John Kindervag, ex analista de Forrester Research, fue el primero en introducir el modelo Zero-Trust en 2010. El enfoque se centró más en la capa de aplicación. Sin embargo, una vez que escuché que Sorell Slaymaker de Techvision Research estaba presionando el tema a nivel de red, no pude resistirme a llamarlo para hablar sobre los generales en Zero Trust Networking (ZTN). Durante la conversación, iluminó numerosos hechos conocidos y desconocidos sobre Zero Trust Networking que podrían resultar útiles para cualquiera.
El mundo tradicional de las redes comenzó con dominios estáticos. El modelo de red clásico dividía a los clientes y usuarios en dos grupos: confiables y no confiables. Los de confianza son los que están dentro de la red interna, los que no son de confianza son externos a la red, que podrían ser usuarios móviles o redes asociadas. Para relanzar lo que no es de confianza para convertirse en confiable, normalmente se usaría una red privada virtual (VPN) para acceder a la red interna.
La red interna se dividiría en varios segmentos. Un flujo de tráfico típico entraría en la zona desmilitarizada (DMZ) para inspección y desde allí se podría obtener acceso a los recursos internos. Los usuarios tienen acceso a la capa de presentación. La capa de presentación se comunicaría con la capa de aplicación, que a su vez accedería a la capa de la base de datos. Finalmente, esta arquitectura exhibió mucho tráfico de norte a sur, lo que significa que la mayoría del tráfico entraría y saldría del centro de datos.
El nacimiento de la virtualización cambió muchas cosas, ya que tuvo un impacto notable en los flujos de tráfico. Ahora había una gran cantidad de aplicaciones dentro del centro de datos que requerían comunicación cruzada. Eso desencadenó un nuevo flujo de tráfico, conocido como este a oeste. El desafío para el modelo tradicional es que no proporciona ninguna protección para los flujos de tráfico de este a oeste.
Las redes tradicionales se dividen en varios segmentos que generalmente se ven como zonas. Era una práctica común agrupar tipos de servidores similares en zonas sin controles de seguridad para filtrar el tráfico interno. Por lo general, dentro de una zona determinada, los servidores pueden comunicarse libremente entre sí y compartir un dominio de difusión común.
Si un mal actor encuentra una vulnerabilidad en uno de los servidores de su base de datos en esa zona, el mal actor podría moverse con facilidad para tratar de comprometer otros servidores de bases de datos. Así es como surgió el modelo de redes y seguridad. Desafortunadamente, sigue siendo la arquitectura empresarial común que se usa hoy en día. Está desactualizado y no es seguro, pero sigue siendo el más ampliamente adoptado. En estos tiempos, debes estar en el lado correcto de la seguridad.
Los malos actores siempre buscarán el eslabón más débil y una vez que el vínculo se ve comprometido, pasan desapercibidos en busca de activos de mayor objetivo. Por lo tanto, no solo necesita proteger el tráfico de norte a sur, sino también proteger de este a oeste. Para cerrar la brecha pasamos por varias fases.
Microsegmentación
La práctica actual mejor y más preferida para proteger el tráfico de este a oeste es la microsegmentación. La microsegmentación es un mecanismo mediante el cual segmenta el cómputo virtualizado de los usuarios. Reduce aún más la superficie de ataque al reducir el número de dispositivos y usuarios en cualquier segmento dado. Si un mal actor obtiene acceso a un segmento en la zona de datos, no podrá comprometer a otros servidores dentro de esa zona..
Miremos desde una perspectiva diferente. Imagine que Internet es como nuestro sistema de carreteras y que todas las casas y apartamentos son computadoras y dispositivos en la carretera. En este escenario, la microsegmentación define el vecindario y la cantidad de personas que viven en el vecindario. Todos en el vecindario tienen la capacidad de navegar hasta su puerta e intentar acceder a su casa. Aquí, tenemos que suponer que menos personas en el vecindario, menos probable es que su casa sea robada.
Del mismo modo, en el caso de la microsegmentación, no solo segmentamos nuestras aplicaciones y servicios, sino que también comenzamos a segmentar a los usuarios. Segmenta a diferentes usuarios utilizando diferentes redes en diferentes segmentos. Fue un paso en la dirección correcta ya que hoy controla los movimientos de tráfico tanto de norte a sur como de este a oeste, aislando aún más el tamaño de los dominios de transmisión.
