Para comprender la arquitectura Zero Trust (ZTA), primero es necesario comprender Zero Trust. Hay varias definiciones de Cero Confianza en la industria de la seguridad, algo en evolución, que a veces pueden causar más confusión que claridad. En lugar de introducir otra definición, vale la pena dar un paso atrás y comprender realmente el objetivo fundamental de Zero Trust.
Por qué Zero Trust
El objetivo de Zero Trust es hacer que las organizaciones sean resistentes a las amenazas cibernéticas identificando y eliminando continuamente la incertidumbre en la aplicación de las reglas de seguridad.
Las empresas están constantemente bajo ataque. Para la mayoría, las defensas perimetrales han demostrado ser cada vez más ineficaces para detener la brecha inicial o su propagación . En tal contexto, la “resistencia a las amenazas cibernéticas ” se refiere a poder mantener la continuidad del negocio y la integridad de los datos incluso cuando los atacantes han violado las defensas y es posible que aún no se hayan descubierto .
Hacer cumplir las reglas de seguridad no debe ser un juego de adivinanzas ni implicar suposiciones de confianza implícitas. En la mayor medida posible, debería ser determinista . Además, la aplicación de normas de seguridad deben hacerse sobre una n de forma continua, utilizando varias señales de entrada diferentes, incluso si es para la misma solicitud de acceso , como contexto y las circunstancias podría haber cambiado.
Elementos clave de la arquitectura Zero Trust
Ahora que entendemos el objetivo de Zero Trust, volvamos a Zero Trust Architecture. ZTA es exactamente lo que implica su nombre. Es una "arquitectura" o un plan para implementar los principios de ZT. Se trata de pasar de una filosofía a un plan de juego.
Como lo describe NIST (el Instituto Nacional de Estándares y Tecnología del Departamento de Comercio de EE. UU.)
"La arquitectura de confianza cero es un plan de ciberseguridad empresarial que utiliza conceptos de confianza cero y abarca las relaciones de los componentes, la planificación del flujo de trabajo y las políticas de acceso".
Ampliando esto aún más, una empresa de confianza cero es aquella que implementa este plan de juego. Para implementar este plan, la organización debe encontrar formas prácticas de disminuir o reducir las incertidumbres en la aplicación de las políticas de seguridad y, más específicamente, las políticas de acceso. La administración del acceso a los recursos se puede considerar en tres dominios distintos: otorgar acceso, controlar el acceso y monitoreo continuo.
Otorgar acceso: ¿Qué factores deben tenerse en cuenta para permitir el acceso?
Controlar el acceso: ¿Cuánto acceso se debe otorgar?
Monitoreo continuo: ¿Cómo deberían las organizaciones monitorear los cambios en la postura de seguridad?
Estos dominios cubren siete principios clave de la arquitectura Zero Trust, que desempeñan un papel fundamental en el establecimiento de una seguridad sólida.
Arquitectura de confianza cero: lucha contra las amenazas cibernéticas modernas
En el mundo digital actual, las estrategias de seguridad basadas en el perímetro a menudo tienen dificultades para defenderse de las amenazas cibernéticas cada vez más complejas. ZTA está diseñado teniendo en cuenta las realidades del panorama actual de amenazas: asume legítimamente que las empresas no podrán detectar y bloquear todas las amenazas, y en su lugar adopta un enfoque de "no confiar en nada, verificar todo" para otorgar acceso, controlar el acceso, y monitorear la postura de seguridad.
La plataforma ColorTokens Xtended ZeroTrustTM es una plataforma definida por software y entregada en la nube que protege los activos críticos, incluidas las aplicaciones, los puntos finales y las cargas de trabajo. La plataforma simplifica y acelera el viaje empresarial hacia entornos híbridos y la adopción total de la nube. Obtenga más información aquí.
Acerca del autor: Sunil Muralidhar es el director senior de crecimiento de ColorTokens. Es igualmente un apasionado de la construcción de negocios y el desarrollo de productos de seguridad de clase mundial. Antes de unirse a ColorTokens, Sunil ayudó a construir soluciones de análisis y administración de sistemas de nivel empresarial en Microsoft, VMware y Tintri.
Comments