Dado que los usuarios han empezado a conectarse a través de dispositivos móviles no gestionados y aplicaciones empresariales conectadas a Internet, cada vez es más necesario aplicar estrategias de seguridad más eficaces, como Zero Trust.
Zero Trust es un concepto propuesto por Forrester Research hace más de una década. El principio fundamental del enfoque de confianza cero es el acceso con mínimos privilegios, que asume que ningún usuario o aplicación debe ser intrínsecamente de confianza.
En esencia, Zero Trust parte de la base de que todo es potencialmente hostil para una organización y que sólo puede establecerse una conexión segura mediante la gestión y el uso eficaces de la identidad del usuario y el contexto de uso, como la ubicación del usuario, la postura de seguridad del dispositivo de punto final y la aplicación o el servicio solicitados.
Zero Trust amplía la protección y permite la modernización
La confianza cero no se limita a una única tecnología, como la identidad y el acceso remoto de los usuarios o la segmentación de la red. Zero Trust es una estrategia, una base sobre la que construir un ecosistema de ciberseguridad.
Básicamente, hay tres principios en su definición:
Finalizar todas las conexiones
Muchas tecnologías, como los cortafuegos, utilizan un enfoque de “paso a través”, lo que significa que los archivos se envían a sus destinatarios al mismo tiempo que se inspeccionan.
Si se detecta un archivo malicioso, se enviará una alerta, pero a menudo puede ser demasiado tarde. Por el contrario, la confianza cero termina todas las conexiones para poder retener e inspeccionar los archivos desconocidos antes de que lleguen al punto final.
Basada en una arquitectura proxy, Zero Trust funciona en línea e inspecciona todo el tráfico a velocidad de línea, incluido el tráfico cifrado, realizando análisis exhaustivos de datos y amenazas.
Proteger los datos mediante políticas basadas en el contexto
La confianza cero aplica la identidad del usuario y la postura del dispositivo para verificar los derechos de acceso, utilizando políticas empresariales granulares basadas en el contexto, incluido el usuario, el dispositivo, la aplicación solicitada, así como el tipo de contenido.
Las políticas son adaptativas, lo que significa que a medida que cambia el contexto, como la ubicación o el dispositivo del usuario, los privilegios de acceso del usuario se reevalúan continuamente.
Reducir el riesgo eliminando la superficie de ataque
Zero Trust conecta a los usuarios directamente con las aplicaciones y recursos que necesitan y nunca los conecta a redes.
Al permitir conexiones uno a uno (usuario a aplicación y aplicación a aplicación), la confianza cero elimina el riesgo de movimiento lateral e impide que un dispositivo comprometido infecte otros recursos de la red.
Con Zero Trust, los usuarios y las aplicaciones son invisibles a Internet, por lo que no pueden ser descubiertos ni atacados.
Ventajas de adoptar la confianza cero
-
Reduce eficazmente el riesgo empresarial y organizativo
Como vimos anteriormente, Zero Trust asume que todas las aplicaciones y servicios son maliciosos y no se les permite comunicarse hasta que puedan ser verificados positivamente por sus atributos de identidad.
Se trata de propiedades inmutables de los propios programas o servicios que cumplen principios de confianza predefinidos, como los requisitos de autenticación y autorización.
Por tanto, la confianza cero reduce el riesgo porque revela qué hay en la red y cómo se comunican esos activos. Además, a medida que se crean líneas de base, una estrategia de confianza cero reduce el riesgo eliminando el software y los servicios sobreaprovisionados y comprobando continuamente las “credenciales” de cada activo en comunicación.
-
Proporciona control de acceso en entornos de nube y contenedores
Los mayores temores de los profesionales de la seguridad a la hora de trasladarse a la nube y utilizarla son la pérdida de visibilidad y la gestión del acceso.
Con una arquitectura de seguridad de confianza cero, las políticas de seguridad se aplican en función de la identidad de las cargas de trabajo de comunicación y se vinculan directamente a la propia carga de trabajo.
De este modo, la seguridad permanece lo más cerca posible de los activos que requieren protección y no se ve afectada por construcciones de red como direcciones IP, puertos y protocolos. Como resultado, la protección no sólo sigue la carga de trabajo donde intenta comunicarse, sino que permanece inalterada incluso cuando cambia el entorno.
-
Ayuda a reducir el riesgo de violación de datos
Como la confianza cero se basa en el principio del menor privilegio, toda entidad, usuario, dispositivo, carga de trabajo, se considera hostil.
Como resultado, se inspecciona cada solicitud, se autentifica a los usuarios y dispositivos y se evalúan los permisos antes de conceder la “confianza”, y esta “fiabilidad” se reevalúa continuamente a medida que cambia cualquier contexto, como la ubicación del usuario o los datos a los que se accede.
Si un atacante consigue entrar en la red o en una instancia de la nube a través de un dispositivo comprometido u otra vulnerabilidad, ese atacante no tendrá la capacidad de acceder o robar datos por no ser de confianza.
Además, no hay capacidad para moverse lateralmente debido al modelo de confianza cero de crear un “segmento seguro de uno”, lo que significa que no hay ningún lugar al que un atacante pueda ir. El acceso está siempre bloqueado.
