El panorama de amenazas de hoy consiste en actores malos calificados, organizados y bien financiados. Tienen muchos objetivos, incluida la extracción de datos confidenciales por motivos políticos o económicos. Para combatir estas amenazas múltiples, se requiere que el mercado de ciberseguridad se expanda a un ritmo aún mayor.
Los líderes de TI deben evolucionar su marco de seguridad si quieren adelantarse a las amenazas cibernéticas. La evolución en seguridad que estamos presenciando tiene una inclinación hacia el modelo Zero-Trust y el perímetro definido por software (SDP), también llamado "Nube Negra". El principio de su diseño se basa en el modelo de necesidad de conocer..
El modelo Zero-Trust dice que cualquiera que intente acceder a un recurso debe ser autenticado y autorizado primero. Los usuarios no pueden conectarse a nada ya que los recursos no autorizados son invisibles, quedan en la oscuridad. Para una protección adicional, el modelo Zero-Trust se puede combinar con el aprendizaje automático (ML) para descubrir el comportamiento riesgoso del usuario. Además, se puede aplicar para acceso condicional.
Esencialmente, la segmentación uno a uno Zero-Trust garantiza el acceso con menos privilegios y reduce la superficie de ataque a un mínimo absoluto. Previene cualquier movimiento lateral dentro de la red, eliminando así muchos ataques conocidos basados en la red, incluidos el escaneo del servidor, la denegación de servicio, la inyección de SQL, el sistema operativo, las vulnerabilidades de vulnerabilidad de la aplicación y el intermediario, por nombrar algunos. . La segmentación uno a uno no es solo una dirección IP a una dirección IP, sino también a servicios (puertos) y aplicaciones.
El movimiento lateral es una técnica común que los malos actores usan para navegar entre segmentos o dentro de ellos con la intención de comprometer activos valiosos. Se mueven con cuidado y a menudo pasan desapercibidos durante meses, si no años. Un hacker descubriría, identificaría y luego atacaría dispositivos en una red. Por lo general, un pirata informático apuntaría y comprometería fácilmente los dispositivos (servidores sin parches) y luego dejaría paso a activos más valiosos. Si bien se puede asegurar "la puerta principal" de un servidor, existen muchas puertas traseras que también se deben asegurar en términos de administración, registro y otros usos del tráfico.
Cuando examinamos nuestro pasado, descubrimos que hemos dado pasos significativos en la evolución de nuestro pensamiento relacionado con la seguridad. Por ejemplo, hemos pasado de la autenticación de un solo factor a la autenticación de dos factores y ahora a la autenticación de múltiples factores. También hemos pasado del tráfico en movimiento sin cifrar al tráfico en movimiento, lo que da como resultado que un alto porcentaje de las aplicaciones estén cifradas con la seguridad de la capa de transporte (TLS).
Zero-Trust es la próxima gran megatendencia que nos permite defendernos contra los cibercriminales internos y externos. El mercado tecnológico ha surgido constantemente. Si examina las arquitecturas de seguridad anteriores, podría decir que no hemos tenido otra opción que llegar aquí. Los objetivos comerciales deben cumplir con las soluciones de seguridad y solo porque tenga un martillo, no significa que todo sea un clavo. Es una suposición común que muchas infracciones tienen un vector interno donde un usuario o malware permite que un actor externo obtenga acceso.
Arquitecturas obsoletas anteriores
Las arquitecturas tradicionales con control de admisión de red (NAC) y los tipos de acceso de red privada virtual (VPN) se basan en el supuesto de que el mundo exterior es malo y el interior es bueno; sin amenazas.
La realidad es que ha habido un rápido aumento en los ataques exitosos que tienen un componente malicioso, ya sea un usuario interno o un dispositivo que ha sido comprometido. Así que ya no tenemos una red confiable y puntos claros de demarcación. Es bastante desafortunado y triste decir que los usuarios dentro de una red no son más confiables que los que están fuera de la red..
El perímetro mientras todavía existe es más fluido que en el pasado. La premisa de la arquitectura tradicional era tener un perímetro fijo. El perímetro solo se volvería más fluido, no solo con la introducción de nuevas tecnologías sino también con los avances de los nuevos modelos de negocio, como tener una serie de API para varios proveedores. Los puntos de demarcación del negocio y sus soluciones se han vuelto mucho más confusos que en el pasado..
