Implementación de Connection Zero Trust en entornos multicloud

Información del producto

Presupuesto:

• Nombre del producto: Guía de implementación de confianza cero en entornos multicloud
• Socio: Conexión
• Enfoque: Ciberresiliencia, modelo de seguridad Zero Trust
• Público objetivo: Organizaciones de todos los tamaños y en todas las industrias.

Preguntas frecuentes

P: ¿Cuáles son los principales beneficios de adoptar Zero Trust en entornos multicloud?

R: La adopción de Zero Trust en entornos multicloud ayuda a las organizaciones a mejorar su postura de ciberseguridad, mitigar los riesgos asociados con los servicios en la nube, mejorar la protección de datos y fortalecer la resiliencia general de la seguridad.

P: ¿Cómo pueden las organizaciones medir su progreso en el camino hacia la Confianza Cero?

R: Las organizaciones pueden medir su progreso en el camino hacia la Confianza Cero evaluando su implementación de acceso con el mínimo privilegio, segmentación de red, mecanismos de autenticación continua y capacidades de monitoreo y respuesta.

Introducción

La resiliencia cibernética combina la planificación de la continuidad empresarial, la ciberseguridad y la resiliencia operativa. El objetivo es poder mantener las operaciones con poco o ningún tiempo de inactividad incluso si ocurre el peor escenario posible (un ciberataque devastador u otro desastre).
En el mundo actual, la resiliencia cibernética debería estar entre los objetivos de toda organización. A escala mundial, los delitos cibernéticos ahora le cuestan a sus víctimas más de 11 billones de dólares por año, una cifra que se prevé que supere los 20 billones de dólares para fines de 2026.1 Los gastos asociados con las violaciones de datos, el ransomware y los ataques de extorsión siguen aumentando, creciendo en promedio más del cinco por ciento anual desde 2020.2 Pero estos costos no son asumidos por todas las víctimas de manera uniforme. Algunas organizaciones, como las de industrias altamente reguladas como la atención médica, tienen gastos promedio más altos asociados con las violaciones, mientras que otras, como las organizaciones con programas de operaciones de seguridad maduros que aprovechan la automatización y la IA, tienden a experimentar costos más bajos.
Las brechas entre las víctimas de delitos cibernéticos que sufren pérdidas devastadoras y aquellas que solo sufren impactos menores a causa de un incidente de vulneración se ampliarán a medida que los actores de amenazas mejoren sus capacidades. Las tecnologías emergentes, como la IA generativa, están haciendo posible que los atacantes lancen ataques menos sofisticados (como el phishing) a una escala cada vez mayor. También es cada vez más fácil crear ataques de ingeniería social y de compromiso de correo electrónico empresarial (BEC) altamente personalizados.ampaigna
Para proteger sus ingresos y su reputación, y garantizar que puedan conservar la confianza de sus clientes, las organizaciones de todos los tamaños y en todas las industrias deben abandonar las antiguas formas de pensar e implementar la ciberdefensa.
Esto es exactamente lo que aborda Zero Trust.

11 billones de dólares
Costo anual de los delitos cibernéticos en todo el mundo1

Aumento del 58%
en ataques de phishing de 2022 a 20233

Aumento del 108%
en ataques de compromiso de correo electrónico empresarial (BEC) durante el mismo período4

1. Statista, Costo estimado del cibercrimen a nivel mundial 2018-2029, julio de 2024.
2. IBM, Informe sobre el costo de una violación de datos de 2023.
3. Informe de phishing de ThreatLabz de Zscaler, 2024
4. Informe sobre amenazas de correo electrónico de Abnormal Security, primer semestre de 1

Confianza cero: una nueva visión para proteger los ecosistemas tecnológicos modernos

• Cada vez más organizaciones trasladan partes clave de sus infraestructuras de TI a la nube, por lo que resulta esencial adoptar estrategias de ciberseguridad que se adapten bien a los entornos tecnológicos actuales. Por lo general, son complejos, distribuidos y sin fronteras. En este sentido, son radicalmente diferentes de las redes locales (con servidores y computadoras de escritorio protegidas por un firewall perimetral) que los enfoques de seguridad tradicionales se crearon para proteger.
• Zero Trust se inventó para llenar este vacío. Diseñado para eliminar las vulnerabilidades que surgen cuando se confía en los usuarios de manera automática y predeterminada (como cuando están dentro del perímetro de una red heredada), Zero Trust es ideal para los entornos de TI modernos, donde los usuarios en una amplia variedad de ubicaciones acceden constantemente a datos y servicios tanto dentro como fuera de la red corporativa.
• Pero comprender lo que se necesita para adoptar el modelo Zero Trust no siempre es sencillo. Tampoco es fácil averiguar cómo hacer que su organización alcance la madurez en este modelo. Para seleccionar las tecnologías adecuadas que se implementarán es necesario explorar un mar de afirmaciones de proveedores que compiten entre sí, e incluso antes de poder hacerlo, debe encontrar la estrategia adecuada.
• Para facilitarle las cosas, hemos elaborado esta guía práctica. En ella, encontrará un plan de cinco pasos para ayudar a su organización a acelerar su progreso en el camino hacia la Confianza Cero.
  

¿Qué es la confianza cero?

Zero Trust es una estrategia de ciberseguridad basada en el principio básico de “nunca confiar, siempre verificar”. El término se generalizó cuando los expertos del sector observaron un número creciente de ciberataques en los que se vulneraban con éxito los perímetros de la red. A principios de la década de 2000, la mayoría de las redes corporativas tenían una “zona de confianza” interna protegida por cortafuegos, un modelo conocido como el enfoque de castillo y foso para la ciberseguridad.
A medida que evolucionaron los entornos de TI y el panorama de amenazas, se hizo cada vez más evidente que casi todos los aspectos de este modelo tenían fallas.

• Los perímetros de red simplemente no se pueden proteger de maneras que sean 100% a prueba de fallas.
  Siempre será posible para atacantes decididos encontrar agujeros o huecos.
• Siempre que un atacante logra acceder a la “zona de confianza”, le resulta muy fácil robar datos, implementar ransomware o causar daños de cualquier otro modo, porque no hay nada que impida un mayor movimiento.
• A medida que las organizaciones adoptan cada vez más la computación en la nube y permiten a sus empleados trabajar de forma remota, el concepto de estar en red es cada vez menos relevante para su postura de seguridad.
• Zero Trust se creó para abordar estos desafíos y brindar un nuevo modelo para proteger datos y recursos que se basa en la validación continua de que a un usuario/dispositivo se le debe otorgar acceso antes de que se le permita conectarse a cualquier servicio o recurso.
  

Zero Trust se está convirtiendo en un estándar intersectorial

La Confianza Cero ha sido ampliamente adoptada por organizaciones de muchos sectores verticales diferentes. Según una encuesta reciente, casi el 70% de los líderes tecnológicos están en proceso de implementar políticas de Confianza Cero dentro de sus empresas.5 También se han realizado esfuerzos de gran alcance para adoptar la Confianza Cero dentro del sector público. La Orden Ejecutiva de 2021 sobre la Mejora de la Ciberseguridad de la Nación, por ejemplo, instó al gobierno federal y a las organizaciones de los sectores de infraestructura crítica a avanzar en su madurez de Confianza Cero.6 Tanto el Instituto Nacional de Normas y Tecnologías (NIST) como la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han publicado definiciones detalladas de Confianza Cero, junto con una amplia guía sobre cómo lograrla.

