¿Qué es la seguridad de confianza cero?

La confianza cero es un modelo de seguridad que se usa para proteger a una organización, teniendo en cuenta que ninguna persona ni dispositivo es de confianza de forma predeterminada, aunque ya se encuentren en la red de la organización. El objetivo de la confianza cero es eliminar la confianza implícita aplicando una autenticación y una autorización estrictas de identidad en toda la red, no solo en un perímetro de confianza. En este modelo, cada solicitud de acceso a recursos se trata como si provenga de una red que no es de confianza hasta que se haya inspeccionado, autenticado y verificado. 

El analista de Forrester Research Johner Kindervag propuso por primera vez el modelo de seguridad de confianza cero en el 2010. Esto marcó una tendencia a alejarse de los modelos tradicionales de seguridad de TI, que se centran en defender el acceso en el perímetro de la red y en el que se presupone que todo lo que hay dentro es de confianza. 

Por desgracia, el enfoque tradicional ofrece un nivel bajo de defensa si los atacantes consiguen acceder a una red. Una vez en él, los atacantes se pueden mover libremente e intentar ampliar su acceso a datos y recursos de gran valor, una técnica conocida como "movimiento lateral". Esto es aún más problemático en los entornos de TI modernos, ya que los recursos y los datos están dispersos, lo que dificulta la implementación del control de seguridad en una red desde un solo punto. 

Una estrategia de confianza cero puede ayudar a las empresas a reforzar su seguridad del entorno de TI y a limitar o prevenir ataques. 

Consulta más información sobre cómo implementa Google su modelo de seguridad en la nube de confianza cero para pasar los controles de acceso del perímetro de red a usuarios y dispositivos concretos. 

Empezar gratis

Confianza cero definida

La confianza cero es un modelo de seguridad en la nube que está pensado para proteger las organizaciones modernas mediante la eliminación de la confianza implícita y la implementación estricta de la autenticación y la autorización de identidades. Si la confianza es cero, cada usuario, dispositivo y componente se considera que no es de confianza en todo momento, independientemente de si están dentro o fuera de la red de una organización. 

¿Cómo funciona la confianza cero?

La confianza cero elimina la idea de establecer un perímetro de red de confianza y asume que cualquier usuario o servicio que solicite acceso es una posible amenaza, independientemente de si están conectados a tu red o del número de veces que se han conectado antes. 

Aunque muchos usuarios simplificarían las definiciones de confianza cero como "confianza cero y nada" o "nunca confianza", son algo limitadas. El concepto de la confianza cero es que asumir la confianza en cualquiera o en cualquier cosa, incluso en los componentes subyacentes, de un sistema interconectado produce un riesgo de seguridad importante. La confianza debe establecerse y validarse de forma continua mediante políticas de seguridad contextuales y dinámicas, y distintos mecanismos tecnológicos. 

Esta estrategia aprovecha la microsegmentación mediante controles de políticas granulares para dividir la red en segmentos más pequeños y cargas de trabajo aisladas. Las políticas se basan en el contexto, según la identidad, la ubicación, el dispositivo, el contenido al que se accede y la aplicación. Las políticas son dinámicas, por lo que se evalúan periódicamente y se adaptan a medida que el contexto cambia.

De forma predeterminada, no se puede acceder a los datos ni a los recursos, y solo se les concede acceso estrictamente controlado después de que se hayan autenticado y autorizado. Este proceso se aplica a cualquier usuario o punto final conectado y la identidad se autentica de forma continua. Además, se registra todo el tráfico de red, se monitoriza y se analiza detenidamente en busca de señales de riesgo. 

Una forma más sencilla de enfocarla: Imagina que tu red e infraestructura son un sistema público de alto secreto y la confianza cero es el sistema de seguridad. Puede incluir seguridad perimetral estándar, alarmas y sensores para detectar accesos no autorizados. 

La confianza cero añade seguridad a todos los puntos de acceso dentro del perímetro. Todas las alas y todas las habitaciones del edificio están bloqueadas en todo momento, y las puertas se controlan mediante un sistema de acceso biométrico. Incluso después de pasar por el control de seguridad de la entrada principal, tendrás que escanear tu huella digital para demostrar tu identidad en cada puerta y solo podrás pasar por ella si tienes el permiso de seguridad. Solo puedes entrar en las zonas en las que tengas que entrar y quedarte el tiempo necesario para completar tu negocio. 

