Zero Trust Exchange: el único camino hacia la confianza cero

En mi blog anterior, expliqué cómo los cortafuegos y otras soluciones de seguridad de red basadas en el perímetro son incapaces de ofrecer confianza cero. Ya sean cortafuegos y VPN, modelos perimetrales basados en la nube, como cortafuegos virtuales, o soluciones puntuales basadas en la nube, ninguno de ellos cumple con un verdadero marco de confianza cero (tal y como queda definido por el NIST y otras agencias líderes). Pero la pregunta sigue vigente: si estos modelos no pueden ofrecer confianza cero, ¿qué puede hacerlo y cómo?

La respuesta breve es Zscaler Zero Trust Exchange. Con su arquitectura única, esta plataforma nativa de la nube puede garantizar la confianza cero, a diferencia de las tecnologías heredadas de seguridad de red. Construida sobre una arquitectura proxy, Zero Trust Exchange, como se muestra en la Figura 1, actúa como una centralita inteligente que conecta de forma segura a los usuarios con las aplicaciones, a las aplicaciones con las aplicaciones y a las máquinas con las máquinas, para cualquier dispositivo, en cualquier red y en cualquier lugar. Obliga a que haya una verificación basada en la identidad y el contexto antes de otorgar permiso a cualquier solicitud de comunicación con una aplicación.

Zero Trust Exchange proporciona confianza cero para los usuarios, las aplicaciones y las cargas de trabajo al asegurar el acceso a Internet y SaaS, así como a las aplicaciones privadas dondequiera que estén alojadas, en Internet, en centros de datos o en nubes privadas o públicas.

Figura 1: Visión general de Zero Trust Exchange

Analicemos en detalle cómo Zero Trust Exchange ofrece confianza cero a escala con su arquitectura probada. En la figura 2, Zero Trust Exchange se sitúa como ejecutor de políticas y tomador de decisiones entre entidades como dispositivos móviles, IoT, etc. que intentan conectarse (en la parte inferior) y recursos como aplicaciones en la nube, aplicaciones SaaS, aplicaciones de Internet, etc. a los que la entidad intenta acceder (en la parte superior). Zero Trust Exchange aplica la política y el contexto de diversas maneras para tomar una decisión de cumplimiento y, posteriormente, concede la conectividad autorizada al recurso solicitado.

Figura 2: Arquitectura de Zero Trust Exchange

Verificación de identidad: el primer paso es establecer la identidad. Para ello, Zero Trust Exchange primero finaliza cualquier conexión existente. Que finalizar la conexión sea el primer paso puede parecer algo extraño, pero hay una buena razón para ello. Zero Trust Exchange detiene la sesión y comprueba la conexión comparando la identidad de los sistemas de gestión de identidad y acceso (IAM) para verificar quién es este usuario/persona y qué contexto está asociado con su identidad. Dependiendo del tipo de aplicación, Zero Trust Exchange puede hacer cumplir los requisitos de autenticación, como ID Proxy, aserción SAML y MFA (con la opción IdP).

Si la comprobación de identidad falla o el usuario no puede acceder a ese recurso en función del contexto de la identidad, la conexión concluye en ese mismo momento. Esto se hace a través de una arquitectura proxy, en contraste con la arquitectura de paso de los cortafuegos, que permite que los datos pasen y luego realiza un análisis fuera de banda, lo que hace que las amenazas desconocidas pasen sin ser detectadas. Zero Trust Exchange tiene integración API con todos los principales proveedores de identidad, como Okta, Ping, Active Directory / Azure AD, entre otros, para establecer dicha identidad. 

Verificación del dispositivo  : el siguiente paso es crear un contexto en torno a la postura del dispositivo: ¿es un dispositivo corporativo o personal? ¿Gestionado o no gestionado? ¿Cumple con la normativa o no? El contexto del dispositivo se combina con otras formas de contexto, como el rol del usuario, la aplicación a la que intenta acceder, el contenido que intercambia y mucho más. Estas condiciones determinan el nivel de acceso que se otorga. Zero Trust Exchange se integra con las principales soluciones de protección de puntos finales, como Microsoft Defender, VMware Carbon Black y Crowdstrike Falcon, entre otras, para la seguridad del contexto y de los puntos finales.

