Jornada de Zero Trust | Fase 4: Implementación

Descubra cómo implementar una arquitectura Zero Trust simplificada.

Jonas Ferreira - Solutions Architect
Paulo Moura - Technical Researcher
Jornada de Zero Trust | Fase 4: Implementación

Esta publicación de blog forma parte de la serie Jornada Zero Trust, en la que presentamos diversas formas de implementar una arquitectura Zero Trust de manera simplificada. Si esta es tu primera lectura, te recomendamos que consultes la primera fase. Por otro lado, si deseas saber más sobre los requisitos para implementar el control de acceso puedes consultar este artículo.

Hemos llegado a la etapa final de nuestro viaje Zero Trust. En este artículo hablaremos sobre los componentes críticos que son necesarios para completarlo y lograr una arquitectura de verdadera seguridad.

Como hemos mencionado en artículos anteriores de esta serie, no existe una única fórmula a la hora de hacer una implementación, por lo que es necesario crear un marco conceptual. Este marco debe adaptarse a las necesidades y al entorno de cada organización.

En este sentido, presentaremos cuatro de estos componentes de forma clara y concisa, para que puedas implementarlos en tu propia arquitectura Zero Trust.

1. Monitoreo de red

Hoy en día, una arquitectura Zero Trust necesita atender las demandas de estructuras operacionales más actuales. Mientras las organizaciones confiaban en los buenos hábitos de seguridad de las personas, el modelo Zero Trust reemplazó esa mentalidad sobre la seguridad con una actitud vigilante, conocida como Zero Trust Network Access (ZTNA).

Esto significa que las organizaciones asumen la compleja, pero necesaria, responsabilidad de verificar continuamente cada dispositivo que accede a la red y monitorear las métricas como:

  • Tiempo que se tarda en detectar amenazas con los recursos actuales.
  • Número de eventos maliciosos identificados.
  • Eficacia de la mitigación de ataques.
  • Correlación entre los eventos de seguridad y la política de control de acceso vigente.
  • Brechas y puntos ciegos explorados por el atacante.

Todo proceso de seguridad eficiente pasa por el monitoreo de la red, el cual no solo constituye un mecanismo de protección en tiempo real, sino que también es fundamental para el desarrollo de la inteligencia de amenazas cibernéticas, lo que a su vez es la base para el ciclo de mejora continua.

¿Cómo monitorear las redes de manera eficiente y simplificada?

Ya que contar con  una alta visibilidad y una inteligencia de amenazas es sumamente importante en una arquitectura Zero Trust, la plataforma Edge Computing de Azion brinda herramientas y funcionalidades que proporcionan insights en tiempo real que pueden ser integrados con soluciones de SIEM o big data mediante Data Streaming y GraphQL, lo que proporciona una visión holística y de fácil entendimiento del sistema.

Además, la plataforma brinda también recursos de orquestación para automatizar/programar respuestas de seguridad a través de Network Layer Protection. Esto ayuda a simplificar las operaciones de seguridad y detectar, así como responder a posibles amenazas rápidamente, incluso siguiendo las políticas de seguridad de Zero Trust propias de la organización.

2. Microsegmentación de aplicaciones

En los últimos años, uno de los requisitos clave de cualquier arquitectura Zero Trust ha sido la microsegmentación de red. En la práctica, se trata de la división de una red en segmentos (o zonas) más pequeños e independientes, en los que se pueden implementar políticas de seguridad de forma compartimentada. Es como un conjunto de clústeres: todos los subprocesos funcionan juntos, pero se gestionan individualmente.

Debido a la complejidad de las aplicaciones modernas y las exigencias de la seguridad moderna, la microsegmentación se ha orientado a la aplicación y no solo a la red. Ahora, el control de acceso evoluciona en términos de granularidad y limitación del espacio transitable en la red, por ejemplo, considerando la aplicación como un todo.

¿Cómo implementar la microsegmentación?

La Plataforma de Edge Computing de Azion proporciona las herramientas necesarias para que una organización garantice la alta disponibilidad y el control de acceso granular de sus aplicaciones.

Por ejemplo, el Load Balancer de Azion permite distribuir las cargas de trabajo entre diferentes nodos con el objetivo de evitar la indisponibilidad y la sobrecarga de los servidores, así como para aislar partes diferentes de la red para evitar que se afecten mutuamente.