Viene con algunos inconvenientes también. Uno de los mayores defectos es que se centra en la dirección IP y depende de clientes VPN o NAC que no es compatible con Internet de las cosas y se basa en reglas binarias. Utilizamos un proceso binario de toma de decisiones; permitir o negar. Una ACL realmente no hace mucho. Puede permitir o denegar una IP o número de puerto, pero es un proceso binario estático..
De hecho, para las aplicaciones actuales, necesitamos usar sistemas más inteligentes, por lo que se pueden usar criterios adicionales junto con permitir o denegar. Comparativamente, los firewalls de NextGen pueden tomar decisiones más inteligentes. Consisten en reglas que, por ejemplo, permiten que un par de origen y destino se comuniquen solo durante ciertas horas hábiles y desde ciertos segmentos de red. Son más granulares y también pueden registrarse si el usuario ha pasado el proceso de autenticación multifactor (MFA).
La capa de sesión
¿Dónde tiene lugar todo el trabajo inteligente? La capa de la sesión! La capa de sesión proporciona el mecanismo para abrir, cerrar y administrar una sesión entre usuarios finales y aplicaciones. Las sesiones son con estado y de extremo a extremo.
Es la capa de sesión mediante la cual se controlan el estado y la seguridad. La razón por la que tenemos firewalls es que los enrutadores no administran el estado. Los Middleboxes se agregan para administrar el estado, es en el nivel de estado donde sale todo el control de seguridad, como el cifrado, la autenticación, la segmentación, la administración de identidad y la detección de anomalías, por nombrar algunos.
Para tener una red altamente segura de Zero-Trust, la red debe ser más inteligente, debe ser consciente de la capa 5 para administrar el estado y la seguridad. Como esto es específico de la red, aún debe tener controles de seguridad apropiados más arriba en la pila.
En algún momento, en lugar de requerir el atornillado en todos estos "middleboxes", los enrutadores de red deben proporcionar estas funciones de forma nativa en las redes definidas por software (SDN) de la próxima generación, que separan el plano de datos del plano de control.
Hoy, estamos presenciando mucha atención en el mercado SD-WAN. Sin embargo, SD-WAN utiliza túneles y superposiciones como IPsec y LAN virtual extensible (VXLAN) que carecen de controles de seguridad y rendimiento de aplicaciones de extremo a extremo..
Dentro de una SD-WAN no tiene muchos controles de seguridad. Los túneles son punto a punto, no de extremo a extremo. Todas las sesiones pasan por un solo túnel y en el túnel; no tienes controles de seguridad para ese tráfico.
Aunque se están haciendo progresos y nos estamos moviendo en la dirección correcta, no es suficiente. Necesitamos comenzar a pensar en la siguiente fase: Zero Trust Networking. Debemos ser conscientes del hecho de que en un mundo ZTN, todo el tráfico de red no es de confianza.
Presentación de redes de confianza cero
El objetivo de Zero Trust Networking es detener el tráfico malicioso en el borde de la red antes de que se le permita descubrir, identificar y apuntar a otros dispositivos en red.
Zero-Trust en su forma más simple ha mejorado la segmentación a un modelo uno a uno. Lleva la segmentación hasta los puntos finales absolutos de cada usuario, dispositivo, servicio y aplicación en la red.
Dentro de este modelo, los elementos protegidos pueden ser usuarios, 'cosas', servicios o aplicaciones. La verdadera definición es que no se permite establecer ninguna sesión de protocolo de datagrama de usuario (UDP) o protocolo de control de transmisión (TCP) sin autenticación y autorización previa.
Estamos haciendo la segmentación hasta el punto final. En un mundo de confianza cero, la primera regla es negarlo todo. Literalmente, no confías en nada y luego comienzas a abrir una lista blanca, que puede ser tan dinámica y granular como necesites..
Mi primera reacción a Zero Trust Networking fue que este tipo de modelo uno a uno debe agregar un peso serio a la red, es decir, ralentizarlo, agregar latencia, etc. Sin embargo, ese no es el caso, solo necesita la capacidad de controlar el primer conjunto de paquetes. Solo tiene que permitir que se establezca la sesión. En el mundo TCP, es el proceso TCP SYN y SYN-ACK. Durante el resto de la sesión, puede permanecer fuera de la ruta de datos.
