El concepto de la confianza cero

La confianza cero es un enfoque que se utiliza para diseñar las arquitecturas de seguridad y se basa en la premisa de que ninguna interacción es confiable desde el principio. Esto difiere de las arquitecturas tradicionales, las cuales verifican si la comunicación comienza dentro de un firewall para determinar su confiabilidad. En concreto, la confianza cero tiene como objetivo subsanar las debilidades de las arquitecturas de seguridad que dependen de los modelos de confianza implícita y la autenticación con contraseña de un solo uso.

El aumento de la popularidad de esta arquitectura se debe a que el panorama global de las amenazas ha evolucionado, hecho que desafía las suposiciones sobre la confiabilidad inherente de las actividades dentro de una red, que se han mantenido durante mucho tiempo. Los criminales cibernéticos organizados pueden reclutar a miembros del personal, lo cual aumenta el riesgo de amenazas internas, y encontrar nuevas maneras de penetrar la capa externa de las arquitecturas de seguridad tradicionales. Asimismo, las herramientas de piratería sofisticadas y las plataformas comercializadas de ransomware como servicio son cada vez más accesibles, lo cual facilita el trabajo de los nuevos criminales y terroristas cibernéticos, cuya motivación es obtener dinero. Todas estas amenazas pueden dar lugar a la transmisión no autorizada de datos valiosos, interrumpir las operaciones empresariales y comerciales, y causar un impacto en la vida de las personas.

Ante este nuevo panorama de amenazas, el Gobierno federal de Estados Unidos lanzó un decreto donde se estipula que implementará una arquitectura de confianza cero, y muchas empresas evalúan los costos y los beneficios de adoptar este enfoque.

En el reconocido informe de Forrester Research de 2010 sobre la confianza cero, John Kindervag instó a que se adapte el enfoque tradicional de seguridad de la red "confía, pero verifica" a la estrategia "verifica y nunca confíes". Además, puso en duda el lema actual: "Queremos que nuestra red sea como un M&M, el cual es duro y resistente por fuera, pero blando y flexible por dentro". Lo hizo porque, durante muchas décadas, las empresas se diseñaron de esta manera: con una red interna o de confianza (el centro flexible) separada del mundo externo por un perímetro de firewalls y otras medidas de protección (el exterior resistente). Así, las personas o los extremos que se encontraban dentro del perímetro o conectados de manera remota eran más confiables que los que estaban fuera de él.

Si bien este enfoque se sigue utilizando en la actualidad, podría decirse que nunca fue el ideal. Este tipo de arquitecturas facilita el desplazamiento por la red interna una vez dentro de ella, dado que los usuarios, los dispositivos, los datos y demás recursos se encuentran ligeramente separados. Los atacantes cibernéticos se sirven de este diseño: primero, obtienen acceso a uno o varios extremos internos u otros recursos y, luego, se desplazan lateralmente a través de la red, desde donde sacan provecho de los puntos vulnerables, transmiten información no autorizada y lanzan otros ataques.

Esta arquitectura no solo es vulnerable frente a los ciberataques sofisticados, sino que también se vuelve más precaria a medida que las redes se expanden para incluir una gran cantidad de extremos, lo cual precisa que los usuarios obtengan acceso remoto desde diversas ubicaciones a una mayor cantidad de recursos compuestos por muchos microservicios. De hecho, a partir de la pandemia de COVID-19, se ha prestado mayor atención al problema de la confianza, puesto que siguen aumentando las cargas de trabajo en los entornos de nube y que cada vez son más las personas que trabajan de forma remota.

Para poder gestionar los puntos vulnerables de este entorno, las empresas están migrando desde las redes virtuales privadas (VPN), las cuales garantizan el acceso seguro a toda la red, hacia un tipo de acceso de confianza cero (ZTNA) más detallado, el cual segmenta el acceso y limita los permisos de los usuarios a ciertos servicios y aplicaciones. El enfoque de microsegmentación permite limitar los movimientos laterales de los atacantes, reducir la superficie de ataque y frenar el impacto de las filtraciones de datos. No obstante, las empresas que deseen adoptar este modelo de protección deberán aplicar la filosofía "verifica y nunca confíes" en toda la arquitectura de seguridad.

