El modelo de seguridad de redes Zero trust fue concebido por Forrester Research en 2009. La premisa detrás de Zero Trust fue, y sigue siendo, bastante autodescriptiva: las redes de computadoras, en sí mismas, son inherentemente poco fiables. Parece un concepto obvio en el entorno de seguridad de redes actual, pero en los tiempos en que las primeras redes locales de computadoras se conectaron a Internet, las herramientas y técnicas utilizadas para protegerlas se construyeron e implementaron basándose en la analogía del «castillo y foso» de la época medieval.
En otras palabras, las organizaciones han estado acostumbradas a establecer fortificaciones sólidas alrededor de dichas redes, controladas internamente para mantener alejados a los intrusos. Las paredes eran altas y los fosos anchos. Por lo tanto, cualquier cosa permitida en la red se consideraba confiable porque había pasado algún tipo de validación o prueba de autorización, generalmente un firewall, controles de acceso a la red, prevención de intrusos, antivirus, etc. o alguna combinación de estos. Como resultado, debido a que había pasado el «punto de control» de seguridad, se permitió que la comunicación interna viajara con bastante libertad, sin que se inspeccionase.
Con el tiempo, y conforme las redes evolucionaron, las organizaciones comenzaron a ver fallas en este método de seguridad de la red. Solo porque una dirección IP se validaba como confiable y tenía permitido comunicarse hacia adentro de la red, no había una manera efectiva de evitar que el software malicioso se introdujera ocultamente en esa comunicación.
¿Y qué pensar de la protección del acceso a las aplicaciones desarrolladas e implementadas dentro de la organización, o peor aún, en un contenedor o en una nube alojada fuera de sus instalaciones, pero a la que pueden acceder los empleados y clientes a través de Internet o de redes privadas virtuales?
Todo lo anterior deja entrever que los encargados de la seguridad de las redes necesitan algo que les ayude a resolver las limitaciones que las tecnologías de seguridad actuales no están logrando solucionar. Aunque surgieron nuevas técnicas basadas en el mejoramiento de las tecnologías actuales, como lo es NAC (Network Access Control), el desarrollo de proyectos para su implementación lleva mucho tiempo y suele ser muy costoso, por no mencionar que es difícil de gestionar y soportar sin el personal de operaciones suficientemente capacitado.
Durante varios años, las organizaciones han estado batallando con los problemas de seguridad derivados de este dilema y probando nuevos métodos para proteger su información y aplicaciones. Si bien el concepto de redes Zero Trust no es algo realmente nuevo, parece estar ganando muchos adeptos tan solo en los dos últimos años. A medida que se ha adoptado y que se ha dado la migración hacia servicios en la nube se están volviendo omnipresentes, y cada vez más compañías trasladan a terceros la gestión de la mayor parte o la totalidad de su infraestructura de TI. Las organizaciones han comenzado a ver al modelo Zero Trust como un camino adecuado a seguir. Los proveedores de infraestructura de seguridad han comenzado a irrumpir en la escena con tecnologías desarrolladas bajo los preceptos del modelo Zero Trust, y aunque aún muchos ejecutivos y especialistas en seguridad no conocen o no han escuchado acerca de él, el modelo Zero Trust tiene las condiciones para convertirse en la siguiente tendencia para la protección y el acceso seguro de las redes empresariales.
Un cambio en la mentalidad
Una de las razones detrás de la reciente atención que ha recaído sobre el modelo Zero Trust tiene que ver con el hecho de que grandes cantidades de carga de trabajo (workloads) de las organizaciones están ahora “ejecutándose en ambientes tercerizados (nubes y centros de datos) que estas no pueden controlar». Los proveedores de servicios en la nube han invertido una cantidad significativa de esfuerzo y dinero para asegurar los espacios que sus clientes compran o alquilan. Sin embargo, al quedar el control de la seguridad de estos ambientes a cargo de un tercero (que no puede estar al día sobre los cambios o nuevos requerimientos de negocio y seguridad de cada uno de sus clientes), estos ambientes se convierten en ambientes “inherentemente poco seguros”.
Independientemente del lugar donde residan los datos y las aplicaciones, estos deben contar con mecanismos que les mantengan protegidos y su propietario debe estar convencido de que la confidencialidad, integridad y disponibilidad de dichos datos y aplicaciones no se verá comprometida cuando se almacenen y ejecuten fuera de sus instalaciones. Con la pérdida de control que acompaña al cómputo en la nube, los responsables de la seguridad en las organizaciones necesitan encontrar formas de administrar la seguridad de la red fuera de sus propias redes. Requieren la capacidad de escalar las políticas de seguridad y administrar las permutaciones de esas políticas para que siga siendo efectiva. Todo esto debe ser independiente de la infraestructura en la que residen los datos y las aplicaciones.
Esto implica un cambio de mentalidad respecto a la idea tradicional de la seguridad en el entorno de las redes. Independientemente de la forma en que se desarrolle una aplicación o se gestione la implementación de un sistema de información empresarial, es imperante considerar la seguridad en todo el proceso: cómo mis datos y mis aplicaciones están seguros, ya sea en las instalaciones, en la nube o viajando entre ambos. Políticas de control de acceso, autenticación y autorización deben formar parte fundamental del entorno de seguridad bajo el cual se permite el ingreso a los recursos de información, donde quiera que estos se encuentren.
El modelo Zero Trust depende menos de la topología de la red y de la infraestructura que la compone. Operacionalizar la seguridad de redes bajo el modelo Zero Trust significa alejarse de la idea de gestionar más configuraciones de red y, en cambio, concentrarse en “encapsular” los mecanismos para su protección alrededor del software que gestiona la comunicación. Significa concentrarse en la identidad criptográfica de lo que se está comunicando, la manera en cómo se está comunicando y el comportamiento de sus comunicaciones.
Romper las barreras de lo establecido
Por lo anterior, no es de sorprender que un número creciente de empresas estén centrando la atención en desarrollar productos teniendo al modelo Zero Trust como columna vertebral. Estas compañías se concentran en crear y ofrecer plataformas escalables y adaptables a los entornos de operación en la nube que buscan mantener la comunicación del software más segura. Esto implica un cambio en el modelo de «colocar las protecciones alrededor de los datos, no de la red», y es extremadamente aplicable en esta época del cómputo en la nube, los contenedores y el desarrollo de Apps para todo uso.
#HablemosDeSeguridad
Vía @Contato_Capa8