Getting Maximum Protection through Zero Trust Callout

Obtención de la máxima protección a través de Zero Trust

Entrevista con John Summers, CTO, seguridad y rendimiento web, Akamai Technologies

¿Cómo describe la estrategia Zero Trust?

Zero Trust consiste en la desaparición de la distinción entre el interior y el exterior. Las organizaciones solían tener centros de datos y redes dentro de una zona de control. Confiaban en lo que había en su interior y eran cautos con lo que venía del exterior. La seguridad se centraba en mantener a los chicos malos fuera y en dejar que los chicos buenos entraran con la ayuda de un control de acceso verdaderamente bueno a la hora de cruzar el perímetro de la empresa.

Pero veamos lo que sucede con nuestras empresas actualmente. El perímetro se está disolviendo. La infraestructura, las aplicaciones, los datos y los usuarios son cada vez más dispersos. A menudo no hay perímetro entre los usuarios móviles y las aplicaciones empresariales en la nube, y las interacciones tienen lugar a través de redes que la empresa no controla. Por lo tanto, debemos adaptar nuestro pensamiento a este nuevo paradigma y crear nuevas formas de seguridad.

Para empezar, no podemos confiar en una comunicación basándonos en el lugar de donde proviene. Tanto si procede de dentro o como de fuera de la red, antes de que la comunicación se establezca, debe pasar por el mismo nivel de comprobaciones de autenticación y autorización. Concebir todo como de no confianza contribuye considerablemente a abordar el estado de transición en el que se encuentran las organizaciones, en el que una aplicación que se ubica en su centro de datos este mes estará en la nube el próximo mes. Y el usuario que se encuentra hoy en su zona de control, mañana trabajará desde otro lugar.

No confiar en nada, verificar todo y mantener unos controles coherentes: esa es la esencia de la estrategia "Zero Trust".

Profundice sobre lo que impulsa la necesidad empresarial por este tipo de plataformas.

El propósito de la seguridad cibernética es permitir a una empresa operar e innovar con soltura y confianza mediante la protección de sus activos digitales y de quienes los utilizan. Actualmente, esos activos se distribuyen y mueven como nunca antes lo habían hecho.

La infraestructura con la que contamos ahora incluye Internet y la nube, y, dado que la infraestructura está más definida por el software, su ubicación física es más variable. La infraestructura de red se conecta a empresas con clientes, empleados móviles y terceras partes, y esas interacciones necesariamente atraviesan el perímetro tradicional.

Las aplicaciones representan los procesos de negocio donde se crea el valor empresarial. Incluso las aplicaciones más esenciales se desplazan fuera del centro de datos para integrarse en la nube y, junto con ellas, sus datos. Las transacciones tienen que ser seguras, los datos deben estar protegidos, y la actividad empresarial debe auditarse a efectos de cumplimiento normativo; igual que cuando esos activos se encontraban dentro del centro de datos.

No hay que olvidar que los usuarios están en todas partes. La empresa debe conectar con los clientes en sus dispositivos y según sus condiciones dondequiera que se encuentren. Los empleados móviles y remotos pasan menos tiempo en la zona de control tradicional. Y los partners, proveedores, distribuidores y contratistas están muy repartidos.

A todo esto, hay que añadir que la infraestructura, las aplicaciones, los datos y los usuarios pueden estar en cualquier parte. Todo esto ha aumentado considerablemente el nivel de exposición y, por consiguiente, el tamaño de la superficie de ataque que las empresas deben proteger. También se ha incrementado espectacularmente la complejidad de la gestión de redes y de la seguridad.

No podemos refrenar esos activos y querer progresar en la era de la empresa digital. Por lo tanto, debemos protegerlos, no con un perímetro, sino más individualmente, independientemente de donde se encuentren. Esto requiere una alta visibilidad y "Zero Trust".

¿Qué conlleva la transición a una estrategia "Zero Trust"?

Se precisa de una arquitectura de seguridad diferente. Los controles y la política de seguridad han de aplicarse donde mejor funcionen, esto es, en la protección de los activos digitales. Piense en la mejor manera de garantizar la comunicación de un extremo a otro en la nube. Realmente le gustaría poder encontrar la ruta de comunicación más rápida entre esos dos puntos para después implementar los controles de seguridad correspondientes justo en el medio de dicha ruta. Ninguna comunicación se establece a menos que ambas partes hayan sido fuertemente autenticadas y los datos no se mueven a menos que hayan sido fuertemente cifrados. Eso es lo que tenemos que hacer.

También implica una mentalidad de seguridad diferente. La mayoría de los profesionales de la seguridad han crecido en el mundo de la gestión de redes, donde los firewalls, los routers y los paquetes de red son herramientas estándar. Es natural continuar intentando codificar soluciones de seguridad principalmente en el nivel de las redes con técnicas como la microsegmentación. Pero este es el camino difícil, la forma más compleja. Tenemos que romper con esa costumbre y pasar al nivel de las aplicaciones. El objetivo es proteger las interacciones con las aplicaciones, independientemente de las redes en que se estén ejecutando, porque se están ejecutando a través de redes que la empresa no controla. El nivel de las aplicaciones es donde mejor se integran y ponen en práctica las políticas y el control de seguridad definidos por la empresa. En ese nivel, los controles de seguridad pueden implementarse en los puntos donde se encuentren los activos.

¿Qué significa una estrategia "Zero Trust" para la empresa?

Esta estrategia ofrece una visibilidad sin precedentes de lo que está sucediendo con los activos digitales y los usuarios, no solo de lo que está sucediendo en la red. Esto permite una seguridad más completa en un entorno empresarial altamente disperso. Los controles de seguridad estándar pueden integrarse en las aplicaciones y sus interfaces, lo que contribuye a acelerar el desarrollo y despliegue de nuevas capacidades de negocio. En última instancia, "Zero Trust" permite a las empresas ser más ágiles, así como proceder con mayor rapidez y confianza en todas sus iniciativas digitales.

Además, reduce la complejidad y simplifica la administración de la red. Cuando los profesionales de redes no tienen que forzar la implementación en la red de políticas y controles de seguridad en la capa de procesos empresariales, pueden dedicar más tiempo al rendimiento y la fiabilidad de la red y a la experiencia digital que se presta a los usuarios.

Los controles de seguridad pueden aplicarse desde términos empresariales: ¿quién es el usuario?, ¿cuán seguro puedo estar de ellos?, ¿qué aplicaciones están tratando de utilizar?, ¿cuál es el riesgo empresarial de dejarlos utilizar esa aplicación? y ¿qué políticas y controles deben implementarse en ese camino de comunicación? Las decisiones acerca de las políticas y los controles son claramente responsabilidad de los propietarios de las aplicaciones, lugar al que pertenecen. Todo esto simplifica el trabajo de los directores de seguridad de información y profesionales de la red.

Para los usuarios, esta estrategia reduce la fricción y mejora su experiencia. Podemos fortalecer la autenticación a través de otros medios distintos de las contraseñas. Y el nivel de autenticación puede variar en función de lo que el usuario esté haciendo: acceso ininterrumpido para tareas sencillas y mayor autenticación al acceder a datos confidenciales. Una consulta en el directorio de una empresa no supondría ningún problema. Sin embargo, acceder a información financiera de la empresa ya sería otra cosa totalmente distinta.

Por último, esta mayor visibilidad de la que estamos hablando no es solo buena para la protección de activos. Es la visibilidad de su empresa. Ofrece una comprensión más detallada de los procesos empresariales y de las transacciones que se llevan a cabo online. Puede analizar esta información y obtener nuevas ideas sobre el comportamiento real de los procesos de su empresa y de sus clientes, además de encontrar oportunidades de mejoras mucho más allá del ámbito de la seguridad.

¿Cómo y dónde deben empezar las organizaciones?

Algunos de los mejores casos prácticos surgen cuando existe la necesidad de realizar reconfiguraciones importantes en las redes. Por ejemplo, una importante cadena minorista necesitaba lanzar nuevas capacidades empresariales a más de 10 000 ubicaciones. Los objetivos de la empresa consistían en proporcionar unas mejores analíticas para reducir costes y aumentar los ingresos en localizaciones individuales y en conjunto. Intentar comunicar todas las redes de tiendas utilizando redes VPN e implantar controles de seguridad con microsegmentación era un proceso demasiado complicado y presentaba las características de escala equivocadas.

La mejor alternativa era un enfoque Zero Trust que utilizara la nube y controles a nivel de aplicación. En lugar de unir un montón de redes, implementaron un sistema de acceso basado en atributos con autenticación multifactorial según las funciones del personal dentro de la organización. Toda la infraestructura de control de acceso está virtualizada. Las transferencias de datos tienen lugar fundamentalmente entre pares de conexiones en la nube y los sistemas backend de la empresa no se exponen a Internet.

Todo esto derivó en una implementación acelerada y en la minimización de los cambios de la red. Con esa experiencia y éxito a sus espaldas, la compañía está aplicando la arquitectura Zero Trust en toda una variedad de iniciativas empresariales.

Otro buen ejemplo es una fusión o adquisición empresariales, donde la sinergia y el éxito financiero dependen de la capacidad para combinar rápidamente la tecnología y las aplicaciones y operaciones empresariales. Algunas organizaciones tienen que hacer esto reiteradamente, como cada vez que una gran institución de servicios financieros adquiere una serie de bancos regionales o locales. El enfoque tradicional, esto es, unión de redes, omisión de firewalls frente a firewalls e identificación de todos los nuevos activos en las redes antiguas y sus controles de seguridad, resulta un proceso complejo, laborioso y propenso a errores.

Por su parte, una arquitectura Zero Trust puede superponer accesibilidad y controles. Mantiene funcionando los sistemas de la adquisición. Ofrece a sus empleados el acceso adecuado a las aplicaciones y los datos de la empresa matriz, y viceversa. En primer lugar, se tienden puentes entre los perímetros y a través de las aplicaciones, de modo que las empresas puedan coordinar las operaciones rápidamente. Posteriormente, con el tiempo, se fusiona la topología real de las redes subyacentes en la medida en que sea necesario.

Igualmente, después de una cesión total o parcial, el acceso a los activos puede separarse de forma segura o compartirse de forma selectiva. Existen algunos ejemplos complejos en el sector de los medios de comunicación y el entretenimiento, cuando se venden determinados activos. Pongamos por ejemplo una operación de producción de contenido que se distribuye en varios centros. La mitad del personal va a empezar a trabajar para la compañía nueva y la otra mitad va a quedarse en la anterior. De entre las aplicaciones a las que necesitan acceder, algunas pasarán a la nueva empresa, algunas permanecerán y algunas se quedarán en el medio y deberán compartirse. Con esta situación, ¿cómo van a reconectar todo? Resultaría muy costoso y nunca funcionaría bien.

La solución es dejar la infraestructura física en su lugar y superponer una segmentación virtual de poblaciones de usuarios, con acceso exclusivo o compartido a las aplicaciones, y controles de seguridad integrales. Con esto se puede preservar la productividad de la plantilla y ofrecer un tiempo para generar valor para la empresa realmente rápido.

Esos tres ejemplos comparten un importante mensaje: Zero Trust puede adoptarse gradualmente con conjuntos de aplicaciones. No implica una renovación masiva de la arquitectura y la infraestructura. Se puede complementar y, con el tiempo, se pueden reemplazar los mecanismos de seguridad existentes, ofreciendo valor de manera gradual. Asegúrese de empezar con un caso de uso que no solo demuestre la eficacia del concepto, sino que también ofrezca un valor significativo a la empresa.

¿Por qué les apasiona tanto Zero Trust?

En Akamai estamos entusiasmados porque sabemos que funciona y contamos con una experiencia inigualable en este tipo de estrategias. Imagine por un momento que tiene que implementar una plataforma empresarial compuesta por miles de servidores en todo el mundo, todos ellos sumergidos directamente en la red de Internet. Y todos tuvieron que comunicarse e interactuar unos con otros. Y digamos que empezó a hacerlo hace 20 años. Esta es, de hecho, la historia de Akamai.

Cuando la empresa estaba diseñando su red de distribución de contenido altamente distribuida y basada en Internet, al tiempo que tenía que garantizar un alto rendimiento a sus clientes, tuvo que asumir que ninguna transmisión iba a ser de confianza.

Por lo que implementamos una autenticación estricta para cada punto. Esta no solo consistía en conocer la dirección IP: intercambio y validación de certificados digitales antes del establecimiento de cualquier comunicación. Ningún usuario podía acceder a la plataforma sin pasar por un proxy de control de acceso. Es por esto que hay un punto lógicamente central de aplicación de políticas basada en atributos: quién eres, de dónde vienes, qué papel tienes en la organización e incluso qué hora del día es, ya que fuera del horario laboral quizás no se debería estar accediendo.

Hoy en día la plataforma de Akamai cuenta con más de 240 000 servidores en más de 130 países. Operamos en el perímetro de Internet, donde la noción de perímetro está obsoleta. Gestionamos una gran parte del tráfico de Internet, lo que nos brinda una extraordinaria visibilidad de la seguridad en Internet y de la seguridad de la infraestructura de nuestros clientes. Esta visibilidad ininterrumpida continúa impulsando nuestra perspectiva y nuestras innovaciones en materia de seguridad cibernética.

Nadie denominó este enfoque "Zero Trust" hace 20 años, pero ese es el enfoque que venimos adoptando desde el primer día. Realmente no teníamos otra opción si queríamos hacerlo bien. Por eso nos apasiona la estrategia Zero Trust y ayudar a nuestros clientes a llevar la seguridad al siguiente nivel y convertirla en el motor propulsor de la empresa digital.

Related CIO Content