¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
segmentación
Illumio Editorial
Illumio Editorial
30de abril de 2021
23 min. leer

Por qué la política es importante para Zero Trust

La idea del mínimo privilegio no es nueva, como tampoco lo es la idea de mantener los dispositivos separados en la red al servicio del mínimo privilegio. Luego de todo, cada firewall sale de su contenedor con una regla predeterminada –“denegar todo”– que invita a la creación de una política de mínimos privilegios. Y así, durante los últimos 15 o 20 años, estuvimos ingresando diligentemente cada vez más declaraciones de licencias y denegaciones en los firewalls perimetrales. La mayoría de las organizaciones tienen ahora tantas de estas declaraciones que se necesitan equipos de administradores altamente capacitados para gestionarlas, y la complejidad aumentó exponencialmente en los últimos años.

El problema (multiplicado por 3)

Ahora, Zero Trust prescribe que volvamos al mínimo privilegio. Sólo que esta vez, no en el borde, sino en cada carga de trabajo, cada usuario, cada punto final. ¿Qué tan factible es esto? Cada año, Cisco publica un estudio detallado de las redes empresariales y nos proporciona una aproximación sencilla para que la consideremos. En 2020, el 73% del tráfico se produjo “de este a oeste”, es decir, entre sistemas del centro de datos, y aproximadamente el 27% pasó por el perímetro. Por lo tanto, las reglas de firewall perimetral existentes cubren el 27% del tráfico.

La clara participación es que crear una política similar para el otro 73% del tráfico es aproximadamente tres veces el trabajo, tres veces la complejidad de la regla y tres veces el número de personas. Y ese es el problema. Nadie puede gastar 3 veces, contratar 3 veces y configurar 3 veces la complejidad. Aquellos que intentaron doblar una solución SDN para que cumpla esta tarea o intentaron implementar firewalls virtuales saben que simplemente no funciona.

Cualquier proveedor que proponga Zero Trust tiene que resolver este enigma. No es creíble afirmar que se puede lograr un resultado de Zero Trust sin lidiar con la realidad operativa de la inmensa tarea que tenemos entre manos. Cualquiera que busque un resultado de Zero Trust necesita pruebas creíbles de la capacidad de cumplir con los componentes de costos, complejidad operativa y recursos humanos para una implementación exitosa.

No necesitamos más lugares para hacer cumplir la política

Cuando los firewalls ingresaron por primera vez a la red, eran el único dispositivo capaz de bloquear y restringir el tráfico a gran escala. Pero hoy en día, lograr la microsegmentación de Confianza Cero no es un problema de cumplimiento. Todos los sistemas operativos modernos en el centro de datos, desde Windows hasta Linux (incluso AIX, Solaris y System Z (mainframes), tienen un firewall con estado bien implementado en la ruta de reenvío del kernel. Cada dispositivo de red, desde enrutadores y conmutadores hasta firewalls y balanceadores de carga, puede adoptar reglas de firewall.

De hecho, es el caso de que casi todos los dispositivos conectados a la red en el centro de datos tienen algunas capacidades de control de acceso. Esto implica que nadie necesita comprar paletas de firewalls para implementar Zero Trust. Los puntos de aplicación ya están disponibles. Esto significa que el costo de implementar Zero Trust se sentirá casi por completo en el área de complejidad de la configuración. Luego de todo, la cantidad de personas necesarias se deriva de la cantidad de trabajo por hacer.

La gestión de políticas determina los resultados de Zero Trust

Concluimos, entonces, que la política es el factor más importante en una implementación de Zero Trust. La posibilidad de alcanzar cualquier objetivo de Confianza cero dependerá de lo fácil o difícil que sea descubrir, crear, distribuir y aplicar directivas.

A los proveedores les gusta hablar de sus características y mostrar lindas interfaces de usuario, pero al final, lo único que importa es qué tan bien simplifican, reducen y automatizan el trabajo de gestión de políticas inherente a una iniciativa de microsegmentación de Zero Trust.

Antes de que alguien pueda escribir una política de Confianza cero, primero debe conocer todos los flujos de comunicación relevantes y cómo funciona la aplicación en cuestión: cómo depende de los servicios principales y los usuarios y otros dispositivos a los que se conecta. Esto es descubrimiento de políticas, y es más que una imagen linda de una aplicación en una burbuja. En última instancia, necesita toda la información necesaria para crear correctamente la directiva de Confianza cero.

La creación de una política tiene que eliminar la carga de traducir el deseo humano en direcciones IP. Necesita usar metadatos para simplificar, escalar y heredar directivas para reducir la carga de creación. Una vez que escribió una directiva, necesita una forma de distribuirla a los puntos de aplicación que ya existen. ¿Cómo mantiene todas las políticas actualizadas y realiza un seguimiento automático con la automatización de aplicaciones? Si puede tener en cuenta los movimientos, las adiciones y los cambios, la carga de trabajo disminuye en su equipo de administración.

Finalmente, la aplicación de políticas depende en última instancia de la capacidad de validar y desarrollar confianza en la política propuesta. Los firewalls no tienen ninguna capacidad de modelado. Pero no es suficiente "permitir y orar". Necesita la capacidad de saber que la política es precisa, completa y no romperá la solicitud, y poder comunicarlo a todas las partes interesadas.

Conclusión

Saber qué es importante para la gestión de políticas de Confianza Cero es lo mismo que saber qué se necesita para ejecutar un proyecto de Confianza Cero o de microsegmentación. La puesta en práctica de una segmentación detallada se realizará al ritmo que determine nuestra capacidad humana para descubrir, crear, distribuir y aplicar la política. Cuando existe una gestión de políticas eficaz y eficiente, las necesidades de personal disminuyen proporcionalmente. Por lo tanto, está claro que el factor más importante para poner en práctica el modelo de Confianza Cero es abordar de manera eficaz la complejidad de políticas necesaria para reforzar los controles de segmentación. Dado que es tan importante, consideraremos la gestión de políticas en gran detalle en próximas publicaciones del blog.

Temas relacionados

No se encontraron artículos.

Artículos relacionados

El consultor cibernético Stephen J. White habla sobre cómo alinear la seguridad con los resultados comerciales
segmentación

El consultor cibernético Stephen J. White habla sobre cómo alinear la seguridad con los resultados comerciales

Obtenga información sobre lo que su organización debe hacer para modernizar sus estrategias de seguridad y alinear mejor la ciberseguridad con los resultados comerciales.

Lee más
Seguridad de contenedores: una nueva frontera (Parte 2)
segmentación

Seguridad de contenedores: una nueva frontera (Parte 2)

Seguridad de contenedores, guía de Kubernetes: desafíos, amenazas y consideraciones. Un serial de blogs de dos partes sobre cómo mantener seguro el uso de su contenedor.

Lee más
9 razones por las que los proveedores de atención médica deberían implementar la segmentación de confianza cero
segmentación

9 razones por las que los proveedores de atención médica deberían implementar la segmentación de confianza cero

Explore los beneficios de la segmentación de confianza cero para su organización de atención médica.

Lee más
No se encontraron artículos.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Aprenda más