▷ ZERO TRUST NETWORK ACCESS

Cuando hablamos de seguridad cibernética la tendencia principal hoy día es Zero Trust Security Model o también conocido por las siglas ZT

Muchos fabricantes han tomado este modelo como fundamento y de sus interpretaciones proceden a diseñar sus soluciones. Por ello la importancia de contar un un especialista en ciberseguridad que pueda ayudar.

Saber lo que es Zero Trust y sus pilares de funcionamiento es fundamental para poder establecer los mecanismos como implementar Zero Trust basados en un roadmap ZTA cónsono con la complejidad de tu organización.

Para un mejor entendimiento de los términos técnicos, y para mantener un de un lenguaje común, he mantenido en idioma inglés los nombres técnicos y siglas.

¿Qué es Zero Trust?

Es un modelo que se fundamenta en otorgar un predefinido status de negación de acceso a los activos de TI a todo usuario o dispositivo hasta que demuestre que es digno de confianza y el acceso le es permitido.

La premisa principal es: Never trust, Always verify, es decir no se debe confiar en nadie ni en nada hasta que se asigne confianza a través de diversos mecanismos que evalúan al usuario y al dispositivo en el acceso a las aplicaciones.

También se a ha acuñado el principio de Least privilege access para definir el privilegio por defecto que tienen todos los usuarios: el más bajo.

Sus estrategias principales son:

Micro-segmentation

Este termino se refiere a la más exhaustiva individualización de los elementos de acceso a los activos de TI. No solo se refiere a redes, y firewalls, sino que apunta también a obtener la mayor información posible de los atributos de los usuarios, aplicaciones y dispositivos.

Granular Enforcement

Contandon con micro-segmentation, entonces debemos contar con políticas granulares y adaptativas para poder ejercer el control que Zero Trust exige.

¿Por Qué Zero Trust?

Las soluciones de seguridad Zero Trust brindan una capa adicional de protección al verificar la identidad de los usuarios y dispositivos antes de otorgarles acceso a datos confidenciales.

También ayuda a las organizaciones a cumplir con regulaciones como PCI DSS (Payment Card Industry Data Security Standard) y HIPAA (Health Insurance Portability and Accountability Act).

Beneficios de Zero Trust

Las soluciones de seguridad de Zero Trust ayudan a proteger contra amenazas como ataques de phishing, malware y ataques de denegación de servicio.

También ayudan a evitar el acceso no autorizado a datos confidenciales, reducen la cantidad de intentos fallidos de inicio de sesión y mejoran la productividad del usuario.

¿Cómo Funciona?

Una solución de seguridad de confianza cero utiliza análisis de comportamiento para identificar actividades sospechosas y bloquearlas antes de que ocurran.

Lo hace analizando cómo se comporta la gente en línea y luego usando ese comportamiento para determinar si un individuo está tratando de hacer algo malicioso.

Diferencia entre ZT y ZTA

Hay una diferencia semántica importante y que puede dar lugar a confusiones y son Zero Trust versus Zero Trust Architecture (ZT vs ZTA).

La diferencia es muy sencilla:

Zero Trust (ZT) es el modelo de seguridad, los principios rectores (que veremos en la próxima sección)
Zero Trust Architecture (ZTA): es el plan que se rige en los conceptos de ZT y que engloba la relación entre los componentes, la planificación y las políticas de acceso.

De aquí se desprenden otros términos que son importantes

Zero Trust Enterprise: es la infraestructura de red y las políticas operacionales que se implementan producto de un plan ZTA
Zero Trust Network Access (ZTNA): normalmente se refiere a alguna solución comercial con base en conceptos ZT.

Principios de Zero Trust

A continuación describo los pilares de Zero Trust según la NIST y que deben ser los pilares ideales de todo plan de Zero Trust Architecture (ZTA).

Todos los Activos de TI son Recursos Asegurables

Todas las fuentes de datos, infraestructura, dispositivos, aplicaciones y el resto de los servicios de computación se consideran Recursos

Una red a proteger puede estar compuesta de múltiples dispositivos, todo lo que se conecte a la infraestructura de red, también es considerado un recurso a proteger, incluyendo dispositivos BYOD.

Cualquier Red es Insegura, no Hay Perímetro

Todas las comunicaciones se aseguran sin importar su ubicación de red, se asume la convivencia con atacantes dentro de cualquier red.

La red de conexión no da garantía de confianza (no implicit trust), no existe el perímetro que defina red interna (segura) o externa (insegura), ambas deben ser tratadas como inseguras por tanto aseguradas protegiendo su confidencialidad e integridad.

