Confianza cero

Mejora de la postura de la empresa en cuanto a seguridad

La arquitectura de confianza cero del NIST se alinea con la plataforma IAM completa de CyberRes

El 68 % está muy de acuerdo con que la confianza cero es una estrategia necesaria para proteger su negocio

El 53 % considera que la confianza cero es más proactiva que los enfoques tradicionales

El 33 % considera que la confianza cero es la única manera de combatir ataques sofisticados

Fuente: Encuesta sobre la dinámica de mercado de confianza cero de Ericom 2021

La arquitectura de confianza cero (ZTA) del NIST ofrece valor real a las organizaciones que buscan orientación, ya que identifican maneras de elevar su postura de seguridad a la vez que minimizan el impacto de la facilidad de uso para sus usuarios.

Hoy en día, el cambio de paradigma de la nube es la corriente principal, lo que hace que la identidad sea la mejor opción como el nuevo perímetro de seguridad, especialmente en conjunto con las tendencias BYOD y WFH. Es este cambio el que hace que la gestión de acceso e identidades (IAM) esté en el centro de las prácticas de confianza cero del NIST.

El NIST afirma que la intención de una ZTA es "garantizar que el sujeto sea auténtico y que la solicitud sea válida". El documento 800-207 del NIST describe 7 principios clave.

1

Principio 1: Todas las fuentes de datos y servicios informáticos se consideran recursos.

Esta perspectiva habla de la variedad de recursos que llenan el entorno digital de una organización y que, en última instancia, deben protegerse. Si bien la IAM no protege los routers ni los firewalls, un enfoque de IAM integral comienza con una capacidad de Identity Manager que permite a las organizaciones gestionar las identidades de una amplia variedad (sistemas, servicios, aplicaciones, bases de datos, ERP, servicios de suite empresarial, etc.) para proteger el acceso a miles de millones de recursos. Este gestor de identidades (IDM) debe estar impulsado por eventos y normalizar la información de identidad a través de recursos dispares, incluso dispositivos IoT. A continuación, el Control de identidades (IG) eleva las capacidades de gestión de IDM al nivel de la empresa para proporcionar una visión empresarial del control y la notificación de quién tiene acceso a qué. Las organizaciones también pueden mejorar su postura de seguridad mediante la automatización del proceso de solicitud y aprobación.

Principio 2: Toda comunicación está protegida independientemente de la ubicación de la red.

La realidad del acceso remoto y de los servicios basados en la nube ha hecho que este principio pase a un primer plano. La federación simple no aborda este principio. Dejémoslo claro. La federación por sí sola entre un proveedor de servicios y su proveedor de identidades no aborda este principio. Más bien, una vez autenticado el peticionario, la comunicación pasa a ser puramente entre el proveedor de servicios y su consumidor. Una solución tiene que proporcionar una comunicación segura entre el gateway y el proveedor de identidades (IdP).

2

3

Principio 3: El acceso a los recursos individuales de la empresa se concede por sesión.

La información dinámica puede conducir a una implementación más sofisticada (potencialmente más segura o con mayor facilidad de uso) del acceso "por sesión" a los recursos. Este principio requiere que cada solicitud de acceso se evalúe antes de que se conceda, y luego se gestione hasta su finalización.

Principio 4: El acceso a los recursos está determinado por una política dinámica, que incluye el estado observable de la identidad del cliente, la aplicación o el servicio, y el activo solicitante, y puede incluir otros atributos de comportamiento y del entorno.

Este principio subraya las ventajas de adoptar un enfoque de plataforma para la gestión de acceso e identidades (IAM). Es un punto importante porque muchas organizaciones adoptan un enfoque fragmentario para la IAM, lo que limita su ZTA.

4

5

Principio 5: La empresa supervisa y mide la integridad y la postura de seguridad de todos los activos propios y asociados.

Este principio puede ser un poco confuso, por lo que he aquí una aclaración adicional: "Una empresa que implementa una ZTA debe establecer un sistema de diagnóstico y mitigación continuos (CDM) o un sistema similar para supervisar el estado de los dispositivos y las aplicaciones".

Principio 6: Todas las autenticaciones y autorizaciones de recursos son dinámicas y se aplican estrictamente antes de permitir el acceso.

Según el NIST, "se trata de un ciclo constante de obtención de acceso, búsqueda y evaluación de amenazas, adaptación y reevaluación continua de la confianza en la comunicación en curso... La supervisión continua con posible reautenticación y reautorización se produce a lo largo de las transacciones de los usuarios, según lo definido y aplicado por la directiva (p. ej., basada en el tiempo, nuevo recurso solicitado, modificación de recursos, actividad anómala del sujeto detectada), que se esfuerza por lograr un equilibrio entre seguridad, disponibilidad, facilidad de uso y rentabilidad".

6

7

Principio 7: La empresa recopila la mayor cantidad de información posible sobre el estado actual de los activos, la infraestructura de red y las comunicaciones, y la utiliza para mejorar su postura de seguridad.

La gestión de acceso e identidades de NetIQ ofrece una plataforma completa que se ajusta a los principios de confianza cero del NIST.

"Guía del comprador de IGA: selección de la solución de administración y control de identidades correcta"

A continuación: