.png)
¿Dónde encaja la segmentación de Zero Trust en el nuevo modelo de madurez de Zero Trust de CISA?
La semana pasada, CISA lanzó su muy esperado Modelo de Madurez de Confianza Cero 2.0 , una versión actualizada del Modelo de Madurez de Confianza Cero (ZTMM) que afirma la industria y que se lanzó por primera vez en 2021.
A un alto nivel, el ZTMM de CISA describe cómo las organizaciones modernas pueden desarrollar resiliencia cibernética “dentro de un entorno y un panorama tecnológico en rápida evolución”. También es una extensión fundamental de la Orden Ejecutiva de 2021 de la Administración Biden para Mejorar la Ciberseguridad de la Nación , que requería que las agencias federales desarrollaran e implementaran una Arquitectura de Confianza Cero (ZTA).
Si bien carece de detalles específicos y, en general, de un esquema más general de los objetivos de resiliencia federal a largo plazo (como suelen ser las guías de arquitectura como estas), ¡siempre es prometedor ver que el impulso federal de Confianza Cero continúa! Y con una guía de segmentación distribuida en todos los pilares y niveles de madurez, tácticas actualizadas como estas ayudarán a las agencias federales a lograr de manera más efectiva sus objetivos de resiliencia cibernética.
Aquí es donde entra en juego la segmentación
A menudo, cuando las personas en TI federal piensan en la segmentación, lo primero en lo que piensan es en la red. El ZTMM actualizado no es diferente. La segmentación de red se incluye como una capacidad técnica completa en la sección 5.3, relacionada con el pilar de red de ZTA de CISA. CISA escribe que en la etapa inicial, la segmentación de red se ve así: "La agencia comienza a implementar una arquitectura de red con el aislamiento de cargas de trabajo críticas, restringiendo la conectividad a los principios de función mínima y una transición hacia interconexiones específicas del servicio".
En términos prácticos, esto significa comenzar a practicar el privilegio mínimo (es decir, limitar la confianza implícita) y comenzar a segmentar las cargas de trabajo críticas fuera del servidor. Suena bastante simple, ¿verdad?
A continuación, CISA amplía el aspecto de la funcionalidad de segmentación de red en todos los niveles de madurez, desde la implementación de la macrosegmentación en niveles más tradicionales hasta la aplicación de una microsegmentación más gruesa en etapas avanzadas y óptimas.
Para las agencias federales avanzadas, la aplicación de segmentación de red puede ver así: "La agencia amplía la implementación de mecanismos de aislamiento de perfiles de aplicaciones y puntos finales a más de su arquitectura de red con microperímetros de entrada/salida e interconexiones específicas del servicio".
Con soluciones como Illumio Endpoint, Illumio hace que sea simple y sencillo para las organizaciones de todos los niveles de madurez aplicar la Segmentación de Confianza Cero (ZTS) hasta el punto final.
Los principios de ZTS no se limitan únicamente al ámbito de la red. En la sección 5.4, que analiza la seguridad de las aplicaciones y las cargas de trabajo, CISA escribe que en la etapa inicial: “La agencia comienza a implementar capacidades de autorización de acceso a aplicaciones que incorporan información contextual (por ejemplo, identidad, cumplimiento del dispositivo y/u otros atributos) por solicitud con vencimiento”.
En la etapa avanzada, "la agencia automatiza las decisiones de acceso a las aplicaciones con información contextual ampliada y condiciones de vencimiento aplicadas que se adhieren a los principios de privilegios mínimos".
Estos también son lugares donde la visibilidad y la segmentación pueden ayudar: crear límites de aplicación en torno a identidades y dispositivos, hacer cumplir los principios de privilegios mínimos y automatizar políticas basadas en contextos verificados.
Otras conclusiones clave de un CTO federal
Si bien no es necesariamente el centro de atención en el nuevo ZTMM, la realidad es que la segmentación se adapta a todos los cubos, y es esencial (y factible) para organizaciones de todos los niveles de Zero Trust. Francamente, es prometedor ver que la tecnología finalmente obtenga el prestigio que se merece, pero todavía hay trabajo y educación por hacer.
Particularmente a medida que las agencias federales buscan alcanzar las etapas más avanzadas de madurez, la visibilidad y la segmentación de Zero Trust son fundamentales. La visibilidad en todo el entorno híbrido (nube, local, endpoint, TI/OT) es clave para comprender lo que tiene y saber qué proteger. Y se puede implementar una política de sentido común para autorizar el acceso, en función del cumplimiento del dispositivo u otros requisitos, proporcionando una aplicación coherente sin aislamiento.
ZTS no es sólo un control proactivo para las agencias federales que buscan ampliar su ZTA. También es una estrategia proactiva esencial: garantizar que cuando las agencias federales sean atacadas, sus misiones puedan continuar sin impedimentos. De hecho, las organizaciones que aprovecharon Illumio ZTS vieron una reducción del 66% en el impacto (o radio de explosión) de una violación y ahorraron $3,8 millones debido a menos interrupciones y tiempos de inactividad. Al final del día, una verdadera ZTA tiene en cuenta tanto a las organizaciones en proceso de maduración como a las amenazas avanzadas y persistentes.
Puede obtener más información sobre cómo ZTS de Illumio puede ayudar a su agencia federal a alcanzar sus objetivos de Confianza Cero.
.webp)
