.png)
Lo que necesita para hacer cumplir la política de confianza cero, de forma rápida y segura
En este serial, consideramos las características imprescindibles para descubrir, crear y distribuir con éxito una política de segmentación de confianza cero. Esta semana concluimos analizando en detalle lo que es necesario para aplicar una política de segmentación de confianza cero. Una política de Confianza Cero que no se implementa por completo simplemente no es capaz de detener el malware, el ransomware o los actores maliciosos. Hay consideraciones clave a tener en cuenta para garantizar que cada política de Confianza Cero pueda implementar rápidamente en toda la infraestructura y sin interrumpir el funcionamiento de las aplicaciones.
Cuídate, no lo lamentes
Al trabajar en entornos de centros de datos y nubes existentes, el primer requisito es realizar el juramento hipocrático: ¡No hacer daño! Todas las soluciones de microsegmentación emplean agentes. Necesita uno seguro y ningún agente en línea es seguro. Cualquier agente que implemente un firewall en línea, filtrado u otras funciones de seguridad no puede considerar seguro. Si el agente falla al cerrar, la aplicación deja de funcionar, lo cual no es seguro desde el punto de vista operativo. Si el agente en línea falla al abrir, el mecanismo de seguridad desaparece, lo cual es la definición de computación insegura. La única tecnología de agente segura para la aplicación es un agente fuera de la ruta de datos. Debería exigir una solución que mantenga las reglas vigentes incluso si el agente del proveedor falla o es eliminado. Exija un agente que se instale y actualice sin resetear. Los agentes deben ejecutar en el espacio del usuario. Rechace cualquier cosa que modifique el kernel, instale adaptadores de red personalizados o que se encuentre en línea. No es necesario reinventar algo tan básico como un firewall con estado cuando literalmente todo en el centro de datos o la nube incluye uno.
Hacer cumplir todo
Una vez que tenga una política de Confianza Cero para implementar, ¡el mejor lugar para colocarla es: en todas partes! Todos los sistemas operativos de los últimos doce años cuentan con un firewall con estado perfectamente bueno: iptables/Netfilter y la plataforma de filtrado de Windows. Existen tecnologías similares para AIX, Solaris e incluso mainframes. Los conmutadores de red, los equilibradores de carga y los firewalls de hardware adoptan reglas de firewall. ¿Por qué no aprovecharlo todo? Implemente Zero Trust en todas partes y automatice la aplicación de políticas en todo lo que ya posee. La aplicación debe incluir su entorno de contenedores de Kubernetes, instancias de Amazon, Azure y Google Cloud , servicios SaaS e incluso mantener sus dispositivos OT fuera del entorno de TI. Ni siquiera vale la pena considerar agentes de proveedores propietarios para aplicar políticas de Confianza Cero cuando cada dispositivo ya admite todo lo que necesita.
Mejorar la velocidad de la confianza
Las implementaciones de Confianza cero se realizan a la tasa de confianza en la seguridad de la directiva. Luego de todo, una política de Zero Trust requiere especificar todo lo que se desea, todo lo demás se niega. Eso implica que las políticas de Zero Trust deben ser perfectas. ¿Cuántos flujos hay en un centro de datos? Suena difícil confiar en la perfección en todos esos flujos. Relajar. La segmentación de confianza cero no tiene por qué ser difícil. Cerciorar de que podrá aplicar incluso un solo servicio en el extremo pequeño de la escala. Luego de todo, algunos de los flujos más vulnerables son los servicios centrales y los sistemas de gestión que tocan todas las máquinas del entorno. Muchos usan un solo puerto o un rango pequeño. Cualquier buena solución debería ser capaz de aplicar selectivamente solo esos pocos puertos. Son fáciles de definir, fáciles de acordar y fundamentales de cerciorar. En el otro extremo del espectro está simplemente hacer cumplir deseos de políticas como "Evitar que todos mis sistemas DEV se comuniquen con PROD, excepto la siguiente lista de servicios compartidos, pero limitarla tanto como sea posible". Nadie va a tener un conocimiento perfecto de todos los sistemas DEV y todos los sistemas PROD, es demasiado dinámico y complejo. Pero las mejores soluciones de segmentación de confianza cero pueden definir fácilmente los límites de aplicación que proporcionan esta funcionalidad exacta y, al mismo tiempo, preservar la libertad de problemas de orden de reglas o romper la herencia de políticas. ¿Qué tan rápido pueden todos los miembros del equipo estar seguros de que la política es correcta y segura? Busque una solución que pueda aplicar a nivel de una sola declaración de política y, al mismo tiempo, hacer cumplir los objetivos generales de separación. Cuando ambos son igualmente simples, es fácil hacer que las políticas de Confianza cero a través del control de cambios se apliquen a la aplicación.
En resumen
El objetivo principal de Zero Trust es aislar los sistemas de nube, puntos finales y centros de datos con reglas impuestas. Las soluciones de mera visibilidad o de monitorización nunca pueden considerar como Segmentación de Confianza Cero. Una buena solución de segmentación será, en primer lugar, segura y no dependerá de tecnologías en línea que fallen al abrir o cerrar, poniendo en riesgo todo el entorno. La aplicación de estas normas debe ser amplia y aprovechar todos los firewalls que ya pagó, desde los firewalls basados en sistemas operativos hasta el hardware y los equipos de red alojados en los racks. Implementar políticas de segmentación de confianza cero para contenedores, la nube y en todo el entorno informático significa que se necesitan muchas soluciones diferentes, entonces ¿por qué no usar lo que ya hay en cada una? Por último, es importante poder desarrollar medidas de cumplimiento que vayan desde una única declaración de política hasta formas sencillas de segmentar entornos enteros. La microsegmentación de grano fino avanza al ritmo de la confianza compartida de que los sistemas no se interrumpirán. Por lo tanto, una solución con una aplicación altamente flexible y matizada siempre ofrecerá los resultados de Confianza Cero más rápidos.
ICYMI, lea el resto de este serial:
