En 2010, el analista de investigación de Forrester John Kindervag propuso una solución que denominó "Zero Trust". 

Fue un cambio de la estrategia de "confiar, pero verificar" a "nunca confiar, siempre comprobar". En el modelo Zero Trust, no se confía en ningún usuario o dispositivo para acceder a un recurso hasta que se compruebe su identidad y autorización. Este proceso se aplica a quienes suelen encontrarse en una red privada, como una persona empleada en un ordenador de empresa que trabaja de forma remota desde casa o en su dispositivo móvil durante una conferencia al otro lado del mundo. También se aplica a todas las personas o dispositivos fuera de esa red. No importa si ha accedido a la red antes o cuántas veces lo ha hecho: su identidad no es de confianza hasta que se vuelva a comprobar. La idea es suponer que cada máquina, usuario y servidor no son de confianza hasta que se demuestre lo contrario.

Históricamente, el enfoque de "castillo y foso" hacia la seguridad parecía viable; hubo un tiempo en que imperó la idea de un perímetro de red donde cualquiera que se encontrase fuera de la red (o foso) era "malo" y todos los que estuviesen dentro eran "buenos". Sin embargo, al igual que los castillos y los fosos son cosa del pasado, también debe serlo este enfoque de seguridad casi medieval. Piense en el estado actual del trabajo remoto. La plantilla y el lugar de trabajo han cambiado: las personas han dejado atrás las cuatro paredes de una oficina y ahora trabajan en cualquier momento y de forma distinta. Con el auge de la nube, el perímetro de red ya no existe de la misma manera que antes. Es posible encontrar a los usuarios y las aplicaciones tanto a un lado como al otro del foso. Y eso añade vulnerabilidades al perímetro de las que los agentes maliciosos se pueden aprovechar. Una vez dentro del foso, pueden moverse libremente, acceder a recursos y activos de alto valor, como los datos de los clientes (¡o las joyas de la corona!); o lanzar un ataque de ransomware.

Imagine que el modelo Zero Trust es un guardia de seguridad extremadamente atento que revisa sus credenciales metódica y repetidamente antes de permitirle acceder al edificio de oficinas donde trabaja, incluso si ya le conoce. Después, repite ese proceso para verificar su identidad una y otra vez. 

El modelo Zero Trust se basa en una autenticación y autorización sólidas de cada dispositivo y persona antes de que tenga lugar cualquier acceso o transferencia de datos en una red privada, independientemente de si están dentro o fuera del perímetro de esa red. El proceso también combina análisis, filtrado y registro para comprobar el comportamiento y para observar continuamente las señales de riesgo. Si un usuario o dispositivo muestra indicios de que está actuando de manera diferente que antes, se tiene en cuenta y se supervisa como una posible amenaza. Por ejemplo, Marcus en Acme Co. suele iniciar sesión en Columbus, Ohio, en los Estados Unidos, pero hoy está intentando acceder a la intranet de Acme desde Berlín, Alemania. Aunque el nombre de usuario y la contraseña de Marcus se ingresaran correctamente, un enfoque Zero Trust reconocería la anomalía en el comportamiento de Marcus y tomaría medidas, como someter a Marcus a otra prueba de autenticación para verificar su identidad. 

Este cambio básico de estrategia acaba con muchas de las amenazas a la seguridad habituales. Los atacantes ya no pueden superar el foso para aprovecharse de las debilidades del perímetro y, posteriormente, de sus datos y aplicaciones confidenciales. Ya no hay foso que cruzar. Solo hay aplicaciones y usuarios, cada uno de los cuales debe autenticarse mutuamente y cuya autorización debe verificarse antes de concederse cualquier acceso. La autenticación mutua se produce cuando dos partes se autentican entre sí al mismo tiempo, como un usuario con unas credenciales y contraseña, y una aplicación con la que se conecta a través de un certificado digital.

El modelo de seguridad Zero Trust actual se ha ampliado. Sus principios se han implementado de muchas maneras, incluida la arquitectura Zero Trust (ZTA), el acceso de red Zero Trust (ZTNA) y Zero Trust Edge (ZTE). La seguridad Zero Trust también se denomina a veces "seguridad sin perímetro".

Zero Trust no se trata de una sola tecnología discreta, sino que la arquitectura Zero Trust utiliza numerosas tecnologías y principios diferentes para abordar los desafíos de seguridad comunes a través de técnicas preventivas. Estos componentes están diseñados para proporcionar protección avanzada contra amenazas a medida que las fronteras entre el trabajo y la vida personal se desdibujan, y tener una plantilla remota cada vez más distribuida se convierte en lo habitual.