Un Recurso, Un Acceso, Una Sesión

El acceso se evalúa antes de iniciar sesión en cada recurso, no se heredan autorizaciones previas. Este acceso se concede con el menor privilegio necesario para ejecutar la actividad.

Si necesitas acceder otro recurso, la autenticación realizada previamente en otro recurso no es válida. Con esto se prohíbe todo tipo de movimiento lateral.

Políticas de Acceso Adaptativas

El acceso a los recursos se determina por políticas dinámicas que pueden incluir atributos de comportamiento

No solo la autenticación implica otorgamiento de acceso. Se evalúan muchos otros atributos que pueden ser usados para aplicar políticas de acceso.

Pueden usarse atributos de usuario, de su comportamiento así como de higiene de los dispositivos de acceso o cualquier otro atributo que se considere útil para hacer cumplir las políticas de seguridad definidas.

Todo Dispositivo de Acceso es Evaluado: Propio o Ajeno

Los activos de la organización o sus relacionados se supervisan en términos de integridad y posturas de seguridad

Ningún activo hereda confianza, su higiene de seguridad es evaluada y contrastada contra las políticas de seguridad establecidas, previa a la concesión de cualquier acceso

Esto aplica a dispositivos de la organización o de sus asociados (BYOD)

Cumplimiento Estricto y Previo de la Autenticación y Autorización

La autenticación y autorización se hacen cumplir dinámica y estrictamente antes de conceder el acceso

Vía una estricta administración de identidades que incluya MFA y de activos, se debe hacer cumplir una correcta autenticación y autorización. Esto incluye reevaluaciones reautenticaciones cuando sea necesario.

Visibilidad y Analítica

La organización recoge tanta información como sea posible acerca del estado actual de los activos, redes y comunicaciones y usa estos datos para mejorar su postura de seguridad.

La visibilidad es un factor clave en Zero Trust, recogiendo y correlacionando eventos o datos. Esa visibilidad permite una mejora continua de las posturas de seguridad implementadas.

contacta a especialista en ciberseguridad — Hagamos una Prueba de Concepto Gratuita a través de un MSP

Contáctame

Premisas de una Red Zero Trust

A continuación las principales premisas que dicta la NIST para diseñar un plan de ZTA.

No Implicit Trust Zone

Toda la red interna NO se considera zona de confianza Implícita (no implicit trust zone), por el solo hecho de ser interna

Se debe actuar como si siempre existiera un atacante en la red. Por ello todos los accesos y las comunicaciones son aseguradas así estén en la red interna de la organización.

Convivencia entre Dispositivos Corporativos y los Personales

Los dispositivos de acceso no necesariamente pertenecen a la organización

Bring Your Own Device (BYOD) es una realidad y debe ser considerada dentro de Zero Trust. Los dispositivos ajenos deben ser evaluados tanto o más que los dispositivos corporativos.

Ningún Recurso Hereda Confianza

La evaluación de posturas de seguridad es continua, iterativa y exclusiva al recurso que se quiere acceder. No hay cabida a concesiones de accesos basados en accesos previos o similares.

Acceso Remoto

No iodos los recursos de la organización están directamente conectados a su red o infraestructura

La nube, el trabajo remoto, las oficinas o sucursales remotas son una realidad y usan la red como un mecanismo básico de interconexión. Es responsabilidad de la organización asegurar las comunicaciones.

Conciencia de que la Red es Insegura

Los sujetos o activos de la organización que se conectan de forma remota no deben confiar en la red a la que se conectan

Los sujetos deben estar consientes de los riesgos inherentes a cualquier conexión y de ahí la necesidad de asegurar al máximo todas sus comunicaciones.

Movilidad Entre Redes

Las posturas de seguridad aplican a los activos así se muevan entre la red empresarial u otras redes.

Sin importar los movimientos que hagas entre redes, las posturas de seguridad se mantienen estables y consistentes. También su reevaluación se mantiene vigente.

Implementación de Zero Trust

Para implementar una solución de seguridad de confianza cero, las organizaciones primero deben comprender qué comportamientos indican amenazas potenciales.

Una vez que han identificado esos comportamientos, deben desarrollar políticas que permitan a los empleados acceder a Internet y al mismo tiempo protegerlos de ataques maliciosos.

Consideraciones Importantes al Implementar Zero Trust

Si bien es cierto, los beneficios de ZTNA en términos de blindaje de tu seguridad exceden (y por mucho) a los riesgos de implementar zero trust. Siempre es bueno decirlo para que sean siempre incorporados los controles que mitigarán estos riesgos.

