Por qué las VPN y los cortafuegos no pueden construir una arquitectura zero trust

En el panorama de amenazas en rápida evolución de hoy, está claro que las medidas de seguridad perimetral tradicionales no pueden proteger a las organizaciones de ciberataques sofisticados. El auge del trabajo remoto, la computación en la nube y las sofisticadas ciberamenazas relacionadas con la IA han sacado a la luz nuevos y peligrosos delitos cibernéticos. Como resultado, las organizaciones se enfrentan a una necesidad urgente de una estrategia de seguridad más proactiva. En la era de las ciberamenazas sofisticadas, es fundamental adaptarse rápidamente y brindar protección potente para datos confidenciales y sistemas críticos. 

Se recomienda encarecidamente implementar una arquitectura de zero trust como fuerza contra este panorama de amenazas avanzadas, pero ¿qué es la arquitectura de zero trust? Algunos proveedores utilizan el término “zero trust” de manera imprecisa y presentan soluciones que simplemente reempaquetan herramientas de seguridad perimetral existentes. 

Aunque herramientas como cortafuegos se implementen como hardware o como dispositivos virtuales en una instancia de nube, no son rival para los ciberataques implacables y avanzados a los que se enfrentan las organizaciones hoy en día. Estos enfoques parten del supuesto de que todo lo que está fuera de la red no es confiable, mientras que todo lo que está dentro es confiable. Con una seguridad basada en perímetro, la red aún está expuesta, y colocar más cortafuegos en la nube no es suficiente para la arquitectura escalable, multiinquilino y centrada en la nube que es necesaria para proteger a sus usuarios, cargas de trabajo y dispositivos con una verdadera arquitectura de zero trust.

La seguridad basada en perímetro tiene debilidades

La seguridad perimetral tiene una debilidad evidente: una falta de control sobre los recursos una vez que un actor malicioso ha accedido a la red. Los controles de seguridad perimetral tradicionales interactúan con toda la red, donde las direcciones IP quedan expuestas. Los atacantes pueden explotar fácilmente estas direcciones IP expuestas. Una vez que tienen acceso a la red mediante la explotación de estas direcciones IP públicas, pueden moverse lateralmente a través de la red, encontrar datos valiosos y exfiltrarlos.

Otra debilidad de la seguridad perimetral proviene de los atacantes que explotan tácticas de ingeniería social o vulnerabilidades en la infraestructura de la red. Los ciberdelincuentes siempre están buscando formas de penetrar en las redes empresariales. Lo hacen atacando direcciones IP, ingeniería social y diversas vulnerabilidades de infraestructura. Una vez dentro, los atacantes pueden eludir fácilmente los controles de seguridad del perímetro y acceder a cualquier recurso que deseen.

Una arquitectura zero trust nativa de la nube tiene cuatro principios clave

Para abordar estas debilidades y proporcionar un enfoque de seguridad más potente, las organizaciones necesitan adoptar una arquitectura zero trust. La base de zero trust se encuentra el supuesto de que todos los usuarios, dispositivos y tráfico, tanto dentro como fuera del perímetro de la red, no son confiables de manera predeterminada. Este enfoque elimina el concepto de red de confianza y, en cambio, verifica cada solicitud de acceso, independientemente de su origen. Zero trust exige una verificación de identidad estricta, acceso con privilegios mínimos y una supervisión y análisis continuos del tráfico de la red para garantizar que únicamente los usuarios autorizados tengan acceso a los recursos que necesitan.

La implementación de zero trust requiere que las organizaciones adopten principios clave:

1. Nunca confíes, siempre verifica: todos los usuarios, dispositivos y tráfico deben ser verificados antes de concederles acceso a cualquier recurso. La confianza no se da por sentada, sino que se gana mediante rigurosos procesos de verificación, incluido el uso de señales de contexto como punto de verificación clave.
2. Acceso con privilegios mínimos: a los usuarios sólo se les debe conceder el nivel mínimo de acceso necesario para realizar sus tareas laborales. Este principio garantiza que incluso si se ven comprometidas las credenciales de un usuario, se evita el daño potencial.
3. Supervisión y análisis continuos: todo el tráfico de la red debe ser supervisado y analizado continuamente para detectar cualquier señal de actividad sospechosa. Este enfoque proactivo permite a las organizaciones detectar y responder a amenazas potenciales en tiempo real.
4. Asumir una infracción y evaluar el riesgo: este principio opera bajo el supuesto de que ya se ha producido o se producirá una infracción. Al adoptar esta mentalidad, las organizaciones están mejor preparadas para detectar posibles infracciones y responder a estas, minimizando el impacto en sus redes y recursos.

Por qué los cortafuegos y las VPN no son suficientes para la verdadera arquitectura de zero trust

Si bien tradicionalmente se han utilizado cortafuegos y VPN para proteger redes, no son suficientes para brindar una seguridad de zero trust sólida. Los cortafuegos y las VPN funcionan según el principio de seguridad perimetral, asumiendo que todo lo que está fuera de la red no es confiable y todo lo que está dentro de ella es sí lo es. Sin embargo, este enfoque resulta insuficiente ante los sofisticados ciberataques actuales.

Si bien muchos proveedores incluyen cortafuegos y VPN como parte de sus soluciones zero trust, no deben confundirse con la arquitectura zero trust.

Los cortafuegos pueden ayudar a bloquear el acceso no autorizado a la red, pero no pueden evitar el movimiento lateral de los atacantes que han obtenido acceso a menos que gaste una cantidad exorbitante de dinero comprando continuamente más y más cortafuegos. Las VPN pueden proteger el acceso remoto a la red, pero no pueden evitar que los atacantes exploten vulnerabilidades en la infraestructura de la red. Para implementar una arquitectura zero trust, las organizaciones necesitan adoptar un enfoque integral que no ponga en riesgo toda la red.

Zscaler es líder en arquitectura zero trust

Cuando se trata de implementar una arquitectura de zero trust, las organizaciones pueden recurrir a Zscaler, el líder en zero trust. Zscaler Zero Trust Exchange proporciona un enfoque integral para proteger el acceso a las aplicaciones para usuarios, cargas de trabajo, IoT/OT y terceros en cualquier ubicación.

Zero Trust Exchange de Zscaler es una plataforma nativa de la nube con alta disponibilidad y escalabilidad. Ofrece una centralita inteligente que conecta usuarios, cargas de trabajo, socios B2B y dispositivos con los recursos directamente. Zscaler también proporciona funcionalidades de seguridad avanzadas como acceso con privilegios mínimos, supervisión continua y evaluación de riesgos. Este enfoque protege a las organizaciones y los datos de diversas amenazas al garantizar que nadie acceda directamente a la red. La nube de Zscaler protege más de 500 mil millones de transacciones por día en más del 40 % de las empresas de Forbes Global 2000.

Zero Trust Exchange de Zscaler está respaldado por un equipo de atención al cliente 24/7 con experiencia en la implementación y gestión de arquitectura zero trust.

Para soluciones líderes de zero trust, elija Zscaler. Descubra cómo es una solución robusta de zero trust en uno de nuestros seminarios web mensuales de introducción a la zero trust.