|

Cómo construir una arquitectura de visibilidad Zero Trust

Con el fin de dar respuesta a la rápida evolución de las ciberamenazas, el concepto Zero Trust, que surgió hace más de 15 años, se ha convertido en una prioridad estratégica para las redes de los organismos gubernamentales. Según revelan los informes de Defense Innovation Board (DIB) y de American Council for Technology – Industry Advisory Council–, el gobierno federal está incrementando su inversión de ciberseguridad en Zero Trust.

Pero, ¿qué es Zero Trust (ZT) exactamente? Este concepto se aleja de la ciberseguridad basada en el perímetro y sitúa el foco en el acceso individual del usuario. Entre sus principales características, Zero Trust permite reducir el alcance de las defensas de la red y aumentar la protección de los recursos a medida que se van extendiendo a través de una red cada vez más distribuida. Suena bastante fácil, ¿verdad?

Aunque existen muchas formas de implementar estrategia Zero Trust, en este artículo explicaremos algunos conceptos principales de la arquitectura, incluyendo los requisitos de red, el framework y la importancia de la visibilidad.

Los 10 principales requisitos de una red Zero Trust

En un entorno Zero Trust, todo el tráfico debe ser inspeccionado, registrado en la red y analizado para identificar y reaccionar ante posibles ataques. Cuando se construye una arquitectura Zero Trust, la red debe contar con unos requisitos adicionales:

  1. Disponer de una conectividad de red básica: La red de área local (LAN), controlada o no por la empresa, proporciona un enrutamiento y una infraestructura básica (por ejemplo, DNS).
  2. Ser capaz de distinguir entre los activos que son propiedad de la empresa o están gestionados por ella de su postura de seguridad.
  3. Capturar todo el tráfico de red: Registrar los paquetes en el plano de datos y filtrar los metadatos relacionados con la conexión siempre que sea necesario para actualizar las políticas de forma dinámica.
  4. Limitar los recursos a los usuarios que no dispongan de un acceso a un Punto de Aplicación de Políticas (PEP, por sus siglas en inglés).
  5. Separar el plano de datos o de tráfico y control de aplicaciones –que es el motor de la política– del administrador de la política y los PEP.
  6. Para tener acceso a los recursos, los usuarios deben acceder previamente al componente PEP. Esto podría realizarse a través de un portal web, un dispositivo de red o un agente de software que permita la conexión.
  7. El PEP es el único componente que accede al administrador de política para establecer vías de comunicación entre los clientes y los recursos. Todo el tráfico de los procesos de negocio pasa a través de uno o más PEP.
  8. Los activos remotos deben ser capaces de acceder a los recursos sin necesidad de conectarse a la red de la empresa (es decir, a la red privada virtual o VPN) para acceder a los servicios utilizados por la empresa y alojados en un proveedor cloud público (por ejemplo, el correo electrónico).
  9. La arquitectura Zero Trust utilizada para respaldar las peticiones de acceso debe ser escalable para tener en cuenta los cambios en la carga del proceso.
  10. Algunos activos no podrán llegar a ciertas PEP debido a factores favorables posiblemente basados en la localización (geolocalización o localización de red), el tipo de dispositivo u otros criterios.

Framework de Zero Trust

Después de entender los requisitos de la red para un entorno Zero Trust, es necesario empezar a trazar un mapa de los diversos componentes de la red. El modelo de marco lógico según el National Institute of Standards and Technology (NIST) es focalizarse en la forma en que se comunican entre sí el motor de las políticas, el administrador y la aplicación de dichas políticas.

El motor de las políticas permite a los usuarios acceder a cada recurso, en base a la decisión tomada por la organización. Por su parte, el administrador de las políticas debe ejecutar y crear la credencial de autenticación necesaria una vez que se permite al usuario acceder a un recurso determinado. Por último, el punto de aplicación de la política se encarga de las conexiones entre los usuarios y los recursos. Su trabajo es vigilar y determinar el acceso continuo entre ambos.

En este contexto, también se expone la forma en que se integran otros componentes complementarios como el sistema de diagnóstico continuo y de mitigación, el sistema de cumplimiento industrial, Threat Intelligence, las políticas de acceso a los datos, la infraestructura pública de una empresa, el sistema de gestión de identidad, el sistema de información de seguridad y gestión de eventos (SIEM, por sus siglas en inglés), así como los registros de actividad de la red y del sistema.

