El zero trust es un marco que asume que todas las conexiones y endpoints son amenazas, tanto externas como internas, dentro de la seguridad de la red de una empresa. Permite a las empresas crear una estrategia de TI exhaustiva para abordar las necesidades de seguridad de un entorno de nube híbrida. El zero trust implementa una protección adaptable y continua, y proporciona la capacidad de gestionar las amenazas de forma proactiva.

En otras palabras, este enfoque nunca confía en los usuarios, dispositivos o conexiones para ninguna transacción y verificará todo esto para cada una de ellas. Esto permite a las empresas obtener seguridad y visibilidad en todo su negocio y aplicar políticas de seguridad coherentes, lo que se traduce en una detección y respuesta más rápidas ante las amenazas.

El zero trust comenzó con la iniciativa “BeyondCorp” desarrollada por Google en 2010. El objetivo de la iniciativa era proteger el acceso a los recursos en función de la identidad y el contexto, alejándose del modelo tradicional de seguridad basado en el perímetro. Esta estrategia permitió a Google proporcionar a los empleados un acceso seguro a las aplicaciones y datos corporativos desde cualquier lugar, utilizando cualquier dispositivo, sin necesidad de una VPN.

En 2014, John Kindervag, analista de Forrester Research, acuñó el concepto de zero trust para describir este nuevo paradigma de seguridad en un informe titulado "El modelo zero trust de la seguridad de la información". Propuso un nuevo modelo de seguridad que asume que no se puede confiar en nadie (ya sea dentro o fuera de la red de la organización) sin verificación. El informe esbozaba el modelo zero trust basado en dos principios fundamentales: "Nunca confíes, siempre verifica".

Se supone que ningún usuario, dispositivo o aplicación es de confianza y deben ser verificados antes de concederles acceso a los recursos. El principio de privilegio mínimo significa que a cada usuario o dispositivo se le concede el nivel mínimo de acceso necesario para realizar su trabajo, y el acceso solo se concede en función de la necesidad de conocer.

Desde entonces, el concepto de zero trust ha seguido ganando impulso, y muchas organizaciones han adoptado sus arquitecturas para proteger mejor sus recursos digitales de las ciberamenazas. Abarca varios principios y tecnologías de seguridad que se implementan para fortalecer la seguridad y reducir el riesgo de violaciones de seguridad.

• Zero trust basado en la identidad: este modelo se basa en el principio de verificación estricta de la identidad, en el que cada usuario o dispositivo está autenticado y autorizado antes de acceder a cualquier recurso. Se basa en la autenticación multifactor, los controles de acceso y los principios de privilegios mínimos.
• Zero trust basado en la red: se centra en proteger el perímetro de la red dividiéndola en segmentos más pequeños. Su objetivo es reducir la superficie de ataque limitando el acceso a recursos específicos solo a usuarios autorizados. Este modelo utiliza tecnologías como firewalls, VPN y sistemas de detección y prevención de intrusiones.
• Zero trust basado en datos: este modelo tiene como objetivo proteger los datos confidenciales cifrándolos y limitando el acceso a los usuarios autorizados. Emplea tecnologías de clasificación y etiquetado de datos, prevención de pérdida de datos y cifrado para proteger los datos en reposo, en tránsito y en uso.
• Zero trust basado en aplicaciones: se centra en la protección de las aplicaciones y sus datos asociados. Asume que ninguna aplicación es de confianza y que deben verificarse antes de acceder a datos confidenciales. Utiliza controles a nivel de aplicación, como la protección en tiempo de ejecución y la creación de contenedores, para protegerse contra ataques como la inyección de código y el malware.
• Zero trust basado en dispositivos: este modelo protege los propios dispositivos (p. ej., smartphones, ordenadores portátiles y dispositivos IoT). Asume que los dispositivos pueden verse comprometidos y deben verificarse antes de acceder a datos confidenciales. Emplea controles de seguridad a nivel de dispositivo, como la protección de endpoints, el cifrado de dispositivos y las capacidades de borrado remoto.

Estos modelos están diseñados para trabajar de forma conjunta y crear una arquitectura integral zero trust que puede ayudar a las organizaciones a reducir su superficie de ataque, mejorar su posición de seguridad y minimizar el riesgo de violaciones de seguridad. Sin embargo, es importante tener en cuenta que los tipos específicos de modelos de seguridad zero trust y su implementación pueden variar según el tamaño de la organización, el sector y las necesidades de seguridad específicas.

El zero trust se ha convertido en un enfoque popular de la ciberseguridad moderna. Muchas organizaciones lo han adoptado para hacer frente a la creciente amenaza de los ciberataques y las vulneraciones de datos en el mundo complejo e interconectado de hoy en día. Como resultado, muchos proveedores de tecnología han desarrollado productos y servicios diseñados específicamente para soportar arquitecturas zero trust.

