Documente Academic
Documente Profesional
Documente Cultură
Implementación de un modelo
de seguridad Zero Trust en el
entorno hostil actual
Implementación de un modelo de seguridad Zero Trust en el entorno hostil actual 2
Resumen ejecutivo
Empresas de todo tipo persiguen la transformación digital, con el objetivo de aumentar el valor ofrecido al
cliente, operar con mayor eficiencia y agilidad, y fomentar la innovación. Sin embargo, aunque las empresas
empiezan a utilizar los nuevos flujos de trabajo en la nube y de DevOps para desarrollar su negocio digital,
la seguridad no ha evolucionado al mismo ritmo. La proliferación de aplicaciones en la nube y un conjunto
de trabajadores cada vez más móvil han reducido considerablemente la eficacia del perímetro de red. Las
aplicaciones, los datos, los usuarios y los dispositivos están saliendo de la zona de control de la empresa, lo
que aumenta significativamente la superficie de ataque. A medida que la infraestructura se vuelve cada vez
más permeable para implantar nuevos modelos de negocio, los ciberdelincuentes son cada vez más hábiles
y sofisticados, y están más motivados para hallar formas de sortear las medidas de seguridad. La seguridad
perimetral tradicional en ningún caso se diseñó para la realidad actual.
Ante la proliferación de ciberataques y las consiguientes filtraciones asociadas, ¿cómo pueden protegerse
las empresas? En este white paper se describe un paradigma de seguridad para el entorno hostil actual: Zero
Trust. En este modelo, no se confía nunca en los usuarios y dispositivos, y se presupone que el entorno es
hostil. Zero Trust pone de relieve que, en cuestiones de confianza, no se debe hacer distinción entre las redes
internas y externas. Con este modelo, se verifican siempre todos los dispositivos y solicitudes de acceso con
registros completos y análisis de comportamiento. Además, en este documento se abordan las razones por
las que el personal de TI debería plantearse la adopción de servicios en la nube y dejar a un lado la seguridad
perimetral.
+18,5 %
La transformación digital genera un profundo impacto tanto en la manera en
que las empresas distribuyen soluciones de TI como en su exposición a las
amenazas. Tradicionalmente, los usuarios han interactuado con aplicaciones EL MERCADO GLOBAL DE SERVICIOS EN LA
NUBE PÚBLICA AUMENTÓ EN UN 18,5 % EN
de manera fiable a través de redes de área local (LAN) privadas, redes de área 2017 A UN TOTAL DE 260 200 MILLONES DE
extensa (WAN) o redes privadas virtuales (VPN). Las empresas adoptaron la DÓLARES, FRENTE A LOS 219 600 MILLONES
seguridad perimetral, con el uso de firewalls, VPN y controles de acceso a la red DE 2016.3
(NAC), para mantener a los ciberdelincuentes lejos de las redes internas. Una vez
en la red, los usuarios gozaban de una confianza implícita para moverse por ella. 411 400 $ millones
A medida que las empresas experimentan la transformación digital, las reglas GARTNER PREVÉ QUE ESTE MERCADO ALCANCE
LOS 411 400 MILLONES DE DÓLARES EN 2020.4
del juego cambian. Cada vez son más las aplicaciones que residen en la nube,
Implementación de un modelo de seguridad Zero Trust en el entorno hostil actual 3
fuera de la zona de control tradicional del personal de TI. Los participantes de un estudio realizado por RightScale
afirmaron ejecutar el 41 % de sus cargas de trabajo en la nube pública.2 El mercado global de servicios en la nube pública
aumentó en un 18,5 % en 2017 hasta llegar a un total de 260 200 millones de dólares, frente a los 219 600 millones de
2016.3 Gartner prevé que este mercado alcance los 411 400 millones de dólares en 2020.4
Los empleados ya no se conectan principalmente desde dentro de las cuatro paredes de una oficina. Muchos de ellos
suelen conectarse mientras están de viaje o acostumbran a trabajar de forma remota, se mueven por todo el mundo
y se conectan a redes que no están bien protegidas. El estudio global sobre teletrabajo de PGI ha revelado que el 79 %
de los trabajadores del conocimiento de todo el mundo son teletrabajadores.5
Además, la idea de que un negocio digital solo emplee a trabajadores a tiempo completo es obsoleta. La mayoría de
las empresas dependen de proveedores, distribuidores, colaboradores y partners, los cuales necesitan acceder a ciertas
aplicaciones empresariales para llevar a cabo su trabajo. No es de extrañar que cualquier acceso de terceros aumente el
riesgo de que la información esencial de la empresa caiga en malas manos. Además, con la proliferación de políticas de
tipo BYOD (“traiga su propio dispositivo”), el personal de TI tiene menos control sobre los dispositivos que los usuarios
utilizan para acceder a las aplicaciones y los datos corporativos.