Zero-Trust es una realidad, no solo una presentación de PowerPoint. Hay productos reales como SDP, que es un grupo de trabajo y una arquitectura propuesta que trae Zero-Trust al mercado.
Perímetro definido por software (SDP)
El grupo SDP está impulsando la seguridad Zero-Trust. Su objetivo es desarrollar una solución para evitar ataques de red contra la aplicación. Inicialmente, fue el trabajo realizado en la Agencia de Sistemas de Información de Defensa (DISA) en el marco de la iniciativa Black Core Network de Global Information Grid (GIG) durante 2007.
Sus conceptos iniciales se basaban en una red superpuesta y un cliente de software, que no integraban fundamentalmente la Gestión de Identidad y Acceso (IAM) con la red IP subyacente. Sin embargo, abogan por muchos principios que se utilizan en el modelo Zero-Trust.
El producto comercial consta de una serie de componentes, como un cliente SDP, controlador y puerta de enlace.
El cliente SDP maneja una amplia gama de funciones que varían desde la verificación de la identidad del dispositivo y del usuario hasta el enrutamiento de aplicaciones locales incluidas en la lista blanca, hasta aplicaciones remotas protegidas autorizadas. Se configura en tiempo real para garantizar que la VPN TLS mutua basada en certificados solo se conecte a los servicios para los que el usuario ha autorizado.
El controlador SDP funciona como un intermediario de confianza entre el cliente y los controles de seguridad del backend. El controlador lleva la autoridad de certificación (CA) y el proveedor de identidad (IP) tiene funciones. Tras la validación del cliente, el controlador configura ambos; el cliente SDP y la puerta de enlace en tiempo real para establecer una conexión TLS mutua.
La terminación en el controlador es similar al concepto de señalización en redes de voz. Hoy en las redes telefónicas, inicialmente recibimos la señal y se establece una llamada antes de permitir que los medios pasen.
Esto es equivalente a tener un protocolo de inicio de sesión (SIP) y una sesión de protocolo de control de transmisión (TCP). Llevamos a cabo la señalización para asegurarnos de que estamos autenticados y autorizados. Solo entonces se nos permite comunicarnos con el extremo remoto.
Luego tenemos la puerta de enlace SDP. Se recomienda tener la puerta de enlace SDP implementada topológicamente, más cerca de la aplicación protegida.
La arquitectura SDP proporciona una serie de propiedades de seguridad valoradas cuando se combinan juntas:
- Ocultación de información: Con las VPN, utiliza un nombre DNS del servidor VPN, pero con SDP nunca puede ver el nombre DNS del punto final ya que el controlador SDP se encuentra en el medio, actuando como el intermediario del túnel.
- Accesibilidad: No se puede acceder a la información de DNS ni a los puertos visibles de la aplicación protegida. Esencialmente, los activos protegidos SDP se consideran "oscuros", lo que significa que no se pueden detectar.
- Autenticación previa: SDP autentica previamente y valida las conexiones. La identidad del dispositivo se verifica antes de que se otorgue la conectividad. Esto se puede determinar a través de un token MFA integrado en la configuración de la conexión TCP o TLS.
- Preautorización: Los usuarios tienen acceso solo a las aplicaciones que son apropiadas para su rol mientras están sincronizados con la asignación de políticas.
- Acceso a la capa de aplicación: Es una conexión uno a uno entre los usuarios y los recursos. Los usuarios solo tienen acceso a una capa de aplicación y no a toda la red que se encuentra debajo.
- Extensibilidad: SDP se basa en componentes probados basados en estándares, como los certificados mutuos TLS, SAML y X.509. La tecnología basada en estándares garantiza una fácil integración con otros sistemas de seguridad, como el cifrado de datos.
Para Zero-Trust, otros casos de uso del mundo real vienen en forma de segmentación de puntos de venta y otorgan acceso de terceros a su infraestructura de red.