Los tres conceptos de confianza cero

El modelo de confianza cero incluye varias implementaciones actualmente, como el acceso a la red de confianza cero (ZTNA), la arquitectura de confianza cero (ZTA) y el límite de confianza cero (ZTE). No obstante, todas ellas se basan en los mismos conceptos básicos. 

Estos son los tres principios de confianza cero que moldean el modelo: 

  1. Suponiendo que todo el tráfico de red sea una amenaza en todo momento. La confianza cero ofrece la opinión de que cada usuario es hostil y de que las amenazas son omnipresentes, tanto dentro como fuera de la red. Por lo tanto, se denegará automáticamente el acceso a cualquier tráfico que no tenga un permiso explícito. Todos los dispositivos, usuarios y flujos de red se autentican, autorizan y validan cuando solicitan acceso de manera continua.
  2. Forzar el acceso con el privilegio mínimo. Las estrategias de seguridad de confianza cero conceden los privilegios mínimos y el acceso a los recursos necesarios cuando se necesitan sin que afecte a la capacidad de completar una tarea. El privilegio de menor privilegio contribuye a evitar que los atacantes se muevan de forma lateral a otros recursos más críticos si se vulnera una cuenta o un dispositivo. 
  3. Monitoriza siempre. El modelo de confianza cero fomenta la monitorización y el análisis continuos, y analiza y gestiona la actividad en la red en todo momento. Esto permite conocer en tiempo real qué entidades intentan acceder a los recursos e identificar posibles amenazas, incidentes activos y anomalías que se deben investigar. 

Los principios de confianza cero descritos originalmente por Forrester también se ajustan a los framework de confianza cero desarrollado por el instituto nacional de estándares y tecnología de Estados Unidos (NIST). Te recomendamos que leas el framework de NIST para ver los pasos prácticos necesarios para implementar un modelo de seguridad de confianza cero en tu organización. 

Ventajas de usar un modelo de confianza cero

Algunas de las quiebras de seguridad de los datos más prolíficas de hoy en día no son solo el resultado de que un atacante haya encontrado una forma de vulnerar el perímetro de la red. Con el auge del cloud computing y del teletrabajo, muchas organizaciones luchan por proteger entornos cada vez más distribuidos y un perímetro poroso. Ahora los datos se generan, almacenan y comparten en varios servicios, dispositivos, aplicaciones y personas, y se puede acceder a ellos desde cualquier parte del mundo.

Muchos atacantes han descubierto que aprovechar los puntos débiles de la red y la falta de cobertura en entornos de nube híbrida es un negocio lucrativo. Además, como se produce un incumplimiento cada vez más grave, la cuenta se ve comprometida por la ingeniería social y otras técnicas sofisticadas, por ejemplo, porque contiene amenazas internas de forma accidental o intencionada, y por prácticas de seguridad más débiles que se derivan de proveedores externos. 

Los equipos de seguridad ahora reconocen que hay tantas probabilidades de que provengan de dentro de la red que de una fuente externa. 

Las organizaciones han intentado implementar medidas de seguridad por capas orientadas a la protección, que ofrecen redundancias y medidas de seguridad alternativas en caso de que las mediciones fallen. Sin embargo, este enfoque suele ser caro y complejo de implementar, gestionar y mantener, en especial con la necesidad de adaptar y modificar todo constantemente a medida que se introducen nuevos sistemas, personas, servicios y dispositivos.  

Este modelo de confianza cero incorpora estrategias de defensa reforzada, pero su objetivo es minimizar la superficie de amenazas y crear entornos que sean inherentemente seguros sin tener que identificar y mitigar todas las amenazas posibles. El objetivo es detener el acceso a los recursos esenciales y evitar que los atacantes se desplacen lateralmente a través de la red en tiempo real. Además, ofrece un enfoque de seguridad unificado que ofrece una protección completa y adaptable para los entornos distribuidos, al tiempo que permite el acceso seguro.  

Ventajas del modelo de confianza cero

Visibilidad mejorada

La seguridad de confianza cero requiere que las empresas sepan dónde se encuentran los recursos y monitoricen continuamente qué identidades acceden a los recursos y cómo. Esto mejora la visibilidad y el contexto del tráfico, el inventario de recursos y la gestión de riesgos. 

Limitar el alcance de las quiebras de seguridad

Dado que a las identidades se les concede el privilegio mínimo, la confianza cero ayuda a limitar el alcance de los daños si se produce una quiebra de seguridad. De esta forma, los equipos pueden responder y mitigar los ataques más rápido, y se reduce el riesgo de exposición. 

