El enfoque clásico para defender una red era colocar defensas perimetrales, normalmente un firewall con algún tipo de sistema de prevención/detección de intrusiones (IPS/IDS).
Es un enfoque que funcionó durante un tiempo cuando había una clara delimitación entre los que estaban dentro y los que estaban fuera de la red. Para los trabajadores remotos, hacer un túnel a través del firewall con una VPN los llevó al interior y los trató como personas internas con acceso completo a... todo.
En el entorno de TI moderno, con trabajadores remotos, proveedores externos, oficinas distribuidas, dispositivos móviles y la implementación de la nube, el perímetro clásico ya no existe. En cambio, la unidad fundamental de acceso en la mayoría de los casos es la identidad.
En la nube, en particular, la identidad lo es todo.
Con una identidad, en forma de nombre de usuario/contraseña o credencial de acceso, un usuario o dispositivo puede obtener acceso al servicio. En manos de un atacante, esa misma identidad otorga el mismo acceso.
Una y otra vez, infracción tras infracción, el ciclo de ataque moderno, especialmente en la nube, comienza con la identidad. Los atacantes buscan obtener acceso a una identidad, luego pivotan entre recursos, descubriendo credenciales y otras identidades que les den cada vez más acceso para obtener lo que quieren.
La identidad en la era nativa de la nube ya no se trata sólo de un simple entorno de Microsoft ActiveDirectory. En la era de la nube, donde las API son los guardianes del acceso, la identidad es la totalidad del plano de datos, ya que es un perímetro sin red.
Solíamos pensar en qué sistemas podían controlar los atacantes y dónde tenían puntos de presencia en una red. Ahora tenemos que pensar en qué identidades controlan y para qué se pueden usar esas identidades. Porque la red ya no es un punto seguro.
El plano API hace que pivotar entre cosas sea trivial. Si tiene el control de la identidad correcta, puede pasar a una instancia informática. Y si puede mudarse a una instancia que tiene control sobre otra identidad, puede pasar a lo que sea que haga esa identidad.
Los ataques ahora pueden realizarse sin red de manera que no estén controlados por el perímetro de la red. Ya no estás seguro porque tienes un firewall, tienes que tener en cuenta lo que tus identidades pueden hacer.
Tratar de proteger las identidades no es una tarea fácil. Las mejores organizaciones de TI tienen muchos registros y potencialmente pueden usar esa información para la búsqueda de amenazas para buscar actividades anómalas. Algunas organizaciones utilizan User and Entity Behavior Analytics (UEBA) para buscar valores atípicos y posible uso indebido de identidad.
Otro enfoque es lo que hacemos en Check Point Security. En el modelo Zero Trust, la identidad sigue siendo importante, pero no es una llave esqueleta que siempre otorgue acceso. En cada etapa de una conexión cliente o host, nuestro modelo de confianza cero tiene un límite de seguridad que garantiza que una solicitud sea válida y esté autorizada para continuar. En lugar de confiar en una confianza implícita después de que se haya proporcionado el nombre de usuario y la contraseña correctos, o token de acceso, sin confianza, por definición, todo no es de confianza y debe verificarse antes de otorgar acceso.
El modelo Zero Trust proporciona controles para el perímetro basado en la identidad que van más allá de las credenciales. Proporcionar un modelo de privilegios mínimos donde el acceso solo se otorga para lo que se requiere, combinado con el uso de la segmentación minimiza aún más la superficie de ataque.
Con Zero Trust, el riesgo de una violación de datos en la que se roban las identidades de los usuarios se puede reducir porque las identidades no siempre son de confianza por defecto. En el mundo nativo de la nube basado en identidades en el que vivimos, tenemos que garantizar la confianza en las identidades para saber que nuestras credenciales están solo donde esperamos que estén y se utilizan para el propósito esperado.
La identidad es el nuevo perímetro en el mundo nativo de la nube, ignorar ese hecho y simplemente permitir credenciales sin cuestionamiento o validación simplemente no es una buena práctica y podría exponer a su organización a riesgos.