¿Qué es el modelo de seguridad Zero Trust?

Modelo de seguridad Zero Trust

Zero Trust o «confianza cero» es un método para diseñar e implementar sistemas IT basado en el principio de «no confiar nunca y verificar siempre» cada dispositivo. En este modelo de seguridad, la confianza inherente en la red desaparece, independientemente de si un dispositivo se encuentra dentro de una red LAN corporativa o de si ya ha sido verificado anteriormente. Cada comunicación petición-respuesta debe ser autenticada, autorizada y encriptada. El modelo Zero Trust también se conoce como «Seguridad sin perímetro» (Perimeterless Security en inglés).

Zero Trust o modelo de seguridad sin perímetro

El modelo de seguridad Zero Trust busca acabar con la suposición obsoleta de que se debe confiar en todo lo que se encuentra dentro de la red de una organización. Al contrario que en el modelo de seguridad tradicional, que da por hecho que todos los usuarios actúan de forma responsable y se puede confiar en ellos, el Zero Trust parte de la premisa de que la confianza es una vulnerabilidad. Al eliminar el concepto de confianza de la arquitectura de red, este método ayuda a prevenir filtraciones de datos.

El término «Zero Trust» fue acuñado por Stephen Paul Marsh en abril de 1994, para su tesis doctoral sobre seguridad computacional en la Universidad de Stirling (Reino Unido). Marsh definió Zero Trust como un concepto más allá de la desconfianza. Sin embargo, merece la pena mencionar que el modelo Zero Trust lo hizo popular John Kindervag mientras era vicepresidente y analista principal en Forrester Research.

Nunca confies, verifica siempre

Los equipos de IT siempre deben verificar las peticiones de acuerdo a una política de acceso. La fiabilidad de una petición se establece teniendo en cuenta diversos aspectos:

  • Salud del dispositivo
  • Comportamiento e identidad del usuario
  • El valor de los datos a los que se accede
  • El impacto de la acción que se solicita

En una arquitectura Zero Trust (ZTA, por las siglas en inglés de Zero Trust Architecture), como en cualquier otro enfoque de seguridad, todas las medidas que se implementan deberían revisarse periódicamente para ajustarlas a nuevas buenas prácticas. La fiabilidad de todas las conexiones y terminales se deberían reevaluar continuamente, porque las arquitecturas Zero Trust construyen la confianza en cada petición. Esto se aplica a todos los dispositivos, independientemente de que ya estén conectados dentro de una red LAN corporativa o de que se hayan verificado con anterioridad.

Asimismo, el hecho de que un usuario esté conectado a una red no significa que deba tener acceso a todo lo que se encuentre dentro de la red. Por eso cada petición de acceso, ya sea a datos o a un servicio, debería ser verificada, autenticada y autorizada de acuerdo a una política de acceso. De este modo todas las conexiones que no satisfagan las políticas de permisos de la organización serán rechazadas. Zero Trust va más allá de otras medidas de seguridad como las VPNs o SSH.

Seguridad independiente de la ubicación

Optar por Zero Trust es muy recomendable para las organizaciones que cuentan con soluciones cloud y trabajan desde diversas ubicaciones, simplemente porque los usuarios pueden acceder a datos y aplicaciones críticas desde cualquier lugar. Por eso definir un perímetro Zero Trust es útil para proteger los datos, aplicaciones y cargas de trabajo independientemente de la ubicación. De hecho, la creciente adopción de servicios móviles y cloud está impulsando la implementación del enfoque de arquitectura de red Zero Trust.

Ventajas del modelo Zero Trust

El modelo de seguridad Zero Trust tiene muchas ventajas si se adopta de forma correcta. Por ejemplo:

  • El Zero Trust dificulta que los ciberatacantes puedan comprometer los datos de la organización. Aunque un ciberdelincuente supere la primera barrera de acceso a la red privada, no podrá comprometer todos los datos porque existirán otras barreras adicionales.
  • También garantiza que los datos, recursos y aplicaciones sean inaccesibles por defecto. Al crear un perímetro en torno a sus recursos y datos críticos y más valiosos, las organizaciones previenen el acceso a usuarios no autorizados. Cada usuario solo puede acceder a los datos, recursos y aplicaciones para los que cuenta con acceso privilegiado.
  • Permite detectar más rápido las vulnerabilidades y gestionarlas de forma proactiva. El Zero Trust mejora los procesos de verificación, monitoriza a los usuarios y compartimenta los datos, para dificultar el acceso a la información de la empresa a usuarios no autorizados. Esto también permite a los equipos de seguridad IT aplicar políticas de seguridad consistentemente.
  • Mejora el rendimiento de la red al reducir el tráfico en las subredes.

¿Quieres impulsar la TI de tu empresa?

Solutions form ES

El Grupo Stackscale trata la información que nos facilita con el fin de dar respuesta a la solicitud realizada en relación con los servicios que prestamos y los productos que suministramos. Los datos proporcionados se conservarán mientras se mantenga el contacto siendo eliminados una vez finalizada la solicitud, a no ser que consienta el envío de comunicaciones comerciales, donde sus datos se conservarán hasta la revocación del consentimiento previamente otorgado. En el marco del Grupo al que pertenece Stackscale, se le informa de que sus datos serán comunicados a las empresas de Grupo Aire por motivos corporativos. Puede consultar las empresas que forman parte del Grupo Aire en: https://grupoaire.es. Usted puede ejercitar sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y, cuando legalmente proceda, portabilidad, mediante el envío a Stackscale de una solicitud a la dirección dpo@stackscale.com, indicando el derecho que ejercita y aportando una fotocopia por las dos caras de su DNI o documento legal de identificación de su identidad. Igualmente, podrá presentar una reclamación ante la Agencia Española de Protección de Datos, especialmente cuando no haya obtenido la satisfacción en el ejercicio de sus derechos, a través de la sede electrónica en www.aepd.es.

Si te ha gustado, compártelo en redes sociales