En este artículo el ingeniero Jorge Gomez, hace una reflexión sobre el denominado Modelo de Confianza Cero que comprende un conjunto de principios de diseño y operación que buscan prevenir el acceso no autorizado a los recursos de la organización.
Qué es el modelo de Confianza cero y cómo puede ayudarnos a mejorar la postura en seguridad
Durante los últimos años se han visto grandes cambios en la forma en que las organizaciones alojan e interactúan con su infraestructura: la natural movilización de servicios e infraestructura a la nube, trabajadores remotos, tecnologías más complejas de administrar.. Estos cambios introdujeron complejidad y fortalecieron amenazas que, aunque existentes previamente, representan ahora riesgos mayores para las empresas.
En respuesta a esa complejidad, modelos como el de confianza cero están siendo adoptados para ayudar a mitigar amenazas asociadas a esos nuevos cambios. Incluso, algunos de los elementos de este modelo ya pueden estar implementados parcialmente en nuestras organizaciones, sin ser totalmente conscientes que pertenecen a un paradigma de seguridad complementario que fortalece nuestra postura en seguridad.
Las tradicionales defensas perimetrales
Con el esquema perimetral tradicional, la red de la organización se segmenta en diferentes zonas, cada una con restricciones y privilegios. Dentro de dichas zonas, los servicios, las aplicaciones y los usuarios son considerados confiables y heredarán en la mayoría de los casos los mismos permisos y privilegios de dicha zona. Esto representa un problema en el caso en que un atacante obtenga acceso a la red, por lo que ha sido una de las falencias conocidas de este modelo, presente durante mucho tiempo.
Más aún, con servicios, aplicaciones y usuarios en diferentes ubicaciones y con diferentes requerimientos de acceso a la información, los perímetros no son fácilmente definibles y las fronteras se vuelven mucho más difusas, haciendo que las nuevas amenazas sean un tanto más difíciles de mitigar.
El modelo de Confianza Cero
Aunque el modelo de confianza cero no es algo nuevo, los cambios ocurridos durante los últimos años han hecho que su aplicación pueda otorgar grandes beneficios en la mitigación de amenazas al interior de la organización.
El modelo de confianza cero comprende un conjunto de principios de diseño y operación que buscan prevenir el acceso no autorizado a los recursos de la organización, aplicando controles de acceso tan granulares como sea posible. Así, y al igual que en otros modelos, no es la compra de una tecnología específica lo que nos ayudará a lograr los objetivos de seguridad, sino la aplicación de principios, políticas y una mejora continua en la gestión de ciberseguridad.
La división en este caso no está dada en segmentos de red con diferentes niveles de privilegios, sino en sujetos, recursos y la necesidad de acceso entre ellos (siempre con los privilegios mínimos) para cumplir su misión. Los sujetos corresponden a usuarios, hosts y aplicaciones que, en conjunto y como un único ente, desean acceder a un repositorio de información, un servicio u otros elementos de la red (llamados recursos). Este acceso requiere de forma obligatoria la autenticación y la autorización de los sujetos que solicitan acceso y abarca, entre otras cosas, la gestión de la identidad, las credenciales, el acceso, las operaciones, los endpoints, los ambientes de alojamiento y otros componentes de la infraestructura.
Una de las principales premisas de la confianza cero es que el adversario ya está presente en el ambiente y queremos minimizar su impacto. En consecuencia, todo sujeto y recurso en la organización debe ser tratado como no confiable debido a que no hay ninguna garantía de confianza basándose únicamente en la pertenencia de los datos o la ubicación física o de red de un usuario. Por lo tanto, la confianza debe ser evaluada continuamente.
Principios de la arquitectura de confianza cero
Una arquitectura de confianza cero tiene idealmente como metas los siguientes principios:
1. Las fuentes de datos y servicios son considerados recursos: diferentes clases de dispositivos pueden estar en la categoría de recursos dependiendo de las decisiones de negocio.
2. Toda comunicación debe estar asegurada, no importa su ubicación en la red: recalcando, la ubicación de un dispositivo no es fuente de confianza. Todos los mecanismos existentes deben ser usados para proteger la confidencialidad, integridad y disponibilidad de las comunicaciones.
3. El acceso a un recurso se da con base en la sesión: la autenticación y autorización obviamente se realiza antes de garantizar el acceso a un recurso específico, siempre con los privilegios mínimos. Dicha confianza sobre el acceso dado a un recurso no garantiza el acceso a diferentes recursos, pues estos deben tener siempre el mismo proceso de validación y verificación.
4. El acceso a un recurso es determinado por una política dinámica (incluyendo el estado actual del cliente, aplicación o servicio y el activo solicitado) y debe incluir otros atributos del ambiente y comportamiento: la caracterización del sujeto puede ser algo importante al interior de la organización al igual que hacemos analítica detallada sobre el comportamiento de un cliente. El comportamiento -que puede estar por fuera de lo que se considera normal para el usuario específico-, el estado del dispositivo en que se intenta acceder -tal vez con alguna vulnerabilidad conocida bajo ataque-, las políticas y algunas características situacionales -como estar ante un evento de seguridad- pueden ser usadas para determinar si se aprueba o deniega el acceso a un recurso dado.
5. La empresa monitorea y mide la integridad y postura de seguridad de todos los activos propios (o tercerizados): es necesario establecer estrategias de mitigación y diagnóstico continuo para determinar el estado de un recurso. Por ejemplo, si un activo tiene indicios de estar comprometido, puede ser tratado de forma diferente.
6. La autenticación y autorización de los recursos son dinámicamente y estrictamente aplicadas antes de permitir su acceso: debe haber un ciclo continuo de acceso, escaneo, evaluación de amenazas, y mejora en las comunicaciones y su protección. Para esto, se espera que una implementación de la arquitectura de Confianza Cero tenga gestión de activos y gestión de identidad, credenciales y acceso.
7. La empresa recolecta tanta información como sea posible sobre los estados actuales de los activos, infraestructura de redes y comunicaciones: esta información puede ser usada para mejorar los procesos y políticas, y la forma como están siendo aplicadas.
Conclusiones
El modelo y la arquitectura de Confianza Cero, correctamente acogidos e implementados, pueden apoyar en la reducción de algunos riesgos latentes en las nuevas formas de trabajar en las empresas. Posiblemente, parte de los principios del modelo de Confianza Cero ya estén siendo aplicados en su organización y pueda nutrirse de un enfoque más profundo en la implementación de este.
Lo importante, es entender que Confianza Cero no entra necesariamente en conflicto con la definición de perímetro de seguridad de una organización y puede coexistir, protegiendo de forma más granular el acceso a los recursos de su empresa
Si deseas tener siempre a la mano el artículo escrito por nuestro ingeniero Jorge Gómez, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.
Referencias:
NIST 800-207. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
Consúltenos vía email a: info@cyte.co acerca de las preguntas que pueda tener sobre cómo puede adquirir la herramienta Crypto-Vault® para cifrado y descifrado de documentos sensibles de su organización.