Los cimientos del modelo de seguridad de confianza cero son el reemplazo del perímetro de protección por un sistema de seguridad en varios niveles y el acceso con mínimos privilegios, los cuales protegen la información confidencial, los recursos y los servicios de los puntos vulnerables propios de perímetro y de las arquitecturas de confianza implícita.

Reemplazo del perímetro de protección por un sistema de seguridad en varios niveles: los perímetros geográficos ya no definen a las empresas. Los usuarios operan desde diferentes ubicaciones y extremos, y acceden a los recursos desde uno o más entornos operativos, como las soluciones de nube y de software como servicio (SaaS), las cuales generalmente no pertenecen a la empresa de TI ni están bajo su control. Este método permite abordar la separación entre la confianza y la ubicación.

Privilegios mínimos: todas las interacciones se vuelven sospechosas cuando el nombre o la ubicación no generan confianza. Como resultado, las empresas deben decidir a cuáles les otorgará acceso, y tener en cuenta los beneficios y los riesgos que ello conlleva. El privilegio mínimo consiste en restringir el acceso solo a los recursos que sean completamente necesarios para realizar una tarea en particular. Cada solicitud de acceso debe ser validada de forma dinámica mediante la gestión de identidades y los controles de acceso que tengan en cuenta los riesgos y el contexto.

Si decide implementar la arquitectura de confianza cero, no será necesario que reemplace por completo las redes actuales ni que adquiera una enorme cantidad de tecnologías nuevas. Al contrario, el marco debe reforzar las prácticas y herramientas de seguridad que se implementaron anteriormente. Muchas empresas cuentan con todo lo necesario para esta arquitectura y, en sus operaciones diarias, aplican las prácticas que la respaldan.

Por ejemplo, es posible que los elementos esenciales que se requieren para adoptar la estrategia de confianza cero de manera exitosa ya formen parte de la arquitectura de seguridad tradicional. Aquí nombramos algunos de ellos:

• Gestión de identidades y de acceso

• Autorización

• Decisiones automatizadas sobre las políticas

• Aplicación de parches en los recursos

• Supervisión permanente con las operaciones que se registran y analizan

• Automatización máxima de las actividades repetibles y propensas a los errores humanos

• Análisis del comportamiento e información sobre las amenazas para mejorar la seguridad de los recursos

En la actualidad, la confianza cero se utiliza en muchos niveles y en una gran variedad de entornos. Ante todo, los usuarios principales requieren que se apliquen las prácticas de seguridad actuales, así como los controles empresariales y de los procesos. Por su lado, las entidades federales, como el Departamento de Defensa, el Departamento de Seguridad Nacional y la Comunidad de Inteligencia de Estados Unidos, para las cuales la protección es un elemento fundamental de su cultura, ya han hecho avances considerables en torno a la implementación del modelo de seguridad de confianza cero.

Muchas empresas dependen de los elementos open source y las herramientas de terceros para desarrollar el sistema de software y así cumplir con las exigencias del mercado y agilizar las iniciativas de transformación digital. Sin embargo, los malhechores que buscan infiltrarse en la cadena de suministro del software pueden comprometer la seguridad de los elementos y las dependencias open source al inicio del ciclo de vida del desarrollo, lo cual produce ataques cibernéticos y demoras en los lanzamientos de las aplicaciones. Un enfoque de confianza cero es fundamental para asegurar la cadena de suministro del software y garantizar que los problemas se detecten temprano cuando su solución es menos costosa.

Las empresas pueden reducir los riesgos de los ataques de la cadena de suministro con el uso de un código open source seguro, el diseño de la seguridad dentro de las imágenes de contenedores, el refuerzo del canal de CI/CD y el control de las aplicaciones en los tiempos de ejecución.

Por lo general, el modelo de seguridad de confianza cero se describe de forma abstracta, a diferencia de los modelos de acceso controlado más formalizados, como Bell-LaPadula. Distintos grupos u organismos normativos adhieren a diferentes conjuntos de elementos. Un conjunto típico podría ser el siguiente:

• Fuente de identidad única y sólida para los usuarios y las entidades con identidad digital (NPE)

• Autenticación de los usuarios y las máquinas

• Contexto adicional, como el cumplimiento de las políticas y el estado del dispositivo

• Políticas de autorización para acceder a una aplicación o un recurso

• Políticas de control de acceso dentro de una aplicación

Todos estos elementos se centran en gran medida en la implementación de las políticas de acceso basadas en la identidad, las cuales tienen activadas de forma predeterminada las opciones "deny-all" (rechazar todo) y "allow-by-exception" (permitir en casos excepcionales).

