Cuando hablamos de seguridad cibernética la tendencia principal hoy dÃa es Zero Trust Security Model o también conocido por las siglas ZT
Muchos fabricantes han tomado este modelo como fundamento y de sus interpretaciones proceden a diseñar sus soluciones. Por ello la importancia de contar un un especialista en ciberseguridad que pueda ayudar.
Saber lo que es Zero Trust y sus pilares de funcionamiento es fundamental para poder establecer los mecanismos como implementar Zero Trust basados en un roadmap ZTA cónsono con la complejidad de tu organización.
Para un mejor entendimiento de los términos técnicos, y para mantener un de un lenguaje común, he mantenido en idioma inglés los nombres técnicos y siglas.
¿Qué es Zero Trust?
Es un modelo que se fundamenta en otorgar un predefinido status de negación de acceso a los activos de TI a todo usuario o dispositivo hasta que demuestre que es digno de confianza y el acceso le es permitido.
La premisa principal es: Never trust, Always verify, es decir no se debe confiar en nadie ni en nada hasta que se asigne confianza a través de diversos mecanismos que evalúan al usuario y al dispositivo en el acceso a las aplicaciones.
También se a ha acuñado el principio de Least privilege access para definir el privilegio por defecto que tienen todos los usuarios: el más bajo.
Sus estrategias principales son:
Micro-segmentation
Este termino se refiere a la más exhaustiva individualización de los elementos de acceso a los activos de TI. No solo se refiere a redes, y firewalls, sino que apunta también a obtener la mayor información posible de los atributos de los usuarios, aplicaciones y dispositivos.
Granular Enforcement
Contandon con micro-segmentation, entonces debemos contar con polÃticas granulares y adaptativas para poder ejercer el control que Zero Trust exige.
¿Por Qué Zero Trust?
Las soluciones de seguridad Zero Trust brindan una capa adicional de protección al verificar la identidad de los usuarios y dispositivos antes de otorgarles acceso a datos confidenciales.
También ayuda a las organizaciones a cumplir con regulaciones como PCI DSS (Payment Card Industry Data Security Standard) y HIPAA (Health Insurance Portability and Accountability Act).
Beneficios de Zero Trust
Las soluciones de seguridad de Zero Trust ayudan a proteger contra amenazas como ataques de phishing, malware y ataques de denegación de servicio.
También ayudan a evitar el acceso no autorizado a datos confidenciales, reducen la cantidad de intentos fallidos de inicio de sesión y mejoran la productividad del usuario.
¿Cómo Funciona?
Una solución de seguridad de confianza cero utiliza análisis de comportamiento para identificar actividades sospechosas y bloquearlas antes de que ocurran.
Lo hace analizando cómo se comporta la gente en lÃnea y luego usando ese comportamiento para determinar si un individuo está tratando de hacer algo malicioso.
Diferencia entre ZT y ZTA
Hay una diferencia semántica importante y que puede dar lugar a confusiones y son Zero Trust versus Zero Trust Architecture (ZT vs ZTA).
La diferencia es muy sencilla:
- Zero Trust (ZT) es el modelo de seguridad, los principios rectores (que veremos en la próxima sección)
- Zero Trust Architecture (ZTA): es el plan que se rige en los conceptos de ZT y que engloba la relación entre los componentes, la planificación y las polÃticas de acceso.
De aquà se desprenden otros términos que son importantes
- Zero Trust Enterprise: es la infraestructura de red y las polÃticas operacionales que se implementan producto de un plan ZTA
- Zero Trust Network Access (ZTNA): normalmente se refiere a alguna solución comercial con base en conceptos ZT.
Principios de Zero Trust
A continuación describo los pilares de Zero Trust según la NIST y que deben ser los pilares ideales de todo plan de Zero Trust Architecture (ZTA).
Todos los Activos de TI son Recursos Asegurables
Todas las fuentes de datos, infraestructura, dispositivos, aplicaciones y el resto de los servicios de computación se consideran Recursos
Una red a proteger puede estar compuesta de múltiples dispositivos, todo lo que se conecte a la infraestructura de red, también es considerado un recurso a proteger, incluyendo dispositivos BYOD.
Cualquier Red es Insegura, no Hay PerÃmetro
Todas las comunicaciones se aseguran sin importar su ubicación de red, se asume la convivencia con atacantes dentro de cualquier red.
La red de conexión no da garantÃa de confianza (no implicit trust), no existe el perÃmetro que defina red interna (segura) o externa (insegura), ambas deben ser tratadas como inseguras por tanto aseguradas protegiendo su confidencialidad e integridad.
Un Recurso, Un Acceso, Una Sesión
El acceso se evalúa antes de iniciar sesión en cada recurso, no se heredan autorizaciones previas. Este acceso se concede con el menor privilegio necesario para ejecutar la actividad.
Si necesitas acceder otro recurso, la autenticación realizada previamente en otro recurso no es válida. Con esto se prohÃbe todo tipo de movimiento lateral.