Control de acceso en entornos de TI modernos

Con una arquitectura de confianza cero, las políticas de seguridad se basan en su identidad y se asocian a cargas de trabajo específicas. Esto pone la seguridad cerca de los recursos que se protegen, de modo que puede viajar con la carga de trabajo, independientemente del entorno. 

Seguridad coherente y adaptable

Las políticas de seguridad se gestionan de forma centralizada en modelos de confianza cero y utilizan la automatización para migrar y actualizar las políticas según el contexto. La seguridad es más ágil y escalable y reduce la carga a los administradores. 

Menor riesgo y superficie de ataque

La confianza cero aísla el tráfico y crea segmentos de red que impiden el movimiento lateral y evita que las posibles infecciones se propaguen a los recursos esenciales. Se puede inspeccionar cualquier actividad sospechosa y volver a verificar la identidad con políticas y controles, lo que reduce las posibilidades de que se produzca una quiebra de seguridad. 

Cumplimiento continuo

Cuando la confianza es cero, todo el tráfico y todas las solicitudes se registran y se evalúan. Además, se bloquea el acceso a los recursos. Esto no solo proporciona un registro de auditoría claro si se produce una quiebra de seguridad, sino que también facilita la prueba de que has hecho todo lo posible para cumplir los requisitos y estándares de privacidad de datos. 

Retos relacionados con el uso del modelo de confianza cero

Obviamente, todas las estrategias conllevan sus retos. Hacer el cambio a la confianza cero puede llevar años y requiere una minuciosa planificación.

Estos son algunos de los mayores desafíos a los que se enfrenta la confianza cero: 

  • Coherencia. Si se utiliza correctamente, la confianza cero puede proporcionar una mayor seguridad como se anuncia. Sin embargo, también es necesario que las organizaciones sean coherentes con su estrategia. La mayoría de las organizaciones tendrán que hacer cambios por fases a medida que dejen de tener las soluciones de seguridad tradicionales, pero también tendrán que asegurarse de que no haya lagunas por el camino. 
  • Inhibición de la productividad. La confianza cero añade pasos de seguridad adicionales a la mayoría de los flujos de trabajo y puede afectar a la productividad si se implementan de forma incorrecta. La clave está en encontrar el equilibrio adecuado en la estrategia entre apoyar el trabajo y alcanzar una posición de seguridad sólida. Si los procesos son demasiado molestos, los usuarios podrían intentar eludirlos. 
  • Combate de las amenazas internas. Aunque la confianza cero puede ayudar a mitigar las amenazas internas con un acceso mínimo a los privilegios, esto no es una mala señal. Los atacantes suelen encontrar formas de obtener acceso robando credenciales mediante tácticas como la suplantación de identidad (phishing) o el miedo, para engañar a los usuarios y conseguir que compartan información sensible. En el peor de los casos, es posible que te estés enfrentando a una intención de parte malintencionada para abusar de sus privilegios. Para que la confianza cero sea eficaz contra las amenazas internas, debes poder monitorizar y detectar las anomalías de los patrones en toda la organización.
  • Mantener las políticas y la arquitectura. Como tu empresa no deja de crecer y evolucionar, es necesario actualizar siempre las políticas de confianza cero y las estructuras de permisos. Los modelos de confianza cero se basan en políticas definidas de forma precisa y una administración eficaz de políticas, que también se debe mantener y configurar de forma proactiva para evitar quiebras de seguridad. 

¿Necesitas inspiración? Resolvamos juntos los retos a los que te enfrentas.

Los nuevos clientes reciben 300 USD en crédito gratis para invertirlos en Google Cloud.
Empezar
Habla con un especialista del equipo de ventas de Google Cloud para analizar el caso concreto de tu empresa con más detalle.
Contacta con nosotros

Ve un paso más allá

Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.

Empezar gratis
Google Cloud
DocumentosAsistencia
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Consola
Iniciar sesión
Empezar gratis
Contactar
  • Agiliza tu transformación digital
  • Tanto si tu negocio ya está inmerso en la transformación digital como si aún se encuentra en la etapa inicial, Google Cloud puede ayudarte a hacer frente a los retos más difíciles.
  • Productos de Google Cloud
  • Descubre más de 100 productos. Los nuevos clientes reciben 300 USD en crédito gratis para ejecutar, probar y desplegar cargas de trabajo. Todos los clientes pueden usar más de 25 productos de forma gratuita hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque de transparencia sobre los precios
  • El modelo de pago por uso de Google Cloud ofrece ahorros automáticos en función del uso mensual y de las tarifas con descuento para los recursos de prepago. Ponte en contacto con nosotros y solicita un presupuesto.
Google Cloud