Visibilidad de Zero Trust

En este sentido, estos registros representan un sistema empresarial que incluye la inspección de activos, tráfico de red, acceso a recursos y otros eventos que proporcionan información en tiempo real (o prácticamente) sobre la postura de seguridad de los sistemas de información de la organización. Mientras que las redes de agencias gubernamentales requerirán un único diseño para satisfacer necesidades específicas, cualquier arquitectura Zero Trust necesitará un tejido de visibilidad para capturar todo el tráfico de la red.

Esta infraestructura, basada en la visibilidad, aprovecha los TAP de red y los Network Packet Brokers (NPB) que, en última instancia, nutren de información a las soluciones de monitoreo y seguridad de la red. De manera que, cuando se implementa, es posible maximizar la eficacia de Zero Trust a través de:

  • Mejorar la evaluación de riesgos: Poder garantizar una visibilidad total del tráfico de red y de los flujos de datos facilita la detección de vulnerabilidades y la gestión de cambios en la superficie de protección.
  • Reducir la complejidad de la red: Los TAP y NPB de red facilitan la utilización de herramientas mediante el balanceo de carga, el filtrado de paquetes y otras características. Además, permiten minimizar el número de herramientas que se necesitan desplegar para incrementar la visibilidad, reduciendo la complejidad en las extensas redes gubernamentales.
  • Actualizar la infraestructura de forma racionalizada: Una capa de visibilidad crea más puntos de acceso a la red y aumenta la capacidad para implementar herramientas de seguridad y monitorización en línea o fuera de banda. Así, en lugar de deshabilitar la red durante largos períodos de tiempo para actualizar los componentes de la infraestructura, se pueden mantener los flujos de datos mientras se realizan cambios en la arquitectura.
  • Mejorar el rendimiento de la herramienta: La única forma de que las herramientas de seguridad y monitoreo proporcionen los mejores resultados es que cuenten con la visibilidad necesaria de cada paquete que circula por la red de una organización. Esta capa de visibilidad de red asegura que cada herramienta se nutre con los bits de datos necesarios para dar soporte a Zero Trust.
  • Aumentar la escalabilidad: Con el tiempo, las redes gubernamentales necesitarán incrementar la velocidad para seguir el ritmo de los casos de uso actuales. Una capa de visibilidad adecuada facilita la planificación de los aumentos de ancho de banda y las demandas de un mayor apoyo al tráfico.  
  • Reducir el número de incumplimientos normativos: Permite adelantarse a los problemas de cumplimiento normativo gracias a que las herramientas de monitoreo y seguridad pueden ver todos los paquetes de datos que circulan por la red.

Cada uno de estos beneficios puede incorporarse a una arquitectura Zero Trust si se utilizan las herramientas adecuadas. Para construir un tejido de visibilidad que soporte la más efectiva arquitectura Zero Trust, es necesario combinar correctamente TAP de red, Network Packet Brokers (NPB), TAP bypass y soluciones de visibilidad en la nube.

Avanzar hacia una estrategia Zero Trust comienza con la implementación de una arquitectura que garantice una visibilidad total de la red, cumpliendo así con los más altos niveles de madurez de ciberseguridad que necesitan las agencias gubernamentales.

Garland Technology está ayudando a las organizaciones a implementar una estrategia Zero Trust. Su portfolio completo de TAPs, Network Packet Brokers, tecnología bypass y soluciones de visibilidad en la nube ayuda a simplificar las actualizaciones de ciberseguridad.

El artículo original en inglés de Harry Berridge lo tienes en Garland

CALENDARIO DE EVENTOS

¿Necesitas más información?


    En cumplimiento del art. 13 del Reglamento (UE) 2016/679 General de Protección de Datos, le informamos de que INGECOM IGNITION tratará sus datos personales con la finalidad de gestionar su consulta. Puede ejercer sus derechos en materia de protección de datos mediante solicitud a nuestro DPO en gdpr@ingecom.net. Puede obtener información adicional sobre el tratamiento de sus datos en nuestra política de privacidad publicada en www.ingecom.net.