PolÃticas de Acceso Adaptativas
El acceso a los recursos se determina por polÃticas dinámicas que pueden incluir atributos de comportamiento
No solo la autenticación implica otorgamiento de acceso. Se evalúan muchos otros atributos que pueden ser usados para aplicar polÃticas de acceso.
Pueden usarse atributos de usuario, de su comportamiento asà como de higiene de los dispositivos de acceso o cualquier otro atributo que se considere útil para hacer cumplir las polÃticas de seguridad definidas.
Todo Dispositivo de Acceso es Evaluado: Propio o Ajeno
Los activos de la organización o sus relacionados se supervisan en términos de integridad y posturas de seguridad
Ningún activo hereda confianza, su higiene de seguridad es evaluada y contrastada contra las polÃticas de seguridad establecidas, previa a la concesión de cualquier acceso
Esto aplica a dispositivos de la organización o de sus asociados (BYOD)
Cumplimiento Estricto y Previo de la Autenticación y Autorización
La autenticación y autorización se hacen cumplir dinámica y estrictamente antes de conceder el acceso
VÃa una estricta administración de identidades que incluya MFA y de activos, se debe hacer cumplir una correcta autenticación y autorización. Esto incluye reevaluaciones reautenticaciones cuando sea necesario.
Visibilidad y AnalÃtica
La organización recoge tanta información como sea posible acerca del estado actual de los activos, redes y comunicaciones y usa estos datos para mejorar su postura de seguridad.
La visibilidad es un factor clave en Zero Trust, recogiendo y correlacionando eventos o datos. Esa visibilidad permite una mejora continua de las posturas de seguridad implementadas.
Premisas de una Red Zero Trust
A continuación las principales premisas que dicta la NIST para diseñar un plan de ZTA.
No Implicit Trust Zone
Toda la red interna NO se considera zona de confianza ImplÃcita (no implicit trust zone), por el solo hecho de ser interna
Se debe actuar como si siempre existiera un atacante en la red. Por ello todos los accesos y las comunicaciones son aseguradas asà estén en la red interna de la organización.
Convivencia entre Dispositivos Corporativos y los Personales
Los dispositivos de acceso no necesariamente pertenecen a la organización
Bring Your Own Device (BYOD) es una realidad y debe ser considerada dentro de Zero Trust. Los dispositivos ajenos deben ser evaluados tanto o más que los dispositivos corporativos.
Ningún Recurso Hereda Confianza
La evaluación de posturas de seguridad es continua, iterativa y exclusiva al recurso que se quiere acceder. No hay cabida a concesiones de accesos basados en accesos previos o similares.
Acceso Remoto
No iodos los recursos de la organización están directamente conectados a su red o infraestructura
La nube, el trabajo remoto, las oficinas o sucursales remotas son una realidad y usan la red como un mecanismo básico de interconexión. Es responsabilidad de la organización asegurar las comunicaciones.
Conciencia de que la Red es Insegura
Los sujetos o activos de la organización que se conectan de forma remota no deben confiar en la red a la que se conectan
Los sujetos deben estar consientes de los riesgos inherentes a cualquier conexión y de ahà la necesidad de asegurar al máximo todas sus comunicaciones.
Movilidad Entre Redes
Las posturas de seguridad aplican a los activos asà se muevan entre la red empresarial u otras redes.
Sin importar los movimientos que hagas entre redes, las posturas de seguridad se mantienen estables y consistentes. También su reevaluación se mantiene vigente.
Implementación de Zero Trust
Para implementar una solución de seguridad de confianza cero, las organizaciones primero deben comprender qué comportamientos indican amenazas potenciales.
Una vez que han identificado esos comportamientos, deben desarrollar polÃticas que permitan a los empleados acceder a Internet y al mismo tiempo protegerlos de ataques maliciosos.
Consideraciones Importantes al Implementar Zero Trust
Si bien es cierto, los beneficios de ZTNA en términos de blindaje de tu seguridad exceden (y por mucho) a los riesgos de implementar zero trust. Siempre es bueno decirlo para que sean siempre incorporados los controles que mitigarán estos riesgos.
Cuida tu Proveedor de Identidades
En ZTNA el proveedor de autenticaciones primarias es único, para tener mayor control y Single Sign-On (SSO) o Inicio de Sesión Único
Esto lo convierte en un punto único de falla o single point of failure y como tal debe entonces estar muy resguardado, con configuraciones de seguridad muy estrictas (hardening)
Esto implica también tener alta disponibilidad y tolerancia a fallos a los equipos que soportan la autenticación primaria, asà como a todos los equipos que se conectan a él y que requieran ser instalados On-Premises.
“Administra” a los Administradores del Servicio Zero Trust
El acceso privilegiado a la administración del servicio Zero Trust debe ser llevado a su mÃnima expresión usando una excelente gestión de roles administrativos.
Si en Zero Trust damos acceso solo a las aplicaciones que el rol de un colaborador necesita, debemos ser un muy estricto ejemplo de dar a los administradores el rol de administración que requieren según su papel en la historia Zero Trust.