Cuida tu Proveedor de Identidades

En ZTNA el proveedor de autenticaciones primarias es único, para tener mayor control y Single Sign-On (SSO) o Inicio de Sesión Único

Esto lo convierte en un punto único de falla o single point of failure y como tal debe entonces estar muy resguardado, con configuraciones de seguridad muy estrictas (hardening)

Esto implica también tener alta disponibilidad y tolerancia a fallos a los equipos que soportan la autenticación primaria, así como a todos los equipos que se conectan a él y que requieran ser instalados On-Premises.

“Administra” a los Administradores del Servicio Zero Trust

El acceso privilegiado a la administración del servicio Zero Trust debe ser llevado a su mínima expresión usando una excelente gestión de roles administrativos.

Si en Zero Trust damos acceso solo a las aplicaciones que el rol de un colaborador necesita, debemos ser un muy estricto ejemplo de dar a los administradores el rol de administración que requieren según su papel en la historia Zero Trust.

Para ello, las herramientas Zero Trust tienen un gran abanico de opciones de roles que se pueden asignar.

Zero Trust Network Access Vendors

Acá te dejo la lista netamente referencial de las principales compañías que proveen servicios de Zero Trust que bajo mi criterio son las más representativas.

Vendor	Servicio o Producto
Check Point	Harmony Connect
Cisco	Duo Security
Citrix	Secure Private Access
Cloudflare	Cloudflare Access
Forcepoint	Private Access
Google	BeyondCorp Remote AccessGoogle Cloud Platform Identity-Aware Proxy
Microsoft	Azure AD Application ProxyWeb Application Proxy for Windows Server
Netskope	Netskope Private Access
Okta	Okta Identity Cloud
Palo Alto Networks	Prisma Access

Mi lista de Proveedores de Zero Trust más Representativos

El Zero Trust Network Access de Cisco Systems

approach Zero Trust de Cisco — Approach Zero Trust de Cisco. Imagen cortesía de Duo Security

Como experto en tecnologías de Cisco Systems, concluyo (al igual que este informe de Forrester) que la solución más completa para implementar Zero Trust es Duo Security de Cisco Systems.

Duo paquetiza en un SaaS el framework de Zero Trust Google, BeyondCorp. Esto coloca ese alto nivel de seguridad al alcance de las corporaciones desde el día de su activación.

Es un SaaS muy confiable dedicado 100% a la ciberseguridad, es decir.. su servicio es brindar seguridad; Duo NO es un add-on dentro de otra solución. Esto lo hace único en su especie dando garantía de actualizaciones, mejoras y mantenimientos acordes a altísimos estándares de calidad.

Duo tiene diversas integraciones que están 100% probadas y documentadas y maneja múltiples dispositivos de segundo factor que permiten disminuir la fracción de los usuarios.

Duo provee su propia aplicación de autenticación llamada Duo Mobile Application y además provee soporte a todo tipo de mecanismo MFA incluyendo las más seguras passkeys FIDO WebAuthn

Funciones Zero Trust de la Solución Cisco

Establecer Confianza en el Usuario

Es necesario garantizar que el usuario que intenta autenticarse sea realmente quien dice ser y no sea alguien quien ha obtenido credenciales de acceso de forma fraudulenta.

Para este fin, a las credenciales primarias (usuario y contraseña) se añade una capa adicional de seguridad con mecanismos adicionales que aumentan la garantía de identidad del usuario.

Acá es donde entra en juego las tecnologías MFA o de Múltiples Factores de Autenticación, o como también se conoce 2FA o (Segundo Factor de Autenticación) y en algunos casos como autenticación en dos pasos.

Esta tecnología tiene como base autenticar al usuario en diversos ámbitos:

Algo que conozco: Usuario y Contraseña o autenticación primaria
Algo que tengo: Mecanismo de doble factor por ejemplo un passkey tipo yubikey o la llave Swissbit iShield FIDO2
Algo que soy: Biometría

Una vez exitosamente superados estos mecanismos, se puede decir que el usuario es un usuario de confianza.

Establecer Confianza en el Dispositivo de Acceso

A partir de este momento es cuando Zero Trust agrega más capas de seguridad, la siguiente es asegurarnos que el dispositivo de acceso cumpla con ciertas políticas adaptativas de acceso que disminuyan el riesgo de brechas causadas por vulnerabilidades en los sistemas operativos y softwares conexos.

En este punto se sugiere que para otorgar confianza a un dispositivo se evalúen diversos aspectos, tales como:

Ubicación: geolocalización o redes desde las cuales accede
Salud: estado de actualizaciones del sistema operativo, software conexo y posturas de seguridad definidas
Propiedad: en ambientes BYOD (Bring Your Own Device) es conocer si el dispositivo de acceso es propiedad de la organización (corporativo) o del colaborador (personal)

Asegurar el Acceso a Cada Aplicación

Al aumentar la granularidad de las políticas de acceso, Zero Trust recomienda disminuir la superficie de exposición limitando el acceso a cada aplicación solo por los usuarios o grupos que requieran acceso a esa aplicación

Conclusiones

Zero Trust Network Access llegó para quedarse, y la complejidad de sus implementaciones son directamente proporcionales a la complejidad de la infraestructura, servicios y activos de TI a proteger.

Es por ello que hay que optar por soluciones ZTNA cuyos métodos de implementación sean rápidos y con escaso TCO o Costo Total de Propiedad.

Acá es cuando la solución Zero Trust Cisco, Duo Security, deja al resto boquiabierto y toma la delantera con facilidad.

En este Blog he invertido muchos artículos que soportan de manera práctica lo que estoy diciendo, así que te invito a consultarlos.

Referencias:

Rose,S., Borchert, O., Mitchell,S., Connelly, S. (Agosto 2020). NIST Special Publication 800-207 – Zero Trust Architecture, National Institute of Standards and Technology. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
Duo Security, Zero Trust Security for the Workforce. https://duo.com/solutions/zero-trust-security

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	1 year	Esta cookie está configurada por el complemento de WordPress de consentimiento de cookies de GDPR. La cookie se utiliza para recordar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	1 year	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	1 year	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otros".
cookielawinfo-checkbox-performance	1 year	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
CookieLawInfoConsent	1 year	Registra el estado del botón predeterminado de la categoría correspondiente y el estado de CCPA. Funciona solo en coordinación con la cookie principal.

Cookie	Duración	Descripción
pll_language	1 year	Polylang utiliza la cookie pll _language para recordar el idioma seleccionado por el usuario cuando regresa al sitio web, y también para obtener la información del idioma cuando no está disponible de otra manera.
sp_landing	1 day	Spotify establece sp_landing para implementar contenido de audio de Spotify en el sitio web y también registra información sobre la interacción del usuario relacionada con el contenido de audio.
sp_t	1 year	Spotify establece la cookie sp_t para implementar contenido de audio de Spotify en el sitio web y también registra información sobre la interacción del usuario relacionada con el contenido de audio.
trkCode	session	LinkedIn instala esta cookie como parte de los procesos anti-abuso en LinkedIn.
trkInfo	session	LinkedIn instala esta cookie para el análisis y la depuración de amenazas, que se utiliza como parte de los procesos contra el abuso en LinkedIn.

Cookie	Duración	Descripción
_ga	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones y campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatoriamente para identificar visitantes únicos.
_ga_3G2RSK8RW1	2 years	Esta cookie es instalada por Google Analytics.
_gat_gtag_UA_202621129_4	1 minute	Establecido por Google para distinguir a los usuarios.
_gid	1 day	Instalada por Google Analytics, la cookie _gid almacena información sobre cómo los visitantes usan un sitio web, al mismo tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.
CONSENT	16 years 4 months 13 days 10 hours	Estas cookies se configuran a través de videos de youtube incrustados. Registran datos estadísticos anónimos sobre, por ejemplo, cuántas veces se muestra el video y qué configuraciones se usan para la reproducción. No se recopilan datos confidenciales a menos que inicie sesión en su cuenta de Google, en ese caso, sus elecciones están vinculadas con su cuenta, por ejemplo. si hace clic en "me gusta" en un video.

Cookie	Duración	Descripción
IDE	1 year 24 days	Utilizado por Google DoubleClick y almacena información sobre cómo el usuario usa el sitio web y cualquier otro anuncio antes de visitar el sitio web. Esto se utiliza para presentar a los usuarios anuncios que son relevantes para ellos según el perfil del usuario.
test_cookie	15 minutes	Esta cookie está configurada por doubleclick.net. El propósito de la cookie es determinar si el navegador del usuario admite cookies.
VISITOR_INFO1_LIVE	5 months 27 days	Esta cookie la establece Youtube. Se utiliza para rastrear la información de los videos de YouTube incrustados en un sitio web.
YSC	session	Estas cookies las establece Youtube y se utilizan para rastrear las vistas de los videos incrustados.
yt-remote-connected-devices	never	Estas cookies se configuran a través de videos de youtube incrustados.
yt-remote-device-id	never	Estas cookies se configuran a través de videos de youtube incrustados.

Cookie	Duración	Descripción
cookielawinfo-checkbox-functional	1 year	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
loglevel	never	No hay descripción disponible.