Zero Trust: seguridad desde la desconfianza total
El enfoque de seguridad Zero Trust se basa en el principio de que ningún dispositivo, usuario, carga de trabajo o sistema debe ser de confianza por defecto. ¿Cuáles son sus principios? ¿Y qué ventajas ofrece frente a otros modelos?
La migración de cargas de trabajo a la nube, la generalización del trabajo remoto e híbrido o las políticas BYOD han puesto de manifiesto las carencias de los sistemas tradicionales de ciberseguridad de muchas compañías. “La empresa adquiere un carácter más móvil y el perímetro deja de tener sentido”, afirma Pedro García-Villacañas, head of Presales Iberia de Kaspersky.
Ante este cambio de escenario, surge con fuerza el modelo de seguridad Zero Trust. “El principio fundamental que propone es que debemos asumir que nuestra organización va a ser atacada y que alguno de esos ataques va a conseguir superar todas las medidas de seguridad con éxito”, declara José de la Cruz, director técnico de Trend Micro Iberia.
Esto supone adoptar una actitud de total desconfianza. “Un enfoque de ciberseguridad Zero Trust significa que ningún dispositivo, usuario, carga de trabajo o sistema debe ser de confianza por defecto, independientemente de la ubicación desde la que opere, ni dentro ni fuera del perímetro de seguridad”, comenta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
Es decir, se ha de verificar que el dispositivo que solicita acceso no supone una amenaza y que es confiable. “Cualquier dispositivo que quiera acceder a algún dato corporativo, esté donde esté, tiene que demostrar que es válido, está autorizado y cumple con los estándares de seguridad definidos por la empresa”, remarca José Luis Laguna, director de Systems Engineering Fortinet España y Portugal.
Pedro Martinez, director de Desarrollo de Negocio Sur Europa de Aruba, explica que el enfoque Zero Trust “se basa en una arquitectura que se conforma a partir de cuatro pilares básicos: verificación del usuario, verificación del dispositivo, limitación del acceso a través de configuración de credenciales y capacidad analítica de aprender y adaptarse”. Así pues, “los usuarios carecen de privilegios ilimitados y sólo pueden acceder a la información necesaria para el desempeño de sus tareas”, explica.
Ésta es una de sus claves. “Propone establecer una política de privilegios de usuario donde éstos deben disponer de los mínimos e imprescindibles para desarrollar su actividad. Este principio aplica desde los servicios a los que el usuario puede conectar —aplicaciones corporativas, servidores de ficheros, navegación internet…— hasta los privilegios de los que dispone dentro de aplicaciones, servicios, etc.”, detalla De la Cruz.
Guillermo Fernández, manager sales engineering Iberia de WatchGuard, especifica que “el establecimiento de esos límites puede hacerse desde dos vertientes: asegurar que la persona que va a acceder a nuestra red es quien dice ser, para evitar suplantaciones de identidad, jugando un papel importante la autenticación multifactor (MFA); y gestionar correctamente los privilegios, es decir, que el usuario sólo pueda acceder a lo que realmente necesite”.
Esto supone la evolución del antiguo modelo de seguridad perimetral hacia un sistema de ‘microperímetros’, verificando constantemente al usuario, los dispositivos y las redes. “Cada dispositivo está protegido por un microperímetro con controles alrededor y entre ellos”, apunta Alberto R. Rodas, sales engineer manager Iberia Region de Sophos.
Asimismo, García-Villacañas habla de microsegmentación. “Consiste en desglosar la infraestructura corporativa y otros recursos en nodos pequeños, que pueden ser tan concretos como un solo dispositivo o aplicación. El resultado son múltiples perímetros microscópicos, cada uno con sus propias políticas de seguridad y permisos de acceso, lo que facilita la flexibilidad a la hora de gestionar el acceso y permite a las empresas bloquear la expansión de una amenaza dentro de la red”, especifica.
Por otra parte, Nieva hace hincapié en que “cualquier modelo de seguridad Zero Trust debe obligatoriamente supervisar, registrar, relacionar y analizar continuamente cada actividad en su red, para que en ningún momento se descuide ni una vulnerabilidad o fallo del sistema”. Además, reseña que “cuando una empresa quiere implementar una arquitectura Zero Trust, debe integrarla necesariamente y de forma automática con el entorno de TI más amplio de la organización”.