Confianza cero: definiciones oficiales

Instituto Nacional de Estándares y Tecnologías (NIST):
Zero Trust (ZT) es el término que se utiliza para designar un conjunto de paradigmas de ciberseguridad en evolución que trasladan las defensas de los perímetros estáticos basados ​​en la red a los usuarios, los activos y los recursos. Una arquitectura Zero Trust (ZTA) utiliza principios de Zero Trust
para planificar la infraestructura y los flujos de trabajo industriales y empresariales. Zero Trust supone que no se otorga una confianza implícita a los activos o las cuentas de usuario basándose únicamente en su ubicación física o de red (es decir, redes de área local frente a Internet) o en función de la propiedad de los activos (empresariales o personales). La autenticación y la autorización (tanto del sujeto como del dispositivo) son funciones discretas que se realizan antes de que se establezca una sesión en un recurso empresarial. Zero Trust es una respuesta a las tendencias de las redes empresariales que incluyen usuarios remotos, BYOD (traiga su propio dispositivo) y activos basados ​​en la nube que no se encuentran dentro de un límite de red de propiedad empresarial. Zero Trust se centra en proteger los recursos (activos, servicios, flujos de trabajo, cuentas de red, etc.), no los segmentos de red, ya que la ubicación de la red ya no se considera el componente principal de la postura de seguridad del recurso. 7

Agencia de Seguridad Cibernética y de Infraestructura (CISA):
Zero Trust ofrece una colección de conceptos e ideas diseñados para minimizar la incertidumbre a la hora de aplicar decisiones de acceso precisas y con el mínimo privilegio por solicitud en los sistemas y servicios de información frente a una red. viewLa arquitectura de confianza cero (ZTA) es un plan de ciberseguridad empresarial que utiliza conceptos de confianza cero y abarca relaciones entre componentes, planificación del flujo de trabajo y políticas de acceso. Por lo tanto, una empresa de confianza cero es la infraestructura de red (física y virtual) y las políticas operativas que se implementan para una empresa como producto de un plan de ZTA.8

Avanzando en su camino hacia la Confianza Cero

• Zero Trust es un estándar de seguridad ampliamente aceptado por las organizaciones, pero también es un concepto complejo, como lo dejan claro las definiciones anteriores.
• La mayoría de las organizaciones con programas de seguridad establecidos ya habrán implementado al menos algunos controles diseñados para proteger su red corporativa interna (por ejemplo, firewalls físicos). Para estas organizaciones, el desafío es alejarse del modelo heredado (y las formas de pensar que lo acompañan) hacia la adopción de Zero Trust, de manera gradual, sin salirse del presupuesto y sin dejar de mejorar la visibilidad, el control y la capacidad de respuesta a las amenazas.
• Puede que no sea fácil, pero es muy posible con la estrategia adecuada.

Paso 1: Comience por comprender los marcos de Confianza Cero.

• La definición de Zero Trust del NIST la describe como una arquitectura, es decir, una forma de planificar e implementar una infraestructura de seguridad empresarial y un conjunto de flujos de trabajo sobre la base de los principios de Zero Trust. El objetivo es proteger recursos individuales, no redes o partes (segmentos) de redes.
• La norma NIST SP 800-207 también incluye una hoja de ruta para adoptar la confianza cero. La publicación describe los elementos básicos necesarios para crear una arquitectura de confianza cero (ZTA). Se pueden utilizar diferentes herramientas, soluciones y/o procesos, siempre que desempeñen el papel adecuado dentro del diseño de la arquitectura.
• Desde la perspectiva del NIST, el objetivo de Zero Trust es evitar el acceso no autorizado a los recursos y, al mismo tiempo, hacer que la aplicación del control de acceso sea lo más granular posible.

Hay dos áreas clave de énfasis:

1. Mecanismos para tomar decisiones sobre qué usuarios o flujos de tráfico tienen acceso a los recursos
2. Mecanismos para hacer cumplir esas decisiones de acceso

Existen múltiples formas de implementar una arquitectura de confianza cero, entre ellas:

1. Enfoque basado en la gobernanza de la identidad
2. Enfoque basado en microsegmentación en el que los recursos individuales o pequeños grupos de recursos se aíslan en un segmento de red protegido por una solución de seguridad de puerta de enlace
3. Enfoque basado en perímetro definido por software en el que una solución de red como la red de área amplia definida por software (SD-WAN), el borde del servicio de acceso seguro (SASE) o el borde del servicio de seguridad (SSE) configura toda la red para restringir el acceso a los recursos de acuerdo con los principios de ZT
   El modelo de madurez de confianza cero de CISA se basa en conceptos similares. Hace hincapié en la aplicación de controles de seguridad detallados que rijan el acceso de los usuarios a los sistemas, aplicaciones, datos y activos, y en la creación de estos controles teniendo en cuenta las identidades, el contexto y las necesidades de acceso a los datos de los usuarios.
   Este enfoque es complicado. Según la CISA, el camino hacia la Confianza Cero es un proceso gradual cuya implementación puede llevar años.
   El modelo de CISA incluye cinco pilares. Se pueden realizar avances en cada una de estas áreas para respaldar el avance de la organización hacia la Confianza Cero.

