Las organizaciones modernas están adoptando lo «digital» y, si bien esto tiene innumerables beneficios, crea desafíos en lo que respecta a la seguridad, ya que el perímetro de la red tradicional está desapareciendo. Peter Newton, director sénior de marketing de productos de Fortinet, nos cuenta cómo un enfoque de acceso Zero Trust está ayudando a los líderes de TI a obtener información sobre quién y qué hay en la red para mejorar la posición de seguridad de sus organizaciones.
La red más segura es aquella que no tiene conexiones. Por supuesto, esa idea no solo es impráctica, sino que frustra el propósito de una red. La realidad es que ninguna red sea una isla y, a medida que las empresas se vuelven más digitales, las redes inevitablemente se vuelven más complicadas y dispersas. Hoy, las redes tienen muchos «bordes», por lo que es mucho más difícil de lo que solía ser crear un límite defendible único. Ante estos cambios, el perímetro de la red tradicional se está disolviendo y es mucho más difícil saber en quién y en qué se puede confiar.
Para responder a las crecientes amenazas, las mejores prácticas ahora estipulan una actitud de «no confiar en nadie, no confiar en nada» hacia el acceso a la red. Proteger la red con este enfoque de acceso Zero Trust (ZTA) significa que todos los usuarios, todos los dispositivos y todas las aplicaciones web de la nube deben ser confiables, estar autenticados y tener la cantidad correcta de privilegios de acceso (y nada más).
Centrándose en tres áreas clave del acceso Zero Trust
Con ZTA, el concepto completo de zonas confiables y no confiables ya no se aplica; la ubicación debe eliminarse por completo de la ecuación. La estrategia más efectiva es un enfoque holístico que brinda visibilidad y control al enfocarse en tres áreas clave: quién está en la red, qué está en la red y qué sucede con los dispositivos administrados cuando abandonan la red.
1. Quién está en la red
Toda empresa digital tiene una variedad de usuarios. Los empleados tradicionales acceden a la red, pero a menudo los contratistas, los socios de la cadena de suministro e incluso los clientes pueden necesitar acceso a datos y aplicaciones ubicadas en las instalaciones o en la nube.
Para una estrategia de ZTA eficaz, es fundamental determinar quién es cada usuario y qué papel desempeñan dentro de una organización. El modelo Zero Trust se centra en una «política de acceso mínimo» que solo otorga al usuario acceso a los recursos que son necesarios para su función o trabajo. Una vez que se identifica a un usuario, el acceso a cualquier otro recurso solo se proporciona caso por caso.
Esta estrategia comienza con los CISO que exigen una identificación y autenticación resistentes a las infracciones. Las identidades de los usuarios pueden verse comprometidas mediante la ruptura por fuerza bruta de contraseñas débiles o mediante el uso de tácticas de ingeniería social como el phishing por correo electrónico. Para mejorar la seguridad, muchas empresas están agregando autenticación multifactor (MFA) a sus procesos de inicio de sesión. MFA incluye algo que el usuario sabe, como un nombre de usuario y una contraseña, junto con algo que el usuario tiene, como un dispositivo de token que genera un código de un solo uso o un generador de token basado en software.
Una vez que la identidad de un usuario se autentica a través del inicio de sesión del usuario, la entrada de múltiples factores o los certificados, se vincula a un sistema de control de acceso basado en roles (RBAC) que relaciona un usuario autenticado con derechos y servicios de acceso específicos.
Los CISO deben asegurarse de que los procesos de seguridad eviten ser tan complicados u onerosos que obstaculicen la productividad o la experiencia del usuario. Las soluciones de ZTA que son rápidas y admiten el inicio de sesión único (SSO) pueden ayudar a mejorar el cumplimiento y la adopción.