• Se controlan los flujos de red entre todos los activos.
• Se comprueba la identidad y se proporciona acceso a la nube
• Autenticación y autorización, como la autenticación multifactor (MFA)
• Acceso a aplicaciones frente al acceso a toda la red
• Acceso del usuario a todas las aplicaciones con privilegios mínimos (IaaS, SaaS y locales).
• Eliminación de la VPN.
• Inserción de servicios.
• Seguridad en el borde de Internet.
• Mejora del rendimiento de las aplicaciones.
• Mejora de la estrategia de seguridad frente a amenazas avanzadas.

Una arquitectura Zero Trust funciona a la perfección para los usuarios, ayuda a protegerse de los ciberataques y simplifica los requisitos de infraestructura. Los distintos componentes de la arquitectura Zero Trust pueden:

Los equipos de TI tienen que asegurarse de que los usuarios y los dispositivos pueden conectarse de forma segura a Internet, independientemente de su ubicación de conexión, y sin las complejidades asociadas a los enfoques heredados. También deben identificar, bloquear y mitigar proactivamente las amenazas dirigidas, como el malware, ransomware, phishing, exfiltración de datos DNS y ataques avanzados de día cero para los usuarios. Los modelos de seguridad Zero Trust pueden mejorar las estrategias de seguridad, a la vez que reducen el riesgo de sufrir ataques de malware.

Tecnologías de acceso tradicionales, como VPN, se basan en principios de confianza anticuados, que son especialmente vulnerables debido al robo de credenciales de los usuarios y las consecuentes filtraciones de datos. Los equipos de TI deben replantearse sus tecnologías y su modelo de acceso para garantizar la seguridad de la empresa y que todos los usuarios, incluidos terceros, puedan seguir accediendo rápida y fácilmente. Los modelos de seguridad Zero Trust ayudan a reducir los riesgos y las complejidades, así como a ofrecer una experiencia de usuario uniforme.

El acceso y la seguridad empresarial son aspectos complejos y en constante cambio. Hacer cambios con las tecnologías empresariales tradicionales suele llevar días (y requiere muchos componentes de hardware y software) y acaparar recursos valiosos. Aplicar un modelo de seguridad Zero Trust puede reducir la complejidad de la arquitectura.

En resumen, la plantilla moderna se está volviendo cada vez más móvil, con acceso a aplicaciones desde varios dispositivos fuera del perímetro de la empresa. En el pasado, muchas empresas adoptaron un modelo basado en comprobar primero la identidad y, a continuación, confiar. Por tanto, si alguien tenía las credenciales de usuario correctas, podía acceder a cualquier sitio web, aplicación o dispositivo que desease. Esto ha traído consigo un mayor riesgo de exposición, difuminando lo que tradicionalmente había sido la zona de control empresarial de confianza y dejando a muchas organizaciones expuestas a ataques de filtración de datos, malware y ransomware. Ahora es necesario proteger las aplicaciones, los datos, los usuarios y los dispositivos allá donde se encuentren dentro de infraestructuras digitales específicas.

• Los usuarios, los dispositivos, los datos y las aplicaciones se están trasladando fuera del perímetro de la empresa y de la zona de control; se están alejando de los centros de datos tradicionales
• Los nuevos requisitos empresariales, impulsados por la transformación digital, incrementan el riesgo a la exposición.
• El enfoque "confiar, pero verificar" ya no es una opción, dado que las amenazas avanzadas ahora acceden al perímetro de la empresa.
• Los perímetros tradicionales son complejos, incrementan el riesgo y ya no son adecuados para los modelos de negocio actuales.
• Para ser competitivas, las empresas necesitan una arquitectura de red Zero Trust que sea capaz de proteger los datos empresariales, independientemente de la ubicación de los usuarios y los dispositivos, al tiempo que garantiza el funcionamiento rápido y óptimo de las aplicaciones.

Los servicios de seguridad en la nube de Akamai se pueden combinar para crear la solución Zero Trust completa que mejor se adapte a sus necesidades empresariales específicas. Al permitir un acceso seguro a las aplicaciones en un entorno de nube nativa, las redes corporativas internas pueden convertirse en cosa del pasado.

Con nuestra avanzada solución distribuida de ZTNA, junto con el poder de los más de 20 años de experiencia de la sólida e internacional Akamai Intelligent Edge Platform, puede cambiarse fácilmente a un entorno sin perímetro, introducir aplicaciones gradualmente una por una, proteger su empresa y facilitar el crecimiento.

Akamai MFA evita el robo de las cuentas del personal y las filtraciones de datos, además de proporcionar una seguridad inigualable. La seguridad se proporciona mediante criptografía integral y un flujo de desafío/respuesta sellado. Gracias a ello, el proceso de autenticación es confidencial y a prueba de phishing.

Una base para la arquitectura de seguridad Zero Trust

Guía práctica: Transformación a la seguridad Zero Trust