Superando los modelos ‘tradicionales’
El director técnico de Check Point justifica así la necesidad de evolucionar hacia un modelo Zero Trust: “Hay que tener presente que, en un entorno de TI y un panorama de ciberamenazas en constante evolución, las infraestructuras de protección heredadas se han vuelto ineficaces porque se basan en el supuesto obsoleto de que todo lo que está dentro del perímetro es de confianza. Pero el perímetro de seguridad ya no se limita a las paredes de un edificio de oficinas. Los valiosos datos empresariales se transfieren continuamente entre aplicaciones SaaS, IaaS, centros de datos, usuarios con acceso remoto, dispositivos IoT, etc. Es decir, más superficies de ataque y más puntos de entrada que nunca”.
Martínez explica que “las prácticas tradicionales de segmentar la red de forma estática y aplicar las políticas dependiendo del segmento donde se conecta el usuario, ya no son efectivas”. “Zero Trust se basa en aplicar roles de forma dinámica a los usuarios de tal forma que las políticas de seguridad se mueven con el usuario y no van a depender del switch o punto de acceso WiFi concreto al que se conecte. El beneficio más importante para las empresas es que las políticas de seguridad ya no van a depender de cómo este configurada la red, lo que aporta una enorme flexibilidad y agilidad a la hora de modificar o adaptar estas políticas, posibilitando la movilidad de los usuarios y un mayor alineamiento de TI con el negocio”, añade.
Igualmente, Nieva indica que “este tipo de seguridad protege los sistemas de una forma mucho más minuciosa, ya que limita por completo la accesibilidad de los diferentes usuarios a aquello que necesitan para desarrollar su trabajo, impidiendo su paso a otras partes de la red de la empresa”. Así pues, afirma que “la segmentación y escalabilidad de este sistema mejora y protege mucho más la red empresarial que los anteriores”.
En una línea similar, Rodas reseña que la Zero Trust “permite un control más granular sobre quién puede acceder a determinadas aplicaciones y datos, minimizando el movimiento lateral y eliminando la confianza implícita”, mientras que con las VPN “es todo o nada”. Además, insiste en su mayor seguridad, puesto que este enfoque tiene en cuenta el estado del dispositivo y de las políticas de acceso, algo que no sucede con las VPN, “lo que puede poner en riesgo los datos de la aplicación para un dispositivo comprometido o no compatible”.
El responsable de Check Point también remarca que “la seguridad Zero Trust recurre a diferentes herramientas que aumentan el nivel de ciberseguridad, gracias a la autenticación multifactorial, herramientas de gestión de identidades y accesos (IAM), cifrado, puntuación y permisos del sistema de archivos y orquestación de la seguridad”.
Por otro lado, el representante de Kaspersky destaca que la Zero Trust permite que las empresas se adapten más fácilmente al cambio. “Por ejemplo, al retirar los privilegios de acceso a los empleados que se marchan o al ajustar los privilegios de aquellos cuyas responsabilidades han cambiado”, anota.
Además, el representante de Sophos señala que con el modelo Zero Trust “es mucho más fácil de implementar y facilita incluir nuevos usuarios” que con las tradicionales redes VPN. Además, pone el acento en que la Zero Trust ofrece “una gestión de conexión sin fricciones”.
Por su parte, el responsable de Trend Micro precisa que la Zero Trust “reduce los tiempos de respuesta a incidentes, fundamental en el contexto de un ataque ransomware; mejora la visibilidad de los procesos internos de la organización, tanto legítimos como ilegítimos; y ayuda al cumplimiento normativo, evitando fugas de información y controlando los flujos de información”.
¿Para todo tipo de empresas?
Pese a las ventajas que ofrece un modelo Zero Trust, todavía son pocas las empresas que están adoptando este enfoque. Aunque cada vez son más las organizaciones que están empezando a avanzar en este camino.