Para poder adherirse a los principios de confianza cero, los límites deben ser lo más estrechos posible, teniendo en cuenta que, por definición, dentro de ellos las personas son confiables y es posible omitir, eludir o restringir los controles de acceso. Puesto que solo se deben autorizar las funciones empresariales específicas, debe reducirse todo límite que permita acceder a otras distintas.

No es necesario que todos los límites de la arquitectura del sistema se rijan por el criterio de confianza cero. Aquellos que sean comunes, como el filtrado de direcciones IP no deseadas, la autorización para que determinados protocolos accedan a una red o la limitación del uso de las redes sociales, pueden superponerse con el modelo de confianza cero y seguir desempeñando un papel importante en la estrategia de seguridad. Sin embargo, la principal diferencia entre ambas arquitecturas es que en las de redes tradicionales se pueden usar los límites comunes para definir el nivel de confianza. Únicamente los límites que cumplan los principios de confianza cero deberían tener un papel en la definición del nivel.

En el modelo de confianza cero siempre debe mantenerse la separación entre los diferentes sujetos, es decir que en todo momento hay un límite de confianza entre ellos y, por lo tanto, toda interacción requiere la autenticación de varios factores (MFA) y la autorización directa. El hecho de que dos sujetos estén en la misma red (una situación muy usual), estén disponibles en la misma ubicación física o formen parte de la misma línea de negocio o sistema integrado no garantiza una confianza implícita.

La aplicación de estos límites de confianza permite que funcione el modelo. Por lo general, se lleva a cabo interponiendo un punto de aplicación entre todas las interacciones posibles con todos los recursos. A medida que estas interacciones se modifican, también lo hacen las identidades, el estado de los recursos y otros aspectos del sistema. Debido a este cambio permanente, es necesario evaluar y supervisar con la misma constancia las identidades y los recursos, así como también aplicar la autenticación y la autorización con flexibilidad.

Aún hay muchas áreas donde no es posible implementar estos aspectos porque son muy limitados. Entre los desafíos comunes se encuentran el uso constante de la tecnología heredada, los procesos empresariales no consolidados o la escasa importancia que se le da a la seguridad como función empresarial básica.

Es necesario que los líderes y los especialistas en seguridad modifiquen su enfoque si quieren adoptar la confianza cero. Por un lado, los líderes deben evaluar los riesgos que conlleva mantener las arquitecturas obsoletas de seguridad. Por el otro, los equipos de tecnología operativa (TO) y de TI deben poder identificar las oportunidades para aprovechar las inversiones actuales y reducir los costos de implementación de este modelo, así como reconocer cuándo deben dar prioridad a nuevas inversiones. Sin embargo, la realidad es que en algunos protocolos y dispositivos nunca será posible utilizar el modelo de confianza cero. En esos casos, se deberá decidir si reemplazarlos o conservarlos. Además, si determinados sistemas no pueden adoptar este enfoque en su totalidad, los especialistas en TO deben plantearse cuáles son los controles de eliminación de riesgos y si se pueden aplicar controles de protección adicionales para reducir su exposición.

La adopción de la estrategia que consiste en "rechazar todo" o "verificar siempre", premisas básicas de la confianza cero, implica que los equipos se comprometan a implementar este sistema y mantenerlo en el tiempo, mientras procuran que nadie en la empresa intente burlar esta arquitectura de seguridad mediante la creación de ofertas de "software no aprobado por la empresa".

Red Hat lo ayuda a adoptar el modelo de confianza cero. En primera instancia, las empresas deben comprender esta metodología y comprometerse a implementarla. Uno de los requisitos previos fundamentales para que las partes interesadas avancen en su adopción es que conozcan los conceptos generales de la ciberseguridad. Esto les permitirá entender la naturaleza de los entornos de amenaza actuales, así como la importancia de las prácticas de seguridad vigentes, las cuales están incompletas si no se aplican los principios de la confianza cero. Red Hat ofrece experiencias personalizadas de capacitación y formación mediante Red Hat Open Innovation Labs u otros servicios específicos de Red Hat Services.