Política de aplicaciones : Zero Trust Exchange identifica si la aplicación solicitada es una aplicación pública o una aplicación privada y además categoriza las aplicaciones SaaS como sancionadas (aplicaciones que la empresa ha comprado, como M365) o no sancionadas (empleados que las utilizan por su cuenta). Basándose en el tipo de aplicación, clasifica el riesgo de la misma y gestiona la política de acceso valiéndose del índice de riesgo de la aplicación con soluciones como el filtrado de URL, las protecciones del Cloud Access Security Broker (CASB), etc. Zero Trust Exchange también determina la fuente de aplicación más cercana disponible para el usuario, que se utiliza para establecer la conexión.

Postura de seguridad: el objetivo final de cualquier tecnología de seguridad es proteger los datos confidenciales, incluidos los datos cifrados. Numerosos atacantes ocultan el malware en SSL, sabiendo que los cortafuegos no pueden inspeccionar el tráfico cifrado a escala, por lo que pueden pasar desapercibidos. Más del 90 % del tráfico está cifrado hoy en día y mientras los cortafuegos son incapaces de inspeccionar todos los datos encriptados en línea, Zero Trust Exchange puede desencriptar el tráfico y ver lo que hay dentro. Proporciona prevención de la pérdida de datos (DLP), así como protección frente a amenazas cibernéticas para los datos en línea a través de sandboxing. El contexto indicado en los pasos anteriores se utiliza para buscar comportamientos anómalos. Estas verificaciones ayudan a identificar los niveles de riesgo de los usuarios en cada paso.

Si el usuario atraviesa todas estas puertas, la pregunta clave es: ¿queremos intermediar en esa conexión con el recurso solicitado?

Aplicación de políticas: las empresas determinan su política comercial para designar con detalle a que pueden y a qué no pueden acceder sus empleados. Según esas políticas, junto con el contexto de la solicitud individual, Zero Trust Exchange autoriza o rechaza el acceso a las aplicaciones. Las aplicaciones privadas no están expuestas a Internet y el acceso se realiza a través de conexiones de solo salida, mientras que las aplicaciones públicas tienen acceso condicional. 

Piense en un empleado del departamento de finanzas que utiliza un dispositivo gestionado para acceder a los datos financieros: el intercambio permitiría esta transacción si se cumple todo el contexto requerido por la política. Sin embargo, si el empleado utiliza un dispositivo no gestionado, no se le dará acceso completo. Una política alternativa puede ser ofrecer acceso a través de una sesión de navegador remota que transmita los datos como píxeles desde una sesión aislada en un entorno de contenedores, pero no permitirá que se acceda a los datos en sí, que se descarguen, que se almacenen en la caché del dispositivo, etc.

Zero Trust Exchange establece una conexión granular desde la entidad hasta el recurso o la aplicación cuyo acceso está autorizado. Esta es una verdadera conexión de confianza cero. Incluso si existe una amenaza de seguridad, se limita a esa conexión entre la entidad solicitante específica y la aplicación a la que accede, en lugar de a toda la red. Esta arquitectura cumple plenamente con los principios definidos en la arquitectura del NIST, esencial para cualquier solución de seguridad que brinde acceso confiable.

Zero Trust Exchange elimina la necesidad de redes MPLS complejas, controles de cortafuegos basados en perímetros complejos y VPN, con acceso rápido, seguro, directo a la nube y conectividad segura de nube a nube que elimina el retorno, la distribución de rutas y la encadenamiento de servicios. En lugar de tener múltiples soluciones de seguridad virtuales o basadas en hardware que son difíciles de administrar y mantener, una solución de confianza cero integrada protege todas las aplicaciones privadas, SaaS e Internet con una única plataforma integral. Zero Trust Exchange proporciona acceso de confianza cero, transparente y nativo de la nube, que ofrece una experiencia de usuario fluida, minimiza los costes y la complejidad, aumenta la visibilidad y el control granular y mejora el rendimiento para un enfoque moderno de la seguridad de confianza cero. 

Para obtener más información sobre la confianza cero, vea este seminario web: Por qué los cortafuegos no son compatibles con la confianza cero. Aprenderá qué es la confianza cero, qué no es y las mejores prácticas para su implementación.