En este artículo vamos a hacer una introducción al concepto de confianza cero (Zero Trust, ZT) y a su arquitectura (Zero Trust Architecture, ZTA).
A la hora de proteger los activos de nuestra organización, la aproximación más utilizada hasta la fecha es la que está basada en la protección el perímetro, dando por hecho que la confianza de un sujeto, como puede ser un usuario humano o una cuenta de usuario de máquina (o de servicio), viene implícita por la ubicación de dicho sujeto. Es decir, se asume que toda conexión proveniente del interior de la red corporativa es de confianza. Del mismo modo, las amenazas y los riesgos se ubican fuera de la red corporativa, y se utiliza como barrera de protección la seguridad perimetral.
La evolución de la tecnología de la información y de las amenazas nos llevan a un escenario en el que este tipo de aproximación (seguridad basada en el perímetro) ya no es suficiente. El número cada vez mayor de usuarios remotos o la adopción de la nube, entre otros factores, hace casi imposible la identificación de un único perímetro de seguridad, y por lo tanto, aparecen lagunas cuando la protección de nuestros sistemas de información se basan únicamente en la protección del perímetro.
Zero Trust (ZT) aparece como un nuevo modelo de ciberseguridad, focalizado en la protección de los datos y de los servicios, pero que se puede hacer extensible a cualquier tipo de activo. Lo importante es diferenciar bien los conceptos de sujetos y objetos de la red corporativa, donde los sujetos son las entidades que hacen peticiones de acceso a los objetos.
Aunque es un concepto que ha ido tomando más fuerza en los últimos años, no es un concepto nuevo, ya que uno de los fundamentos del ZT, como es el Principio de Mínimo Privilegio (Principle of Least Privilege, PoLP), existe desde hace ya muchos años, desde el inicio de los diseños de los diferentes modelos de seguridad
En el modelo ZT, aunque el sujeto esté ubicado en la red interna no se asume la confianza de éste, existiendo un proceso continuo de autenticación y autorización, para garantizar la postura de seguridad para cada petición.
Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.
Debe estar conectado para enviar un comentario.