Para ello, las herramientas Zero Trust tienen un gran abanico de opciones de roles que se pueden asignar.
Zero Trust Network Access Vendors
Acá te dejo la lista netamente referencial de las principales compañÃas que proveen servicios de Zero Trust que bajo mi criterio son las más representativas.
| Vendor | Servicio o Producto |
|---|---|
| Check Point | Harmony Connect |
| Cisco | Duo Security |
| Citrix | Secure Private Access |
| Cloudflare | Cloudflare Access |
| Forcepoint | Private Access |
| BeyondCorp Remote AccessGoogle Cloud Platform Identity-Aware Proxy | |
| Microsoft | Azure AD Application ProxyWeb Application Proxy for Windows Server |
| Netskope | Netskope Private Access |
| Okta | Okta Identity Cloud |
| Palo Alto Networks | Prisma Access |
El Zero Trust Network Access de Cisco Systems
Como experto en tecnologÃas de Cisco Systems, concluyo (al igual que este informe de Forrester) que la solución más completa para implementar Zero Trust es Duo Security de Cisco Systems.
Duo paquetiza en un SaaS el framework de Zero Trust Google, BeyondCorp. Esto coloca ese alto nivel de seguridad al alcance de las corporaciones desde el dÃa de su activación.
Es un SaaS muy confiable dedicado 100% a la ciberseguridad, es decir.. su servicio es brindar seguridad; Duo NO es un add-on dentro de otra solución. Esto lo hace único en su especie dando garantÃa de actualizaciones, mejoras y mantenimientos acordes a altÃsimos estándares de calidad.
Duo tiene diversas integraciones que están 100% probadas y documentadas y maneja múltiples dispositivos de segundo factor que permiten disminuir la fracción de los usuarios.
Duo provee su propia aplicación de autenticación llamada Duo Mobile Application y además provee soporte a todo tipo de mecanismo MFA incluyendo las más seguras passkeys FIDO WebAuthn
Funciones Zero Trust de la Solución Cisco
Establecer Confianza en el Usuario
Es necesario garantizar que el usuario que intenta autenticarse sea realmente quien dice ser y no sea alguien quien ha obtenido credenciales de acceso de forma fraudulenta.
Para este fin, a las credenciales primarias (usuario y contraseña) se añade una capa adicional de seguridad con mecanismos adicionales que aumentan la garantÃa de identidad del usuario.
Acá es donde entra en juego las tecnologÃas MFA o de Múltiples Factores de Autenticación, o como también se conoce 2FA o (Segundo Factor de Autenticación) y en algunos casos como autenticación en dos pasos.
Esta tecnologÃa tiene como base autenticar al usuario en diversos ámbitos:
- Algo que conozco: Usuario y Contraseña o autenticación primaria
- Algo que tengo: Mecanismo de doble factor por ejemplo un passkey tipo yubikey o la llave Swissbit iShield FIDO2
- Algo que soy: BiometrÃa
Una vez exitosamente superados estos mecanismos, se puede decir que el usuario es un usuario de confianza.
Establecer Confianza en el Dispositivo de Acceso
A partir de este momento es cuando Zero Trust agrega más capas de seguridad, la siguiente es asegurarnos que el dispositivo de acceso cumpla con ciertas polÃticas adaptativas de acceso que disminuyan el riesgo de brechas causadas por vulnerabilidades en los sistemas operativos y softwares conexos.
En este punto se sugiere que para otorgar confianza a un dispositivo se evalúen diversos aspectos, tales como:
- Ubicación: geolocalización o redes desde las cuales accede
- Salud: estado de actualizaciones del sistema operativo, software conexo y posturas de seguridad definidas
- Propiedad: en ambientes BYOD (Bring Your Own Device) es conocer si el dispositivo de acceso es propiedad de la organización (corporativo) o del colaborador (personal)
Asegurar el Acceso a Cada Aplicación
Al aumentar la granularidad de las polÃticas de acceso, Zero Trust recomienda disminuir la superficie de exposición limitando el acceso a cada aplicación solo por los usuarios o grupos que requieran acceso a esa aplicación
Conclusiones
Zero Trust Network Access llegó para quedarse, y la complejidad de sus implementaciones son directamente proporcionales a la complejidad de la infraestructura, servicios y activos de TI a proteger.
Es por ello que hay que optar por soluciones ZTNA cuyos métodos de implementación sean rápidos y con escaso TCO o Costo Total de Propiedad.
Acá es cuando la solución Zero Trust Cisco, Duo Security, deja al resto boquiabierto y toma la delantera con facilidad.
En este Blog he invertido muchos artÃculos que soportan de manera práctica lo que estoy diciendo, asà que te invito a consultarlos.
Referencias:
- Rose,S., Borchert, O., Mitchell,S., Connelly, S. (Agosto 2020). NIST Special Publication 800-207 – Zero Trust Architecture, National Institute of Standards and Technology. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
- Duo Security, Zero Trust Security for the Workforce. https://duo.com/solutions/zero-trust-security