“La gran mayoría de la mediana y gran empresa tiene como objetivo a corto o medio plazo implantar una estrategia Zero Trust. Además, en los últimos años, este modelo ha adquirido mayor importancia con la generalización del teletrabajo y el uso de BYOD, donde la capa de acceso a la red queda diluida. En este contexto, adquiere más importancia el control no sólo de lo que se conecta en la red, sino también de lo que hace uso de recursos corporativos. Aun así, podríamos concretar que donde hay mayor interés o urgencia en este modelo de acceso son las organizaciones donde la transformación digital se encuentra en proceso avanzado. O bien en aquellas donde el acceso a información o datos sensibles pueda llevarse a cabo desde gran parte de los usuarios, lo que, a su vez, puede causar un riesgo de fuga de información o de incumplimientos de normativas, como podrían ser los entornos de sanidad o administración pública”, desgrana el responsable de Fortinet.
Asimismo, el representante de WatchGuard afirma que hay algunos sectores que destacan en la adopción de este enfoque, como el industrial, el ámbito financiero y sector tecnológico, así como en “las empresas en las que el teletrabajo ha cobrado relevancia”.
Además, aunque la Zero Trust puede ser implementada por cualquier organización, Nieva considera que es especialmente útil en las compañías de mayor tamaño. “Cuantos más empleados tenga, más dispositivos y más puntos de acceso a la red a través de los cuales un ciberdelincuente puede llegar a atacar. Si una gran empresa cuenta con la tecnología Zero Trust, tendrá muchas más barreras de protección”, declara.
Barreras para la implantación
Sin embargo, adoptar este modelo no siempre es sencillo. El responsable de Aruba reconoce que “si la visibilidad de la red, el control de acceso y la automatización de procesos no están adecuadamente implementados, pueden suponer un freno para su puesta en marcha”.
García-Villacañas explica que “implementar un modelo de seguridad Zero Trust lleva tiempo, ya que es necesario registrar en el inventario todos los equipos que los empleados utilicen para trabajar, tanto personales como corporativos; además de establecer políticas corporativas sobre los dispositivos necesarios para el trabajo y bloquear el acceso a los recursos corporativos desde otros dispositivos”.
Igualmente, Laguna señala que “el principal reto es el conocimiento de lo conectado en la red y la interacción de la red con los dispositivos o usuarios conectados”, lo que requiere “un proceso de maduración en la gestión del parque de dispositivos y del uso que hacen de la red y el objetivo de éstos”. De este modo, recomienda contar con herramientas flexibles, que permitan integrar los múltiples actores que interactúan con estos dispositivos, las redes de acceso, la seguridad de los dispositivos, gestión de dispositivos móviles, el análisis de vulnerabilidades y los elementos de seguridad de red. “Esta capacidad de integración permite tener una visión completa de los dispositivos, para dar un tratamiento correcto al objetivo de éstos y una respuesta proporcionada a su criticidad e importancia en la operación”, detalla.
Fernández también se detiene en las posibles complicaciones que pueden surgir en las empresas que utilicen tecnologías antiguas, “donde no es posible contar con varios roles de acceso”. “Las tecnologías nuevas suelen estar más preparadas para lo que se denomina control de acceso basado en roles (Role-based Access Control, RBAC), que restringe el acceso a la red en función del rol de una persona dentro de una organización y se ha convertido en uno de los principales métodos de control de acceso avanzado. Existen casos en los que las empresas cuentan con sistemas antiguos que no están concebidos para crear o aplicar estas opciones de permisos y eso suele ser una dificultad para las políticas de Zero Trust”, especifica.
Y otra complicación que puede surgir en la implantación de una estrategia Zero Trust es la resistencia por parte de los empleados. “El usuario no suele aceptar fácilmente limitaciones en el uso de sus herramientas corporativas. Esto puede suponer un problema a la hora de implementar una política muy restrictiva, como lo establece el modelo Zero Trust”, apunta De la Cruz.
Del mismo modo, el manager sales engineering Iberia de WatchGuard apunta que “limitar el acceso a según qué información, puede generar fricciones”. Así pues, se trata de “encontrar un equilibrio entre seguridad y productividad”. Además, recalca la importancia “tener el apoyo de la dirección de la compañía, para contar con su respaldo en caso de que surjan esos conflictos”.