinan los parámetros de acceso para cada dato o servicio (quién, qué, por qué, cuándo y cómo se quiere acceder), lo que es aplicable también a cargas de trabajo, redes y dispositivos.
Como sabes, otorgar acceso mínimo es uno de los pilares del modelo zero trust y esto se aplica de manera bastante simple en la práctica. Por ejemplo, para llevar a cabo su función, un contador necesita tener acceso a la información financiera de la empresa, pero no a toda, su acceso deberá estar restringido a solo una parte de ella.
Asimismo, una API solo debe comunicarse con las aplicaciones y servicios correspondientes a su función. Si el propósito de la API es conectar un componente de la aplicación a una base de datos, cualquier otro permiso de acceso que no sea estrictamente para realizar esta tarea representará una brecha de seguridad.
Microsegmentación
La microsegmentación es la división lógica de la infraestructura, las redes y las aplicaciones en distintos segmentos de seguridad, en la que cada componente se configura y gestiona individualmente, sin interferir en los demás.
Podemos pensar en la microsegmentación como en un conjunto de contenedores. Al igual que en el caso de los contenedores, los componentes con subprocesos tienen sus propias características de infraestructura y definiciones de seguridad. Entonces, debido a que están “aislados” entre sí, los atacantes no pueden desplazarse libremente por la red.
Recorrido
El recorrido es el último paso de la lista. Este comprende las fases de preparación y planificación, elaboradas a partir de la información recopilada en las fases de identificación**, control de acceso e implementación**.
- Preparación: consiste en crear una hoja de ruta que proporcione la visualización de actividades, recursos y dependencias necesarias para la ejecución de una estrategia de zero trust eficiente.
- Planificación: elaboración de un plan que indique cómo se ejecutará la estrategia de zero trust con base en procesos (gestión de cambios, solicitudes, etc.), mapeo (dispositivos y usuarios, entre otros) y flujos de trabajo y datos.
- Control de acceso: identificación de madurez, lagunas y riesgos potenciales que involucran inventarios para documentar asuntos, datos y flujos de trabajo dentro de la empresa.
- Implementación: construcción de la política de zero trust y definición de la responsabilidad de personas y sistemas, así como del proceso de monitoreo continuo, llevando el principio de “nunca confíes, siempre verifica” a la práctica.
Al implementar estos 4 pasos, será posible decir que la empresa ha construido con éxito un enfoque de zero trust. Ahora bien, también hay que dedicar esfuerzos a mantener dicho framework de zero trust, lo que implicará una revisión constante de la planificación y también un seguimiento de los cambios que se produzcan en la empresa.
Beneficios de un proceso de implementación de Zero Trust simplificado
Al iniciar un proceso de implementación simplificado del modelo de zero trust, la preparación es un factor crítico para que el equipo de seguridad tenga la capacidad de visión necesaria para que la implementación no solo sea exitosa, sino que cumpla con los requisitos de una arquitectura de zero trust eficiente. Sin ella, cualquier acción encaminada a implementar el modelo se perderá en el vacío.
Seguir la dirección de las próximas etapas del proceso de implementación del framework zero trust en el que cualquier recurso dentro de una red sea accesible mediante la adecuación a las dimensiones y parámetros de confianza, supone seguir un camino opuesto al de los modelos de seguridad tradicionales, cuyos controles de acceso son menos exigentes.
Con los pasos de identificación, mapeo de soluciones y microsegmentación bien realizados y estructurados, es mucho más fácil desarrollar una postura de defensa que minimice realmente el impacto de las amenazas, ya que tu equipo de seguridad puede:
- Limitar el alcance de un ataque dentro de la red.
- Responder rápidamente a un ataque creando mecanismos de bloqueo personalizados, apropiados para cada segmento de la aplicación.
- Cubrir los puntos ciegos que seguirían existiendo si no se identificaran.
- Realizar un monitoreo complementado con análisis de datos que contribuya a una postura proactiva y correctiva.
Próximos pasos hacia Zero Trust
Por más que la arquitectura de zero trust haga la diferencia en el contexto actual de la ciberseguridad, puede perder su valor cuando no se ejecuta al pie de la letra. Por lo tanto, es importante revisar el mapeo de soluciones con frecuencia para redefinir reglas y condiciones cuando sea necesario.
Algo que comunmente hay que revisar es la renovación de contratos con los proveedores. Esto se debe a que estos pueden introducir cambios que influyan en la estrategia de la empresa en puntos específicos, como el uso de una API o un firewall de aplicaciones web. Si los parámetros no se actualizan en función de los cambios, la arquitectura zero trust se verá afectada.
Pero después de dar estos primeros pasos cuidadosamente y concluir que tu framework de zero trust está calibrado y listo para funcionar, ¿cómo proseguir?
En la próxima publicación de esta serie, explicaremos cómo segmentar API y aplicaciones.
Si quieres saber más sobre cómo el enfoque de seguridad zero trust contribuye a la protección de datos, puedes hacerlo en este artículo.