Modelo de seguridad de confianza cero

Modelo de seguridad de sistemas

El modelo de seguridad de confianza cero , también conocido como arquitectura de confianza cero ( ZTA ), y en ocasiones conocido como seguridad sin perímetro , describe un enfoque para la estrategia, el diseño y la implementación de sistemas de TI . El concepto principal detrás del modelo de seguridad de confianza cero es "nunca confiar, siempre verificar", lo que significa que no se debe confiar en los usuarios y dispositivos de forma predeterminada, incluso si están conectados a una red autorizada, como una LAN corporativa , e incluso si estuvieran conectados a una red autorizada, como una LAN corporativa. previamente verificado.

ZTA se implementa estableciendo una sólida verificación de identidad, validando el cumplimiento del dispositivo antes de otorgar acceso y garantizando acceso con privilegios mínimos solo a recursos explícitamente autorizados. La mayoría de las redes corporativas modernas constan de muchas zonas interconectadas, servicios e infraestructura en la nube, conexiones a entornos remotos y móviles, y conexiones a TI no convencionales, como dispositivos IoT .

El razonamiento para la confianza cero es que el enfoque tradicional (confiar en usuarios y dispositivos dentro de un "perímetro corporativo" teórico, o usuarios y dispositivos conectados a través de una VPN ) no es suficiente en el complejo entorno de una red corporativa. El enfoque de confianza cero aboga por la autenticación mutua , incluida la verificación de la identidad y la integridad de los usuarios y dispositivos sin importar su ubicación, y la provisión de acceso a aplicaciones y servicios basándose en la confianza de la identidad del usuario y del dispositivo y del estado del dispositivo en combinación con la autenticación del usuario . ^[1] La arquitectura de confianza cero se ha propuesto para su uso en áreas específicas como las cadenas de suministro. ^{[2] [3]}

Los principios de confianza cero se pueden aplicar al acceso a los datos y a la gestión de los mismos. Esto genera una seguridad de datos de confianza cero , donde cada solicitud de acceso a los datos debe autenticarse dinámicamente y garantizar el acceso menos privilegiado a los recursos. Para determinar si se puede otorgar acceso, se pueden aplicar políticas basadas en los atributos de los datos, quién es el usuario y el tipo de entorno utilizando el control de acceso basado en atributos (ABAC) . Este enfoque de seguridad de datos de confianza cero puede proteger el acceso a los datos. ^[4]

Historia

En abril de 1994, Stephen Paul Marsh acuñó el término "confianza cero" en su tesis doctoral sobre seguridad informática en la Universidad de Stirling . El trabajo de Marsh estudió la confianza como algo finito que puede describirse matemáticamente, afirmando que el concepto de confianza trasciende factores humanos como la moralidad , la ética , la legalidad , la justicia y el juicio . ^[5]

Los problemas del modelo de red Smartie o M&M (la descripción precursora de la desperimetrización ) fueron descritos por un ingeniero de Sun Microsystems en un artículo de Network World en mayo de 1994, quien describió la defensa perimetral de los cortafuegos, como una coraza dura alrededor de una blanda. centro, como un huevo Cadbury. ^[6]

En 2001 se publicó la primera versión del OSSTMM (Manual de metodología de pruebas de seguridad de código abierto) y se centró en cierta medida en la confianza. La versión 3, que salió alrededor de 2007, tiene un capítulo completo sobre Confianza que dice "La confianza es una vulnerabilidad" y habla sobre cómo aplicar los controles OSSTMM 10 según los niveles de Confianza.

En 2003, el Foro de Jericó de este año destacó los desafíos que implica definir el perímetro de los sistemas de TI de una organización , discutiendo la tendencia de lo que entonces se llamó " desperimetrización ".

En 2009, Google implementó una arquitectura de confianza cero denominada BeyondCorp .

En 2010, el analista John Kindervag de Forrester Research utilizó el término modelo de confianza cero para denotar programas de ciberseguridad y control de acceso más estrictos dentro de las corporaciones. ^{[7] [8] [9]}

Sin embargo, se necesitaría casi una década para que las arquitecturas de confianza cero prevalecieran, impulsadas en parte por una mayor adopción de servicios móviles y en la nube. ^{[ cita necesaria ]}

En 2018, el trabajo realizado en los Estados Unidos por investigadores de ciberseguridad del NIST y NCCoE condujo a la publicación de NIST SP 800-207 – Zero Trust Architecture. ^{[10] [11]} La publicación define la confianza cero (ZT) como una colección de conceptos e ideas diseñadas para reducir la incertidumbre al hacer cumplir decisiones precisas de acceso por solicitud en sistemas y servicios de información frente a una red que se considera comprometida. Una arquitectura de confianza cero (ZTA) es un plan de seguridad cibernética de una empresa que utiliza conceptos de confianza cero y abarca relaciones de componentes, planificación del flujo de trabajo y políticas de acceso. Por lo tanto, una empresa de confianza cero es la infraestructura de red (física y virtual) y las políticas operativas que existen para una empresa como producto de un plan de arquitectura de confianza cero.