Como la red es solo un componente de la aplicación, es ventajoso desde el punto de vista de Zero Trust segmentar la seguridad para que los incidentes de este tipo no afecten también la gateway (puerta de enlace) de API, el servidor DNS, la base de datos y otros componentes críticos.

Azion pone a disposición el Edge Firewall complemento de load balancing, que permite aplicar controles de acuerdo con la segmentación de la aplicación, sin importar la complejidad del backend, utilizando recursos de programabilidad.

Con la seguridad programable, se pueden aplicar reglas de negocios, control de acceso lógico, protección de aplicaciones y WAAP (protección de API y apps web), etc.

3. Seguridad moderna de endpoint

Cuando hablamos de endpoints consideramos a las amenazas externas e internas que afectan a un gran número de organizaciones anualmente, según un estudio del Ponemon Institute. Los principales riesgos relacionados están listados en el top 10 de OWASP.

”La visibilidad es uno de los pilares clave del modelo de seguridad Zero Trust”, fue una de las sentencias más repetidas en esta serie. Esto tiene aún más sentido cuando se habla de endpoints, ya que la mejor manera de evitar los vectores de ataque es analizar los eventos que ocurren en ellos.

¿Cómo modernizar la seguridad de endpoint?

Cuando las aplicaciones migran desde una infraestructura cloud u on-premise hasta Azion, se convierten en edge applications integradas con un conjunto de herramientas y funcionalidades de seguridad avanzadas para:

  • Identificar el tráfico anómalo.
  • Prevenir los ataques zero-day.
  • Aislar las amenazas del top 10 de OWASP.

De esta manera se pueden proteger los endpoints con una infraestructura diseñada para los retos de la seguridad cibernética moderna, sin la necesidad de incrementar la inversión en hardware y software, y también se puede proporcionar visibilidad sobre los eventos asociados a los endpoints.

La protección de esos datos es tan importante como la recolección y análisis de datos de eventos. De acuerdo con la norma ISO/IEC 27001, los datos pueden generar una falsa sensación de seguridad si se modifican o eliminan frecuentemente.

Nesse sentido, os logs transmitidos via Data Streaming, por exemplo, são criptografados de ponta a ponta, e protegidos por recursos de prevenção contra perda de dados em todas as etapas do pipeline.

4. Autenticación y autorización

Cada vez más organizaciones están fortaleciendo la verificación del usuario conforme avanzan en una sesión que involucra un activo o un servicio. Presta atención a tu próxima transacción bancaria a través de una aplicación móvil y nota cuántas autenticaciones se solicitan hasta que se efectúe la transacción, por ejemplo.

En el tema de Zero Trust, es crucial que este mismo nivel de vigilancia se aplique a todo lo que abarca la estrategia, como el acceso a datos y tareas que requieren privilegios administrativos, para garantizar que el viaje se realice en función del usuario, dispositivo o cualquier otro criterio establecido por la organización.

¿Cómo implementar la autenticación continua?

Estos procedimientos se pueden optimizar con Azion a través de la solución Secure Token. Se puede utilizar para validar los tokens generados por la aplicación para cada petición recibida y enviada por el usuario, verificando, entre otros factores, si la clave secreta es correcta, si el token ha caducado o si es válido.

Si las condiciones establecidas en Secure Token no se cumplen, el acceso al contenido se deniega automáticamente. En otras palabras, sin confirmar que el activo o servicio de la red sigue siendo accedido por el mismo usuario que obtuvo la autorización inicial, la sesión se cerrará.

Vale la pena subrayar la importancia de que la autenticación continua sea complementada con las mejores prácticas de IAM  (Identity and Access Management, * * gestión de acceso e identidad -), incluyendo la implementación de tecnologías sofisticadas, como biometría, análisis comportamental e inteligencia artificial, que pueden encontrarse en Azion Marketplace.

Al poner en práctica los cuatro puntos mencionados hasta ahora, considerando que las etapas anteriores se han seguido al pie de la letra, tu organización tendrá una arquitectura Zero Trust funcional y lista para evolucionar.

Si deseas mantenerte al día con las siguientes publicaciones e informes sobre seguridad que estamos lanzando en todo momento, completa los siguientes campos para recibir nuestra newsletter.

Suscríbete a nuestro boletín informativo