La confianza cero es un marco que asume que cada conexión y endpoint son amenazas, tanto externas como internas dentro de la seguridad de la red de una empresa. Permite a las empresas crear una estrategia de TI exhaustiva para abordar las necesidades de seguridad de un entorno de nube híbrida. La confianza cero implementa una protección adaptativa y continua, y proporciona la capacidad de gestionar las amenazas de forma proactiva.

En otras palabras, este enfoque nunca confía en los usuarios, dispositivos o conexiones para ninguna transacción y verificará todos estos para cada transacción. Esto permite a las empresas obtener seguridad y visibilidad en todo su negocio y aplicar políticas de seguridad consistentes, lo que resulta en una detección y respuesta más rápidas a las amenazas.

La confianza cero comenzó en la iniciativa “BeyondCorp” desarrollada por Google en 2010. El objetivo de la iniciativa era proteger el acceso a los recursos en función de la identidad y el contexto, lo que lo apartaba del modelo tradicional de seguridad basado en el perímetro. Esta estrategia permitió a Google proporcionar a los empleados acceso seguro a aplicaciones y datos corporativos desde cualquier lugar, empleando cualquier dispositivo, sin necesidad de una VPN.

En 2014, el analista de Forrester Research John Kindervag acuñó el concepto confianza cero para describir este nuevo paradigma de seguridad en un informe titulado “El modelo de confianza cero de la seguridad de la información”. Propuso un nuevo modelo de seguridad que asume que no se puede confiar en nadie, ya sea dentro o fuera de la red de la organización, sin verificación. El informe describió el modelo de confianza cero basado en dos principios principales: "Nunca confíe, siempre verifique".

Se supone que todos los usuarios, dispositivos y aplicaciones no son de confianza y deben verificarse antes de que se les otorgue acceso a los recursos. El principio de privilegio mínimo significa que a cada usuario o dispositivo se le otorga el nivel mínimo de acceso requerido para realizar su trabajo, y el acceso solo se otorga cuando es necesario.

Desde entonces, el concepto de confianza cero siguió ganando impulso, y muchas organizaciones adoptaron sus arquitecturas para proteger mejor sus activos digitales de las amenazas cibernéticas. Abarca varios principios y tecnologías de seguridad que se implementan para fortalecer la seguridad y reducir el riesgo de violaciones de seguridad.

• Confianza cero basada en la identidad: este modelo se basa en el principio de verificación estricta de la identidad, donde cada usuario o dispositivo es autenticado y autorizado antes de acceder a cualquier recurso. Se basa en la autenticación multifactor, los controles de acceso y los principios de privilegio mínimo.
• Confianza cero basada en la red: se centra en proteger el perímetro de la red segmentando la red en segmentos más pequeños. Su objetivo es reducir la superficie de ataque limitando el acceso a recursos específicos solo a usuarios autorizados. Este modelo emplea tecnologías como cortafuegos, VPN y sistemas de detección y prevención de intrusiones.
• Confianza cero basada en datos: este modelo tiene como objetivo proteger los datos confidenciales cifrándolos y limitando el acceso a los usuarios autorizados. Usa la clasificación y etiquetado de datos, prevención de pérdida de datos y tecnologías de cifrado para proteger los datos en reposo, en tránsito y en uso.
• Confianza cero basada en aplicaciones: se centra en proteger las aplicaciones y sus datos asociados. Asume que todas las aplicaciones no son de confianza y deben verificarse antes de acceder a datos confidenciales. Usa controles a nivel de aplicación, como protección en tiempo de ejecución y uso de contenedores, para proteger contra ataques como la inyección de código y el malware.
• Confianza cero basada en dispositivos: este modelo protege los dispositivos en sí (por ejemplo, teléfonos inteligentes, computadoras portátiles y dispositivos IoT). Asume que los dispositivos pueden ver comprometidos y deben verificar antes de acceder a datos confidenciales. Usa controles de seguridad a nivel de dispositivo, como protección de endpoint, cifrado de dispositivos y capacidades de borrado remoto.

Estos modelos están diseñados para trabajar de manera conjunta con el fin de crear una arquitectura integral de confianza cero que pueda ayudar a las organizaciones a reducir su superficie de ataque, mejorar su postura de seguridad y minimizar el riesgo de violaciones de seguridad. Sin embargo, es importante tener en cuenta que los tipos específicos de modelos de seguridad de confianza cero y su implementación pueden variar según el tamaño de la organización, la industria y las necesidades de seguridad específicas.

La confianza cero se convirtió en un enfoque popular para la ciberseguridad moderna. Ha sido adoptado por muchas organizaciones para hacer frente a la creciente amenaza de ataques cibernéticos y filtraciones de datos en el mundo complejo e interconectado de hoy. Como resultado, muchos proveedores de tecnología desarrollaron productos y servicios diseñados específicamente para admitir arquitecturas de confianza cero.