Un administrador de red debe pasar el tiempo para comprender realmente a los usuarios, las cosas, los servicios, las aplicaciones y los datos en su red. Además, el gerente debe evaluar quién tiene acceso a qué. La buena noticia es que mucha de esta información ya existe en los directorios de IAM que solo deben asignarse a la red enrutada.
¿Cómo se mide la seguridad??
Sería una buena idea preguntarse. ¿Cómo mido mi vulnerabilidad de seguridad? Si no puede medirlo, ¿cómo puede manejarlo? Necesitamos poder calcular la superficie de ataque.
Con ZTN, ahora tenemos una fórmula que básicamente calcula la superficie de ataque de la red. Esta es una forma efectiva de medir los riesgos de seguridad del acceso a la red. Cuanto más baja sea la superficie de ataque, más seguros estarán los activos de la red..
Antes de Zero-Trust, una de las variables para la superficie de ataque era el dominio de difusión. Era un host final que podía enviar un protocolo de resolución de dirección de transmisión (ARP) para ver si había algo más en la red. Esta fue una superficie de ataque sustancial.
La superficie de ataque esencialmente define qué tan abierta está la red al ataque. Si instala, por ejemplo, una cámara de vigilancia IoT, la cámara solo debería poder abrir una sesión de seguridad de capa de transporte (TLS) en un conjunto seleccionado de servidores. Bajo este modelo, la superficie de ataque es 1. Con la propagación automática de malware con millones de dispositivos IoT inseguros, es una necesidad en los tiempos actuales.
El mejor número de superficie de ataque es obviamente 1, pero el número de redes mal diseñadas podría ser significativamente mayor. Por ejemplo, al agregar una cámara de vigilancia IoT a una LAN de almacén que tiene otros 50 dispositivos conectados y la cámara tiene 40 puertos abiertos, pero no está encriptada, y no hay reglas de direccionalidad sobre quién puede iniciar una sesión. Esto da como resultado una superficie de ataque de hasta 200,000 veces, lo que es una gran brecha en la superficie de ataque. Esta brecha es el nivel de exposición al riesgo..
El perímetro se está disolviendo.
El perímetro ha disuelto sus usuarios, cosas, servicios, aplicaciones y los datos están en todas partes. A medida que el mundo se mueve hacia la nube, los dispositivos móviles y el IoT, la capacidad de controlar y proteger todo en la red ya no está disponible..
Los controles de seguridad tradicionales como el Control de acceso a la red (NAC), los firewalls, la protección contra intrusiones y las Redes privadas virtuales (VPN) se basan en el supuesto de que hay un perímetro seguro. Una vez que obtiene acceso a la LAN, se supone que todo es de confianza automáticamente. Este modelo también supone que todos los puntos finales ejecutan el mismo cliente VPN o NAC, lo cual es difícil de aplicar en este mundo digital distribuido.
Zero-Trust afirma lo contrario. Todo ya sea adentro o afuera está más allá del dominio de la confianza. Esencialmente, nada en la red es confiable. Cada sesión que un usuario crea con otros usuarios o aplicaciones debe ser autenticada, autorizada y contabilizada en el borde de la red donde se establece la sesión de red..
Hoy, todos pueden salir de su casa, viajar a su casa y llamar a su puerta. Sin embargo, es posible que no tengan las llaves para abrir la puerta, pero pueden esperar una vulnerabilidad, como una ventana abierta.
Por el contrario, la ZTN dice que a nadie se le permite salir de su casa y llamar a su puerta sin la debida autenticación y autorización. Comienza con la premisa de que el tráfico malicioso debe detenerse en su origen, no después de que haya penetrado en la red tratando de acceder a un punto final o aplicación.
Resumen
Definir una postura de seguridad de red con un valor predeterminado de denegar todo el acceso a la red y luego crear listas blancas finalmente reducirá el riesgo de ataques DDoS, infecciones de software malicioso y violaciones de datos.
Si un mal actor ni siquiera puede llegar a la "puerta de entrada" de un activo, ¡entonces no tendrá la capacidad de ir al siguiente paso e intentar violarlo! Los viejos tiempos de "enchufar y orar" no funcionan en la era actual. Por lo tanto, las redes deben volverse lo suficientemente inteligentes como para permitir solo fuentes autenticadas y autorizadas. En un mundo digital, no se debe confiar en nada.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