Durante mucho tiempo, las empresas han protegido las redes empresariales con distintos perímetros, o DMZ, que
incluyen dispositivos de control de acceso (dispositivos VPN, proveedores de identidad, autenticación de inicio de
sesión único y multifactorial, cliente-servidor), seguridad (firewalls de aplicaciones web, prevención de pérdida de datos,
firewalls de última generación, puertas de enlace web seguras) y distribución y rendimiento de aplicaciones (optimización
y equilibrio de carga). Sin embargo, estas arquitecturas perimetrales no se concibieron para optimizar la experiencia
de los usuarios que acceden a las aplicaciones desde una gran variedad de ubicaciones. Tampoco se diseñaron para el
software como servicio (SaaS) o las aplicaciones alojadas en la nube. Para abordar esto, los departamentos de TI tienen
que repetir estas pilas con frecuencia para garantizar la redundancia y alta disponibilidad en distintas regiones y centros
de datos, según sea necesario, lo que aumenta el coste y la complejidad.
Conforme las aplicaciones migran a la nube, las empresas ya no tienen el mismo control: la seguridad de red tradicional
basada en paquetes, puertos y protocolos no funciona cuando las empresas no gestionan la totalidad del entorno de
aplicaciones y la red.
En un futuro inmediato, las empresas seguirán ejecutando aplicaciones tanto in situ como en la nube. Deberán utilizar un
conjunto de soluciones de control de acceso y seguridad que posiblemente no funcionen bien entre sí, y no dispondrán
de un lugar para gestionar y controlar de forma centralizada estas tecnologías. Los sistemas fragmentados conllevan un
mayor riesgo y una visibilidad reducida.
Por si esto fuera poco, la seguridad perimetral subyacente y local (los muros de protección) se ha quedado obsoleta.
Los delincuentes suelen acceder a redes empresariales mediante nombres de usuario y contraseñas legítimos, o bien
Implementación de un modelo de seguridad Zero Trust en el entorno hostil actual 4
Originalmente promovido por Forrester Research, un modelo de seguridad Zero Trust asume que nada queda dentro y
que ningún dispositivo es de confianza. Trata a todas las aplicaciones como si se enfrentara a Internet, y considera que
toda la red está en riesgo y es hostil. Entre los componentes básicos del modelo Zero Trust, se incluyen:
• Garantizar que el acceso a todos los recursos sea seguro, independientemente de la ubicación o el modelo
de alojamiento.
• Adoptar una estrategia de "privilegios mínimos" y aplicar estrictamente el control de acceso para limitar los
riesgos asociados al exceso de privilegios de usuario.
• Inspeccionar y registrar todo el tráfico en busca de actividades sospechosas para mejorar la detección
y respuesta de seguridad.
Acceso protegido
Las empresas que experimentan una transformación digital
tienen la necesidad de proporcionar a los empleados, Aplic. SaaS
proveedores, consultores y otros partners un acceso Aplic. 5
rápido, fácil y seguro a las aplicaciones alojadas detrás del
firewall desde cualquier dispositivo y en cualquier parte en
EMPRESA
el mundo. Las tecnologías de acceso tradicionales suelen Aplic. 1
utilizar una gran variedad de dispositivos de hardware y Aplic. 2
software para dar acceso a la red a cualquier usuario que SOLUCIÓN EN LA NUBE Aplic. 3
emplee las credenciales adecuadas. Sin embargo, los Aplic. 4
estudios han demostrado que la mayoría de las filtraciones
son producto del robo o uso inadecuado de credenciales
de usuario válidas. Un modelo de seguridad Zero Trust www
asume que todos los usuarios presentan riesgo y no deben
ser de confianza.
El uso de la nube como una extensión de su infraestructura permite un acceso Zero Trust, al proporcionar la entrada solo
a las aplicaciones que los usuarios necesitan, y no a toda la red. Este principio de privilegios mínimos se aplica a todos los
dispositivos y aplicaciones en cualquier parte del mundo.
La seguridad basada en la nube no permite el acceso directo a las aplicaciones, ya que estas permanecen ocultas a
Internet y al público en general. La nube no solo se centra en la ruta de autenticación y autorización, sino también
directamente en la ruta de los datos del usuario, y es el único punto de entrada para que los usuarios obtengan acceso
a los recursos esenciales de la empresa. El servicio en la nube ofrece una conexión TLS segura de autenticación mutua
desde el interior de la red corporativa o IaaS y distribuye la aplicación al usuario. Los proxies seguros aplican estrictos
controles de seguridad y autenticación. Estas capacidades aíslan las redes internas y aplicaciones IaaS de Internet y
trasladan la superficie de ataque al perímetro.
Autenticación
Para proporcionar a los usuarios un acceso seguro a aplicaciones y datos de gran valor, la seguridad basada en la nube
debe integrarse con los servicios de autenticación existentes (por ejemplo: Okta o Microsoft Active Directory), o bien
proporcionar sus propias soluciones de autenticación con características de seguridad avanzadas, como la autenticación
bifactorial o multifactorial. La solicitud de autenticación tanto para el dispositivo como para el usuario incrementa la
seguridad, ya que un atacante debe robar al menos dos identidades para obtener acceso a los recursos, lo que supone
una mejora significativa en comparación con los enfoques tradicionales.