2. Qué hay en la red
Debido al aumento masivo de aplicaciones y dispositivos, el perímetro de la red se está expandiendo y ahora se deben administrar y proteger potencialmente miles de millones de bordes. Para una estrategia ZTA eficaz, los CISO deben gestionar la explosión de dispositivos resultante de las estrategias de Internet de las cosas (IoT) y Traiga sus propios dispositivos (BYOD). Estos dispositivos pueden ser cualquier cosa, desde teléfonos de usuario final y computadoras portátiles hasta servidores, impresoras y dispositivos de IoT, como controladores de HVAC o lectores de credenciales de seguridad.
Para comprender qué dispositivos hay en la red en un momento dado, los CISO también deben implementar herramientas de control de acceso a la red (NAC) que puedan identificar y perfilar automáticamente cada dispositivo cuando solicita acceso a la red, además de escanearlo en busca de vulnerabilidades. Para minimizar el riesgo de que el dispositivo se vea comprometido, los procesos de NAC deben completarse en segundos y proporcionar operaciones consistentes en redes cableadas e inalámbricas. Cualquier solución NAC también debería ser fácil de implementar desde una ubicación central, por lo que no necesitará sensores en todas las ubicaciones de los dispositivos.
Aunque es importante hacer cumplir el control de acceso para todos los dispositivos, los dispositivos de IoT son particularmente desafiantes porque generalmente son dispositivos de factor de forma pequeño y de bajo consumo sin memoria o CPU para respaldar los procesos de seguridad. Y, a menudo, tampoco son compatibles con las herramientas de seguridad de terminales. Debido a que el control de acceso no se puede realizar en los dispositivos, la propia red debe brindar seguridad.
Al considerar las soluciones de ZTA, los CISO deben hacer del control de IoT una prioridad. El control de acceso a través de la red implica microsegmentar la red con firewalls de próxima generación (NGFW) y agrupar dispositivos IoT similares para fortalecer la red. Este enfoque rompe la ruta lateral (este-oeste) a través de la red, por lo que es más difícil para los piratas informáticos y los gusanos obtener acceso a los dispositivos conectados. También reduce el riesgo de que un pirata informático pueda utilizar un dispositivo infectado como vector para atacar al resto de la red.
3. ¿Qué sucede con los dispositivos administrados cuando abandonan la red?
Debido a que las personas usan dispositivos BYOD tanto para necesidades personales como comerciales, la tercera clave para una estrategia ZTA eficaz es comprender qué sucede cuando los dispositivos abandonan la red. Cuando no están conectados a la red, los usuarios pueden navegar por Internet, interactuar con otros en las redes sociales y recibir correos electrónicos personales. Después de estar en línea, una vez que se reincorporan a la red, estos usuarios pueden exponer inadvertidamente sus dispositivos y recursos de la empresa a amenazas que pueden haber detectado, como virus y malware.
Controlar los dispositivos administrados cuando se desconectan de la red es un desafío. Gracias a los servicios en la nube, las personas pueden desconectar su dispositivo de la red en un lugar y volver a conectarlo en otro. O pueden comenzar a trabajar en un dispositivo y continuar con otro.
Para hacer frente a estos desafíos, la seguridad de los terminales debe ser parte de cualquier solución de ZTA. Debe proporcionar un control de higiene fuera de la red, incluido el escaneo de vulnerabilidades, el filtrado web y las políticas de parcheo. También debe proporcionar opciones seguras y flexibles para la conectividad de la red privada virtual (VPN).
No confíe en nadie y aproveche una estrategia eficaz de acceso Zero Trust
Cuantas más personas y dispositivos se conecten a una red, menos seguro se vuelve un enfoque tradicional basado en el perímetro. Cada vez que se confía automáticamente en un dispositivo o usuario, se ponen en riesgo los datos, las aplicaciones y la propiedad intelectual de la organización. Los CISO necesitan cambiar el paradigma fundamental de una red abierta construida alrededor de la confianza inherente a un modelo de Confianza Cero con rigurosos controles de acceso a la red que abarcan la red distribuida.
Al seleccionar herramientas integradas y automatizadas, los CISO pueden ayudar a superar los desafíos clave del acceso Zero Trust: saber quién y qué hay en la red, controlar su acceso a los recursos y mitigar los riesgos de ese acceso.
Haga clic a continuación para compartir este artículo