La confianza cero presenta un cambio de un modelo centrado en la ubicación a un enfoque centrado en la identidad, el contexto y los datos con controles de seguridad detallados entre usuarios, sistemas, aplicaciones, datos y activos que cambian con el tiempo.
—CISA, Modelo de madurez de confianza cero, versión 2.0

Los cinco pilares del modelo de madurez de confianza cero

Paso 2: Comprender lo que significa progresar hacia la madurez.
El modelo de madurez de confianza cero de CISA describe cuatrotagFormas de progreso hacia la madurez: tradicional, inicial, avanzada y óptima.
Es posible avanzar hacia la madurez dentro de cada uno de los cinco pilares (identidad, dispositivos, redes, aplicaciones y cargas de trabajo, y datos). Esto generalmente implica agregar automatización, mejorar la visibilidad mediante la recopilación de datos para su uso en análisis y mejorar la gobernanza.

Avanzando hacia la madurez de la confianza cero

• digamos, por ej.ampes decir, que su organización está ejecutando una aplicación nativa de la nube en AWS.
• Para avanzar en el pilar de “identidad”, es posible que deba pasar del aprovisionamiento y desaprovisionamiento manual de acceso para esta aplicación (tradicional) a comenzar a automatizar la aplicación de políticas relacionadas con la identidad (inicial). Para avanzar en la madurez de Zero Trust, puede aplicar controles automatizados de gestión del ciclo de vida que sean coherentes en esta aplicación y en otras que esté ejecutando (avanzado). Para optimizar la madurez de Zero Trust, puede automatizar por completo la gestión del ciclo de vida de la identidad en tiempo real, agregar la aplicación dinámica de políticas con informes automatizados y recopilar datos de telemetría que permitan una visibilidad integral en esta aplicación y en todas las demás de su entorno.
• Cuanto más madura sea su organización, más podrá correlacionar eventos en los cinco pilares. De esta manera, los equipos de seguridad pueden comprender cómo se relacionan a lo largo del ciclo de vida del ataque, que puede comenzar con una identidad comprometida en un solo dispositivo y luego moverse por la red para atacar datos confidenciales en su aplicación nativa de la nube que se ejecuta en AWS.

Hoja de ruta de confianza cero

Paso 3: Identifique la estrategia de adopción o migración de Confianza Cero que funcionará mejor para su organización individual.

A menos que esté construyendo una nueva arquitectura desde cero, generalmente tendrá más sentido trabajar de manera incremental. Esto significa implementar los componentes de la arquitectura Zero Trust uno por uno, mientras continúa operando en un entorno híbrido basado en perímetro/Zero Trust. Con este enfoque, logrará un progreso gradual en sus iniciativas de modernización en curso.

Pasos a seguir en un enfoque incremental:

1. Comience por identificar las áreas de mayor riesgo cibernético y empresarial. Realice cambios aquí primero, para proteger sus activos de datos de mayor valor, y avance secuencialmente a partir de allí.
2. Examine cuidadosamente todos los activos, usuarios, flujos de trabajo e intercambios de datos dentro de su organización. Esto le permitirá identificar los recursos que necesita proteger. Una vez que comprenda cómo las personas utilizan estos recursos, puede desarrollar las políticas que necesitará para protegerlos.
3. Priorice los proyectos en función de los riesgos y las oportunidades comerciales. ¿Cuál tendrá el mayor impacto en su postura de seguridad general? ¿Cuál será el más fácil de completar rápidamente? ¿Cuál será el menos disruptivo para los usuarios finales? Hacer preguntas como estas le permitirá a su equipo tomar decisiones estratégicas.
   

