5 Principios Fundamentales de la Seguridad Cero Confianza

El enfoque de confianza cero

El modelo de seguridad de confianza cero fue desarrollado en 2010 por John Kindervag cuando era analista principal en Forrester Research Inc. Desde entonces, ha despegado y se ha convertido en un objetivo de seguridad principal para las empresas de todo el mundo.

El modelo de seguridad de confianza cero se basa en el concepto de “confiar pero verificar”. Históricamente, los modelos de seguridad han confiado implícitamente en cualquier usuario o dispositivo dentro de la red bajo el supuesto de que ha sido validado como autorizado y legítimo. Bajo un modelo de confianza cero, cada solicitud de acceso se examina y verifica independientemente antes de otorgar acceso a los recursos corporativos. Esto es cierto independientemente de dónde se origine la solicitud, tanto dentro como fuera del perímetro de la red corporativa.

¿Cuáles son los principios básicos de Zero Trust?

De forma predeterminada, un modelo de seguridad de confianza cero trata a cada usuario, dispositivo y aplicación como una amenaza potencial para la empresa. Solo después de evaluar la legitimidad de una solicitud, basada en controles de acceso basados en roles (RBACs) y otros datos contextuales como el origen de la solicitud, la marca de tiempo y el análisis del comportamiento del usuario, se concede o se niega el acceso.

El modelo de seguridad extendida Zero Trust define siete principios clave o áreas de enfoque cuando una organización está trabajando para implementar un modelo de seguridad de confianza cero.

Cinco de estos principios se basan en aplicar la postura de seguridad de “denegar por defecto” a varios activos corporativos, incluyendo:

1. Redes Zero Trust: Defender el perímetro de la red tradicional no es suficiente para la ciberseguridad corporativa o una política de seguridad de confianza cero. Una red de confianza cero está microsegmentada, donde se definen perímetros alrededor de cada uno de los activos valiosos de la empresa. En estos límites, es posible realizar inspecciones de seguridad y aplicar controles de acceso, lo que facilita bloquear el movimiento lateral de amenazas a través de la red y contener y aislar una posible infracción.
2. Cargas de trabajo Zero Trust: las cargas de trabajo basadas en la nube, incluidos activos como contenedores, funciones y máquinas virtuales, son objetivos atractivos para los ciberdelincuentes y tienen necesidades de seguridad únicas. La supervisión de seguridad y la gestión de acceso de confianza cero granulares y personalizadas son esenciales para proteger estos activos, especialmente en la nube pública.
3. Datos de confianza cero: La mejora de la seguridad de los datos es uno de los objetivos principales de una política de seguridad de confianza cero. La implementación de la confianza cero requiere identificar cachés de datos confidenciales o valiosos, mapear flujos de datos comunes y definir requisitos de acceso basados en las necesidades del negocio. Estas políticas también deben definirse y aplicarse de manera consistente en todo el ecosistema de TI de una organización, incluidas estaciones de trabajo, dispositivos móviles, servidores de aplicaciones y bases de datos, y la implementación de la nube.
4. Gente de confianza cero: Las credenciales comprometidas son la principal causa de violaciones de datos, por lo que la autenticación basada en nombres de usuario y contraseñas ya no es suficiente. La confianza cero requiere una autenticación sólida mediante autenticación de múltiples factores (MFA) y acceso a la red de confianza cero (ZTNA).
5. Dispositivo Zero Trust: una estrategia de seguridad Zero Trust incluye tratar todos los dispositivos conectados a la red corporativa como no confiables y como una amenaza potencial. La implementación de la seguridad de confianza cero requiere la capacidad de determinar si un dispositivo es una amenaza y aislar aquellos que están comprometidos.

Los otros dos principios clave describen capacidades vitales para una estrategia de seguridad de confianza cero, incluyendo:

• Visibilidad y análisis: una política de seguridad de confianza cero se basa en la toma de decisiones de acceso informadas, lo que requiere una visibilidad profunda de las actividades realizadas en el dispositivo corporativo y en la red. La seguridad efectiva de confianza cero se basa en análisis que monitorean, registra, correlaciona y analiza constantemente los datos recopilados de todo el ecosistema de TI corporativo.
• Automatización y orquestación: una red de confianza cero brinda la capacidad de detectar actividades no autorizadas y potencialmente maliciosas dentro del entorno corporativo. La arquitectura de confianza cero debe integrarse con la infraestructura de seguridad corporativa y la arquitectura de TI para soportar una respuesta a incidentes rápida, automatizada y escalable, auditoría de seguridad, caza de amenazas y delegación de tareas.

Seguridad absoluta de confianza cero con Check Point

Una política de seguridad de confianza cero efectiva es aquella que se aplica de manera consistente en todo el ecosistema de TI de una organización. De lo contrario, las amenazas cibernéticas pueden aprovechar las brechas de cumplimiento para obtener acceso no autorizado a los recursos corporativos.

Attempting to implement zero trust with an array of disparate and standalone security technologies is likely to create these dangerous security holes. Check Point offers a holistic and integrated approach to implementing zero trust based on a consolidated security infrastructure.

Check Point is the core of Check Point’s Absolute Zero Trust Security strategy. It enables an organization to implement all aspects of the core zero trust principles, centralize monitoring and management of its security architecture, and minimize cybersecurity risk with a prevention-focused approach to known and zero-day threats.

To learn how to implement a zero trust security policy, check out The Ultimate Guide to Zero Trust Security. Then, find out how to implement zero trust with Check Point in Absolute Zero Trust Security with Check Point Architecture.