La nueva realidad para los ingenieros de TI y DevOps está definida por la nube, la movilidad y las crecientes demandas de agilidad. En este nuevo panorama, el modelo de seguridad tradicional "basado en el perímetro" no está envejeciendo bien y las herramientas de acceso binario como las VPN, los cortafuegos y los servidores de salto están demostrando ser engorrosas y poco escalables.
Los entornos de trabajo ya no se rigen por perímetros fijos. Los usuarios trabajan con su propio dispositivo y los datos sensibles de la empresa se almacenan en servicios en la nube de terceros. Las empresas ya no pueden confiar en modelos de seguridad binarios que se centran en dejar entrar a los buenos y mantener fuera a los malos. Para las empresas modernas, el desafío es cómo brindar a los usuarios el acceso que necesitan y, al mismo tiempo, reducir los costos de configuración y mantenimiento y sin comprometer la seguridad.
Descargue la Guía Zero Trust Obtenga el informe Forrester Zero Trust Wave
La seguridad Zero Trust no es un producto, es un proceso. A continuación se presentan seis prácticas recomendadas que las organizaciones deben observar en el camino hacia la seguridad de confianza cero.
Verifique a todos los usuarios con autenticación de múltiples factores (MFA)
A menudo se dice que la confianza cero se basa en el principio de "nunca confíes, verifica siempre". Pero, si se implementa correctamente, ¿es más exacto decir que la confianza cero se basa en el principio de "nunca confíes, verifica siempre y vuelve a verificar"?
Atrás quedaron los días en los que un nombre de usuario y una contraseña eran suficientes para validar la identidad de un usuario. Hoy en día, estas credenciales deben fortificarse mediante la autenticación de múltiples factores (MFA). Los factores de autenticación adicionales pueden consistir en uno o más de los siguientes:
Al implantar una arquitectura de confianza cero, la identidad de cada usuario que acceda a su red (usuario privilegiado, usuario final, clientes, socios...) debe verificarse utilizando múltiples factores. Y estos factores se pueden ajustar en función de la sensibilidad de los datos/recursos a los que se accede.
Verificar a los usuarios es necesario, pero no suficiente. Los principios de la confianza cero también se extienden al dispositivo terminal. La verificación de dispositivos incluye asegurarse de que cualquier dispositivo utilizado para acceder a sus recursos internos cumple los requisitos de seguridad de su empresa. Busque una solución que le permita rastrear y aplicar el estado de todos los dispositivos con una fácil incorporación y salida de usuarios.
El principio de privilegios mínimos (PoLP) determina a qué puede acceder en un entorno de confianza cero. Se basa en la idea de que a un usuario en particular solo se le deben otorgar los privilegios suficientes para permitirle completar una tarea en particular.
Por ejemplo, un ingeniero que solo se ocupa de actualizar líneas de código heredado no necesita acceder a los registros financieros. PoLP ayuda a contener el daño potencial en caso de que se vea comprometida la seguridad.
El acceso con privilegios mínimos también se puede ampliar para incluir el acceso con privilegios "justo a tiempo". Este tipo de acceso restringe los privilegios solo a los momentos específicos en los que se necesitan. Esto incluye los privilegios que caducan y las credenciales de un solo uso.
Además de autenticar y asignar privilegios, también debe supervisar y revisar toda la actividad de los usuarios en la red. Esto ayudará a identificar cualquier actividad sospechosa en tiempo real. La visibilidad es especialmente importante para los usuarios que tienen derechos administrativos debido al gran alcance de sus permisos de acceso y la confidencialidad de los datos a los que pueden acceder.
Utilice controles basados en atributos para autorizar el acceso a los recursos en toda su pila de seguridad, desde la aplicación en la nube y en las instalaciones, hasta las API, los datos y la infraestructura. Esto permitirá al administrador ajustar y aplicar fácilmente las políticas de acceso para bloquear eventos sospechosos en tiempo real.
No dejes que lo perfecto sea enemigo de lo bueno. Implementar la estrategia perfecta de confianza cero que sus usuarios finales odian usar no es una muy buena estrategia. Ustedes, los usuarios finales, solo quieren trabajar. Considere una estrategia y unos productos que creen la experiencia más fluida y similar al SaaS para su equipo.