La nube debe aumentar la seguridad mediante la autenticación de los usuarios fuera de la infraestructura de estos sin
necesidad de utilizar hardware ni software adicional.
Autorización
Mediante la adopción de una estrategia de acceso de privilegios mínimos y la aplicación estricta de controles de
acceso, las organizaciones reducen las vías disponibles para que los ciberdelincuentes y el malware obtengan un acceso
no autorizado. Una solución en la nube puede ser de ayuda, al proporcionar explícitamente acceso específico a las
aplicaciones en lugar de aplicar privilegios globales. Las organizaciones pueden definir políticas de seguridad para
todos los usuarios, dispositivos, aplicaciones y datos.
En lugar de resolver todas las solicitudes de DNS sin más, las empresas necesitan emplear controles de seguridad basada
en la nube para aplicar eficazmente inteligencia en tiempo real y ofrecer protección proactiva contra las amenazas en
constante evolución. Los servicios de seguridad basada en la nube deben ser capaces de actuar como un servidor rDNS,
comparar los nombres de dominio con una lista completa y actualizada de dominios maliciosos conocidos, aplicar su
inteligencia y administrar políticas que impidan que se procesen las consultas relativas a dominios maliciosos o con
contenido inapropiado. Dado que esta validación tiene lugar antes de que se establezca la conexión IP, las amenazas
se pueden detener en las primeras fases de la intrusión.
La importancia del modelo Zero Trust aumenta de forma exponencial a medida que las empresas incorporan el uso de
dispositivos de IoT. Por ejemplo, puede que el personal de TI no tenga constancia de que un televisor conectado en una
sala de conferencias está enviando solicitudes a dominios maliciosos en Internet, una acción que podría considerarse un
indicio potencial de riesgo.
Conclusión
Al utilizar el modelo Zero Trust con una arquitectura basada en la nube, las empresas pueden adaptar la ciberseguridad
a la nueva realidad de la TI. Independientemente de que las aplicaciones y los datos residan en el centro de datos
o en la nube, las empresas pueden proporcionar a los usuarios, ubicados en cualquier lugar y con cualquier dispositivo,
un acceso seguro, sencillo y eficaz. Pueden impedir que los usuarios accedan a aplicaciones externas que contengan
malware que pudiera poner en peligro la red o que incluyan contenido inapropiado. Además, pueden supervisar el tráfico
en todo momento en busca de comportamientos sospechosos. De esta manera, las empresas pueden aprovechar al
máximo las últimas tecnologías para hacer posible la transformación digital, con la tranquilidad de saber que los datos
y aplicaciones de gran valor estarán protegidos.
Fuentes
1.
https://www.idc.com/getdoc.jsp?containerId=prUS41888916
2.
www.rightscale.com/blog/cloud-industry-insights/cloud-computing-trends-2017-state-cloud-survey
3.
https://www.gartner.com/newsroom/id/3815165
4.
https://www.gartner.com/newsroom/id/3815165
5.
https://www.ondeck.com/blog/your-complete-guide-to-the-remote-workforce-in-2017
6.
https://digitalhubshare.symantec.com/content/dam/Atlantis/campaigns-and-launches/FY17/Threat%20Protection/ISTR22_Main-FINAL-JUN8.pdf?aid=elq
7.
https://www.fireeye.com/company/press-releases/2016/fireeye-releases-first-mandiant-mtrends-emea-report.html
8.
https://www.akamai.com/us/en/multimedia/documents/report/remote-access-security-challenges-and-opportunities.pdf
9.
https://www.computerworld.com/article/3222829/security/state-of-remote-access-security.html
10.
https://www.darkreading.com/endpoint/91--of-cyber attacks-start-with-a-phishing-email/d/d-id/1327704?
Akamai, la plataforma de distribución en la nube más grande y respetada del mundo, ayuda a sus clientes a ofrecer las mejores y más seguras experiencias
digitales, independientemente del dispositivo, en cualquier momento y en cualquier lugar. La plataforma masivamente distribuida de Akamai no tiene parangón
en términos de escala, con más de 200 000 servidores repartidos en 130 países, lo que ofrece a los clientes un excelente rendimiento y protección contra las
amenazas. La cartera de soluciones de rendimiento web y móvil, seguridad en la nube, acceso empresarial y distribución de vídeo de Akamai está respaldada
por un servicio de atención al cliente excepcional y una supervisión ininterrumpida. Para descubrir por qué las principales instituciones financieras, líderes
de comercio electrónico, proveedores de contenidos multimedia y de entretenimiento, y organizaciones gubernamentales confían en Akamai, visite
www.akamai.com/es/es y blogs.akamai.com/es/, o siga a @Akamai en Twitter. Puede encontrar los datos de contacto de todas nuestras oficinas en
https://www.akamai.com/es/es/locations.jsp. Publicado en febrero de 2018.