Hay varias maneras de implementar todos los principios de ZT; una solución ZTA completa incluirá elementos de los tres:

• Uso de gobernanza de identidad mejorada y controles de acceso basados ​​en políticas.
• Usando microsegmentación
• Usar redes superpuestas o perímetros definidos por software

En 2019, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido recomendó que los arquitectos de redes consideraran un enfoque de confianza cero para las nuevas implementaciones de TI, particularmente cuando se planea un uso significativo de servicios en la nube. ^{[12] El} NCSC adopta un enfoque alternativo pero coherente al identificar los principios clave detrás de las arquitecturas de confianza cero:

• Fuente única y sólida de identidad del usuario
• Autenticacion de usuario
• Autenticación automática
• Contexto adicional, como el cumplimiento de políticas y el estado del dispositivo.
• Políticas de autorización para acceder a una aplicación
• Políticas de control de acceso dentro de una aplicación

Ver también

• Confía, pero verifica  – proverbio ruso
• Radio de la explosión
• Fatiga de contraseña
• Borde de servicio de acceso seguro
• Detección y respuesta a amenazas de identidad

Referencias

1. "Mutual TLS: protección de microservicios en Service Mesh". La nueva pila . 2021-02-01 . Consultado el 20 de febrero de 2021 .
2. Collier, Zachary A.; Sarkis, José (3 de junio de 2021). "La cadena de suministro de confianza cero: gestión del riesgo de la cadena de suministro en ausencia de confianza". Revista Internacional de Investigación sobre Producción . 59 (11): 3430–3445. doi : 10.1080/00207543.2021.1884311. ISSN  0020-7543. S2CID  233965375.
3. hacer Amaral, Thiago Melo Stuckert; Gondim, João José Costa (noviembre 2021). "Integración de Zero Trust en la seguridad de la cadena de suministro cibernética". 2021 Taller sobre Redes de Comunicaciones y Sistemas de Energía (WCNPS) . págs. 1–6. doi :10.1109/WCNPS53648.2021.9626299. ISBN 978-1-6654-1078-6. S2CID  244864841.
4. Yao, Qigui; Wang, Qi; Zhang, Xiaojian; Fei, Jiaxuan (4 de enero de 2021). "Sistema de Autorización y Control de Acceso Dinámico basado en arquitectura Zero-trust". 2020 Congreso Internacional sobre Control, Robótica y Sistemas Inteligentes . CCRIS '20. Nueva York, NY, EE.UU.: Asociación de Maquinaria de Computación. págs. 123-127. doi :10.1145/3437802.3437824. ISBN 978-1-4503-8805-4. S2CID  230507437.
5. Marsh, Stephen (1994), Formalizar la confianza como concepto computacional, p. 56 , recuperado el 22 de julio de 2022
6. "Cuidado con los piratas informáticos de Internet: las LAN corporativas están protegidas". Mundo de la Red . IDG Network World Inc. 23 de mayo de 1994. ISSN  0887-7661 - vía Google Books.
7. Loten, Angus (1 de mayo de 2019). "Akamai apuesta por el enfoque de seguridad 'Confianza cero'". Wall Street Journal . Consultado el 17 de febrero de 2022 .
8. Higgins, Kelly Jackson. "Forrester impulsa el modelo de seguridad 'Zero Trust'". Lectura oscura . Informa . Archivado desde el original el 26 de agosto de 2021 . Consultado el 17 de febrero de 2022 .
9. Kindervag, John (5 de noviembre de 2010). "Integre la seguridad en el ADN de su red: la arquitectura de red Zero Trust" (PDF) . Investigación de Forrester . Consultado el 22 de julio de 2022 .
10. Centro Nacional de Excelencia en Ciberseguridad . "Implementación de una arquitectura de confianza cero". NIST . Consultado el 22 de julio de 2022 .
11. Rosa, Scott; Borchert, Oliver; Mitchell, Stu; Connelly, Sean. "Arquitectura de confianza cero" (PDF) . nvlpubs.nist.gov . NIST . Consultado el 17 de octubre de 2020 .
12. "Arquitecturas de red". www.ncsc.gov.uk. ​Consultado el 25 de agosto de 2020 .