También hay muchos marcos y normas que las organizaciones pueden usar para aplicar los principios de seguridad de confianza cero en sus estrategias de ciberseguridad con la orientación del Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU.

El NIST es una agencia gubernamental no reguladora del Departamento de Comercio de EE. UU., cuyo objetivo es ayudar a las empresas a comprender, gestionar y reducir mejor los riesgos de ciberseguridad para proteger las redes y los datos. Publicaron un par de guías exhaustivas muy recomendables sobre la confianza cero:

NIST SP 800-207, Zero Trust Architecture

NIST SP 800-207, Zero Trust Architecture (enlace externo a ibm.com) fue la primera publicación en establecer las bases para la arquitectura de confianza cero. Proporciona la definición de confianza cero como un conjunto de principios rectores (en lugar de tecnologías e implementaciones específicas) e incluye ejemplos de arquitecturas de confianza cero.

En el documento NIST SP 800-207 enfatizan la importancia del monitoreo continuo y la toma de decisiones adaptativa y basada en riesgos. Recomiendan implementar una arquitectura de confianza cero con los Siete Pilares de la Confianza Cero (tradicionalmente conocidos como los Siete Principios de la Confianza Cero)

Los siete pilares de la confianza cero

1. Todas las fuentes de datos y servicios informáticos se consideran recursos.
2. Toda la comunicación está protegida independientemente de la ubicación de la red.
3. El acceso a los recursos individuales de la empresa se concede en cada sesión.
4. El acceso a los recursos está determinado por una política dinámica, incluido el estado observable de la identidad del cliente, la aplicación/servicio y el activo solicitante, y puede incluir otros atributos de comportamiento y entorno.
5. La empresa monitorea y mide la integridad y la postura de seguridad de todos los activos propios y asociados.
6. Toda la autenticación y autorización de recursos es dinámica y se aplica estrictamente antes de permitir el acceso.
7. La empresa recopila la mayor cantidad de información posible sobre el estado actual de los activos, la infraestructura de red y las comunicaciones y la emplea para mejorar su postura de seguridad.

En general, en la publicación NIST SP 800-207 se promueve un enfoque global de confianza cero basado en los principios de mínimo privilegio, microsegmentación y monitoreo continuo, alentando a las organizaciones a aplicar un enfoque de seguridad por capas que incorpore múltiples tecnologías y controles para proteger contra las amenazas.

NIST SP 1800-35B, Implementing a Zero Trust Architecture

NIST SP 1800-35B, Implementing a Zero Trust Architecture (enlace externo a ibm.com) es la otra publicación muy recomendada del NIST y consta de dos temas principales:

1. Desafíos de seguridad de TI para los sectores público y privado.
2. Guía práctica para implementar una arquitectura de confianza cero en entornos empresariales y flujos de trabajo con enfoques basados en estándares, utilizando tecnología disponible comercialmente.

La publicación correlaciona los desafíos de seguridad de TI (aplicables a los sectores público y privado) con los principios y componentes de una arquitectura de confianza cero para que las organizaciones puedan primero autodiagnosticar adecuadamente sus necesidades. Luego, pueden adoptar los principios y componentes de una arquitectura de confianza cero para satisfacer las necesidades de su organización. Por lo tanto, NIST SP 1800-35B no identifica tipos específicos de modelos de confianza cero.

El NIST aprovecha el desarrollo iterativo para las cuatro arquitecturas de confianza cero que implementaron, lo que les permite realizar mejoras incrementales con facilidad y flexibilidad y tener continuidad con el marco de confianza cero a medida que evoluciona con el tiempo.

Las cuatro arquitecturas de confianza cero implementadas por el NIST son las siguientes:

1. Despliegue basado en agente de dispositivos/puerta de enlace.
2. Implementación basada en enclaves.
3. Implementación basada en el portal de recursos.
4. Sandboxing de aplicaciones de dispositivos.

El NIST tiene asociaciones estratégicas con muchas organizaciones tecnológicas (como IBM) que colaboran para adelantar a estos cambios y amenazas emergentes.

La colaboración permite a IBM priorizar el desarrollo para garantizar que las soluciones tecnológicas se alineen con los siete postulados y principios de confianza cero, manteniendo seguros y protegiendo los sistemas y datos de los clientes de IBM.

Obtenga más información sobre la importancia de la confianza cero en el Informe del costo de una filtración de datos 2022 de IBM o contacte directamente a uno de los expertos de confianza cero de IBM.

• Implemente una estrategia de confianza cero para sus transferencias de archivos
• Capacitación sobre los principios de confianza cero de IBM Security
• NIST SP 800-207, Zero Trust Architecture (enlace externo a ibm.com)
• Publicación especial (SP) 1800-35B del NIST, Implementing a Zero Trust Architecture (enlace externo a ibm.com)