También hay muchos marcos y estándares que las organizaciones pueden utilizar para implementar los principios de seguridad zero trust en sus estrategias de ciberseguridad con la orientación del Instituto Nacional de Estándares y Tecnología (NIST).

El NIST es una agencia gubernamental no reguladora del Departamento de Comercio de EE. UU. cuyo objetivo es ayudar a las empresas a entender, gestionar y reducir mejor los riesgos de ciberseguridad para proteger las redes y los datos. Han publicado un par de guías exhaustivas muy recomendables sobre el zero trust:

NIST SP800-207: Zero Trust Architecture

NIST SP 800-207, arquitectura Zero Trust (enlace externo a ibm.com) fue la primera publicación en establecer las bases para la arquitectura zero trust. Proporciona la definición de zero trust como conjunto de principios rectores (en lugar de tecnologías e implementaciones específicas) e incluye ejemplos de arquitecturas zero trust.

NIST SP 800-207 hace hincapié en la importancia de la monitorización continua y la toma de decisiones adaptativas y basadas en el riesgo. Recomiendan implementar una arquitectura zero trust con los siete pilares del zero trust (conocidos tradicionalmente como los siete principios básicos del zero trust)

Los siete pilares del zero trust

1. Todas las fuentes de datos y servicios informáticos se consideran recursos.
2. Toda la comunicación está protegida, independientemente de la ubicación de la red.
3. El acceso a los recursos individuales de la empresa se concede por sesión.
4. El acceso a los recursos está determinado por una política dinámica (incluido el estado observable de la identidad del cliente, la aplicación o el servicio y el activo solicitante) y puede incluir otros atributos de comportamiento y entorno.
5. La empresa monitoriza y mide la posición de integridad y seguridad de todos los activos propios y asociados.
6. Todas las autenticaciones y autorizaciones de recursos son dinámicas y se aplican estrictamente antes de permitir el acceso.
7. La empresa recopila toda la información posible sobre el estado actual de los activos, la infraestructura de red y las comunicaciones y la utiliza para mejorar su posición de seguridad.

En general, NIST SP 800-207 promueve un enfoque general de zero trust que se basa en los principios de privilegios mínimos, microsegmentación y monitorización continua, alentando a las organizaciones a implementar un enfoque de seguridad en capas que incorpore varios controles y tecnologías para protegerse contra amenazas.

NIST SP 1800-35B, Implementing a Zero Trust Architecture

NIST SP 1800-35B, Implementing a Zero Trust Architecture (enlace externo a ibm.com) es la otra publicación altamente recomendada de NIST y se compone de dos temas principales:

1. Retos de la seguridad de las TI para los sectores público y privado.
2. Guía práctica para implementar una arquitectura zero trust en entornos empresariales y flujos de trabajo con enfoques basados en estándares, utilizando tecnología disponible en el mercado.

La publicación correlaciona los retos de la seguridad de las TI (aplicables a los sectores público y privado) con los principios y componentes de una arquitectura zero trust para que las organizaciones puedan, en primer lugar, autodiagnosticar adecuadamente sus necesidades. A continuación, pueden adoptar los principios y componentes de una arquitectura zero trust para satisfacer las necesidades de su organización. Por lo tanto, NIST SP 1800-35B no identifica tipos específicos de modelos zero trust.

El NIST aprovecha el desarrollo iterativo para las cuatro arquitecturas zero trust que ha implementado, lo que les permite facilidad y flexibilidad para realizar mejoras incrementales y tener continuidad con el marco zero trust a medida que evoluciona con el tiempo.

Las cuatro arquitecturas zero trust implementadas por NIST son las siguientes:

1. Implementación basada en agentes/pasarelas de dispositivos.
2. Implementación basada en enclaves.
3. Implementación basada en el portal de recursos.
4. Aislamiento de procesos de aplicaciones de dispositivos.

El NIST tiene alianzas estratégicas con muchas organizaciones tecnológicas (como IBM) que colaboran para mantenerse a la vanguardia de estos cambios y amenazas emergentes.

La colaboración permite a IBM priorizar el desarrollo para garantizar que las soluciones tecnológicas se alinean con los siete dogmas y principios básicos del zero trust, asegurando y protegiendo los sistemas y datos de los clientes de IBM.

Obtenga más información sobre la importancia del zero trust en el informe "Cost of a Data Breach" 2022 de IBM o póngase en contacto directamente con uno de los expertos en zero trust de IBM.

• Implemente una estrategia zero trust para sus transferencias de archivos
• Formación sobre los principios del zero trust de IBM Security
• NIST SP 800-207, Zero Trust Architecture (enlace externo a ibm.com)
• NIST Special Publication (SP) 1800-35B, Implementing a Zero Trust Architecture (enlace externo a ibm.com)