-
Apoya las iniciativas de cumplimiento
La confianza cero protege a todos los usuarios de Internet y las conexiones de carga de trabajo para que no puedan ser expuestos ni explotados. Esta invisibilidad hace que sea más sencillo demostrar el cumplimiento de las normas de privacidad, como la Ley General de Protección de Datos (GDPR) y otras normativas, y da lugar a menos hallazgos en las auditorías.
Además, con la segmentación de confianza cero (microsegmentación), las organizaciones tienen la capacidad de crear perímetros en torno a determinados tipos de datos sensibles mediante controles precisos que mantienen los datos regulados separados de otra información no regulada.
Cuando llega el momento de una auditoría, o en caso de filtración de datos, una estrategia de segmentación de confianza cero proporciona una visibilidad y un control superiores sobre las arquitecturas de red planas que proporcionan acceso privilegiado.
Proteja su entorno con SafeNet Trusted Access y Zero Trust
Thales, en colaboración con Eval, ofrece servicios de autenticación sólidos y eficaces que permiten a las empresas aplicar políticas de autenticación coherentes en toda la organización, automatizando y simplificando el despliegue y la gestión de una propiedad distribuida de tokens, al tiempo que se protege un amplio espectro de recursos, ya sean locales, basados en la nube o virtualizados.
SafeNet Trusted Access es un servicio de gestión de acceso basado en la nube que combina la comodidad de la nube y el inicio de sesión único (SSO) en la web con la seguridad de acceso granular.
Mediante la validación de identidades, la aplicación de políticas de acceso y el inicio de sesión único inteligente, las organizaciones pueden garantizar un acceso seguro y cómodo a múltiples aplicaciones en la nube desde una consola de fácil navegación.
Las aplicaciones basadas en la nube desempeñan un papel vital a la hora de satisfacer las necesidades de productividad, operativas y de infraestructura de la empresa. Sin embargo, el reto de gestionar las múltiples identidades en la nube de los usuarios aumenta a medida que se utilizan más aplicaciones en la nube.
Cada nuevo servicio que se añade a la nube de una organización dificulta la visibilidad unificada de los eventos de acceso y aumenta el riesgo de cumplimiento.
Los usuarios se esfuerzan por mantener innumerables nombres de usuario y contraseñas, mientras que abundan las incidencias en el servicio de asistencia que exigen restablecer las contraseñas. Y con las aplicaciones en la nube protegidas por defecto sólo con contraseñas estáticas débiles, aumenta el riesgo de que se produzca una filtración de datos.
Ventajas de SafeNet Trusted Access
SafeNet de confianza Acceso previene las violaciones de datos y ayuda a las organizaciones a cumplir los requisitos y normativas, como la Ley General de Protección de Datos (GDPR), permitiéndoles migrar a la nube de forma sencilla y segura. Las características más importantes son:
- Flexibilidad en la implantación: instalación local o en la nube, migración posible en cualquier momento;
- Reducción de los costes del servicio de asistencia mediante el portal de autoservicio SAS y un alto grado de automatización;
- Protección para aplicaciones internas y en la nube;
- Rápida implantación, fácil manejo y escalabilidad flexible;
- Autenticación robusta para casi todas las plataformas y aplicaciones;
- Integración mediante SAML, agentes, RADIUS o API;
- Múltiples factores de autenticación para cada necesidad: tokens de hardware y software, SMS y mucho más;
- Inscripción automatizada por Internet y correo electrónico;
- Capacidad multicliente: de forma centralizada en toda la empresa, también con delegación;
- Procesos certificados: ISO 27001, SSAE 16 SOC-Tipo 2.
SafeNet Trusted Access de Thales aporta seguridad al acceso y la autenticación mediante la estrategia Zero Trust
Con SafeNet Trusted Access, los clientes pueden autenticar el acceso a las API, reduciendo la superficie de amenazas en el entorno informático de una organización.
Aunque la adopción de API va en aumento, muchas organizaciones siguen dependiendo de sistemas locales para gestionar su negocio (por ejemplo, sistemas de RRHH y ERP), lo que hace que la gestión de accesos y la autenticación sean cada vez más complejas, al tiempo que repercuten negativamente en la experiencia del usuario.
Muchas organizaciones se enfrentan a una complejidad creciente en sus entornos informáticos
Muchas organizaciones se enfrentan al reto de aplicar una gestión moderna y uniforme de la autenticación y el acceso a estas aplicaciones.
SafeNet Trusted Access reduce el riesgo de filtración de datos al proporcionar a las organizaciones una amplia gama de autenticación y acceso basado en políticas. Esto proporciona a las empresas la agilidad necesaria para ofrecer seguridad y autenticación flexibles en todo su entorno.
En combinación con la mejor autenticación y seguridad de acceso de su clase, los clientes pueden ahora superar la complejidad, reducir los silos de acceso y prosperar a medida que llevan a cabo su transformación digital y en la nube.
Acerca de Eval
Con una trayectoria de liderazgo e innovación que se remonta a 2004, en Eval no sólo nos mantenemos al día de las tendencias tecnológicas, sino que estamos en una búsqueda constante de nuevos avances ofreciendo soluciones y servicios que marquen la diferencia en la vida de las personas.
Las soluciones y servicios de Eval cumplen las normas reglamentarias más estrictas para organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.