Caso de uso: segmentación de punto de venta
Las tecnologías de segmentación de red actuales son limitadas debido a sus dependencias de capa 2 y 3 del modelo de interconexión de sistemas abiertos (OSI). VxLAN es la opción de segmentación dentro del centro de datos. Por lo tanto, las LAN virtuales (VLAN) se encuentran en oficinas y enrutamientos y reenvíos virtuales (VRF) a través de la red de área amplia (WAN). Sin embargo, el problema con estos mecanismos de segmentación de capa 2 y 3 es que solo usan la dirección de control de acceso a los medios (MAC) o las direcciones IP y no más variables inteligentes para la formulación de políticas.
El problema actual con, por ejemplo, la segmentación de VLAN es que solo se segmenta a un dispositivo específico. Sin embargo, si tiene un servidor de la industria de tarjetas de pago (PCI), es posible que desee mantener el tráfico PCI separado del otro tráfico, por ejemplo, el directorio u Office 356. Fundamentalmente, ZT le permite segmentar el tráfico futuro dentro de un dispositivo a nivel de servicio / aplicación.
ZT es una segmentación uno a uno del dispositivo del usuario y el servicio / aplicación. Elige un dispositivo y realiza un mapeo uno a uno de un servicio y no una aplicación. Puede segmentar el tráfico de red no solo en función de la dirección MAC o IP del dispositivo, sino que también puede segmentar el tráfico en función del servicio y la aplicación del usuario.
Caso de uso: acceso de terceros
Por ejemplo, supongamos que tenemos un tercero que realiza soporte técnico para una organización. Un banco puede tener una base de datos Oracle que ejecuta aplicaciones clave, con las que tiene problemas. Por lo tanto, se necesita un socio externo para acceder a la situación. ¿Cómo se hace esto de manera que el miembro de soporte externo no pueda ver ni hacer nada más en el centro de datos??
Con el modelo Zero-Trust, esa persona puede acceder a ese servidor en un momento específico con un MFA específico y un número de ticket de problema específico. Por lo tanto, si regresan en 4 horas, no se les otorga acceso.
Esto es en comparación con el acceso de terceros común de hoy. Una vez que tenga acceso VPN a LAN, puede ver e ir a todo lo demás. Zero-Trust le permite aislar a un servidor específico con una dirección IP y un número de puerto de un puerto de origen y una dirección IP específicos.
Además, hay tantas otras variables que puede tener en cuenta. Zero-Trust es multivariable, dinámico y no estático. Proporciona a los usuarios acceso único a una aplicación solicitada, mientras que todos los demás recursos están ocultos sin otorgar acceso a toda la red..
Proyecto BeyondCorp de Google
La iniciativa BeyondCorp de Google se está moviendo hacia un modelo que prescinde de una red corporativa privilegiada. En cambio, el acceso depende únicamente de las credenciales del dispositivo y del usuario, independientemente de la ubicación de la red del usuario..
Todo el acceso a los recursos empresariales está totalmente autenticado, autorizado y
cifrado, según el estado del dispositivo y las credenciales del usuario. Como resultado, todos los empleados pueden trabajar desde cualquier red y sin la necesidad de una conexión VPN tradicional.
Hay tres beneficios principales de mudarse a un Zero-Trust. El primero es la eliminación de las fronteras de las redes públicas y privadas y el tratamiento de todas las redes IP públicas y privadas con la misma política de Zero-Trust. Este es el mundo en el que vivimos hoy, por lo tanto, debemos actuar en consecuencia.
El segundo es el desacoplamiento de la seguridad de la red IP subyacente y la adición de la inteligencia de la capa 5 de OSI al límite de las redes. Esta arquitectura es un movimiento en la dirección correcta para luchar contra los cibercriminales. Sin embargo, nos obliga a repensar cómo podríamos implementar la seguridad hoy. Al igual que los firewalls NG se están moviendo más arriba en la pila, de manera similar, los enrutadores de próxima generación deben hacer lo mismo.
Siendo realistas, las VPN ya no están de moda. Los usuarios no quieren pasar el tiempo configurándolos, además, los administradores de seguridad se están moviendo a un modelo Zero-Trust. Google, por ejemplo, ha facilitado que todos sus empleados puedan trabajar desde cualquier lugar sin necesidad de VPN. Han tenido esta característica de accesibilidad en su lugar durante un par de años y ha tenido mucho éxito al garantizar un alto nivel de seguridad al tiempo que permite a los usuarios trabajar desde cualquier lugar.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