Paso 4: Evalúe las soluciones tecnológicas para ver cuáles se adaptan mejor a sus procesos de negocio y al ecosistema de TI actual.
Esto requerirá introspección y también un análisis de lo que hay en el mercado.

Las preguntas que se deben plantear incluyen las siguientes:

• ¿Nuestra empresa permite el uso de dispositivos propiedad de los empleados? Si es así, ¿esta solución funcionará con su política actual de traer su propio dispositivo (BYOD)?
• ¿Esta solución funciona en la nube pública o en las nubes donde hemos construido nuestra infraestructura? ¿Puede también controlar el acceso a las aplicaciones SaaS (si las estamos usando)? ¿Puede funcionar también para los activos locales (si los tenemos)?
• ¿Esta solución admite la recopilación de registros? ¿Se integra con la plataforma o solución que utilizamos para la toma de decisiones sobre el acceso?
• ¿La solución admite todas las aplicaciones, servicios y protocolos utilizados en nuestro entorno?
• ¿La solución se adapta bien a la forma de trabajar de nuestros empleados? ¿Se necesitaría capacitación adicional antes de implementarla?
  

Paso 5: Implementar la implementación inicial y supervisar su rendimiento.

Una vez que esté satisfecho con el éxito de su proyecto, puede aprovecharlo y dar los siguientes pasos hacia la madurez de Confianza Cero.

Confianza cero en entornos multicloud

• Por diseño, Zero Trust está pensado para su uso en ecosistemas de TI modernos, que casi siempre incluyen componentes de uno o más proveedores de la nube. Zero Trust es una opción natural para entornos multicloud. Dicho esto, crear y aplicar políticas consistentes en distintos tipos de dispositivos, usuarios y ubicaciones puede ser un desafío, y depender de varios proveedores de la nube aumenta la complejidad y la diversidad de su entorno.
• Según su sector vertical, sus objetivos comerciales y sus requisitos de cumplimiento, la estrategia de su organización individual será diferente a la de las demás. Es importante tener en cuenta estas diferencias al seleccionar soluciones y desarrollar una estrategia de implementación.
• Es muy importante crear una arquitectura de identidad multicloud sólida. Los dispositivos de los usuarios individuales deben poder conectarse a su red interna, a los recursos de la nube y (en muchos casos) a otros activos remotos. Una solución como SASE, SSE o SD-WAN puede permitir esta conectividad y, al mismo tiempo, respaldar la aplicación granular de políticas. Una solución de control de acceso a la red (NAC) multicloud diseñada específicamente para aplicar la confianza cero puede hacer posible la toma de decisiones de autenticación inteligente incluso en entornos muy diversos.

No se olvide de las soluciones proporcionadas por los proveedores de la nube.
Los proveedores de nube pública como AWS, Microsoft y Google ofrecen herramientas nativas que se pueden aprovechar para analizar, mejorar y mantener la seguridad de la nube. En muchos casos, aprovechar estas soluciones tiene sentido comercial, ya que pueden ser rentables y muy eficaces.

El valor de trabajar con un socio de confianza

Muchas de las decisiones de diseño arquitectónico que se deben tomar al implementar Zero Trust son complejas. El socio tecnológico adecuado conocerá a fondo todos los productos, servicios y soluciones tecnológicas disponibles en el mercado hoy en día, por lo que tendrá una idea clara de cuáles son los mejores para su negocio.

Consejo del experto:

• Busque un socio que tenga experiencia en la integración entre múltiples plataformas y nubes públicas.
• El control de costos puede ser un problema en entornos multicloud: el uso de soluciones proporcionadas por proveedores puede resultar menos costoso, pero puede dificultar el mantenimiento de controles consistentes en diferentes plataformas o infraestructuras. Para determinar la mejor estrategia, es posible que se requiera un análisis de costo-beneficio, así como un conocimiento profundo de su entorno de TI.
• El socio adecuado puede ayudarlo a tomar esta decisión. Debe tener asociaciones extensas con múltiples proveedores de soluciones de seguridad, de modo que pueda ayudarlo a ver más allá de las afirmaciones de cada proveedor individual para descubrir qué soluciones son realmente las más adecuadas para sus necesidades. También puede garantizarle ventajastagprecios ajustados en su nombre, ya que trabajan con múltiples proveedores al mismo tiempo.
• Busque un proveedor que pueda ocuparse de un compromiso de consultoría puntual si es necesario, pero que también tenga la experiencia necesaria para ofrecer servicios gestionados a largo plazo. De esta manera, puede estar seguro de que no se encontrará con una carga administrativa excesiva y de que podrá sacar el máximo provecho de las herramientas y soluciones que seleccione.
  

Conoce la conexión

• Para proteger a las organizaciones de los crecientes riesgos cibernéticos, es de vital importancia implementar una arquitectura de Confianza Cero. Pero también es compleja. Desde comprender los marcos de Confianza Cero hasta elegir tecnologías,
  Desarrollar una estrategia de implementación y avanzar en la madurez de Zero Trust puede ser un proyecto a largo plazo con muchas partes móviles.
• Trabajar en equipo con el servicio y la solución adecuados puede hacer que el avance hacia el modelo Zero Trust sea más fácil y asequible. A largo plazo, su equipo puede tener la confianza de que está mitigando algunos de los riesgos más grandes (y potencialmente más costosos) que enfrenta su empresa.
• Connection, una empresa de Fortune 1000, calma la confusión de TI al ofrecer a los clientes soluciones tecnológicas líderes en la industria para mejorar el crecimiento, elevar la productividad y potenciar la innovación. Especialistas dedicados enfocados en brindar un servicio excepcional personalizan ofertas adaptadas a las necesidades únicas del cliente. Connection ofrece experiencia en múltiples áreas tecnológicas y brinda soluciones a clientes en más de 174 países.
• Nuestras asociaciones estratégicas con empresas como Microsoft, AWS, HP, Intel, Cisco, Dell y VMware facilitan que nuestros clientes encuentren las soluciones que necesitan para avanzar en su madurez de Confianza Cero.
  

Cómo puede ayudar la conexión

Connection es su socio para la implementación de Zero Trust. Desde hardware y software hasta consultoría y soluciones personalizadas, somos líderes en áreas críticas para el éxito con Zero Trust y entornos multicloud.

Explora nuestros recursos
Infraestructura moderna
Servicios de ciberseguridad

Comuníquese con uno de nuestros expertos en conexión hoy mismo:

Contáctenos
1.800.998.0067

©2024 PC Connection, Inc. Todos los derechos reservados. Connection® y we solve IT® son marcas comerciales de PC Connection, Inc. o sus subsidiarias. Todos los derechos de autor y marcas comerciales siguen siendo propiedad de sus respectivos dueños. 2879254-1224

EN ALIANZA CON

Gracias a nuestras relaciones duraderas con los clientes y a nuestra experiencia con las tecnologías de Cisco, siempre estamos mejorando la forma en que hacemos negocios con Cisco. Nuestro amplio conocimiento de Cisco y nuestros servicios de asesoramiento pueden acelerar su ventaja competitiva, ayudar a aumentar la producción y mejorar la eficiencia. Connection, junto con Cisco, puede guiarlo en su viaje para transformar su negocio en la era digital.

Como socio de soluciones de Microsoft, Connection ofrece productos, experiencia técnica, servicios y soluciones para ayudar a su empresa a adaptarse al cambiante panorama tecnológico. Impulsamos la innovación para su organización mediante la entrega e implementación de hardware, software y soluciones en la nube de Microsoft, aprovechando nuestra amplitud de conocimientos y capacidades comprobadas para garantizar que aproveche al máximo sus inversiones en Microsoft.

Documentos / Recursos

Implementación de Connection Zero Trust en entornos multicloud [pdf] Guía del usuario Implementación de Zero Trust en entornos multicloud, Implementación de confianza en entornos multicloud, Implementación en entornos multicloud, en entornos multicloud, Entornos de nube, Entornos

Referencias

• Manual de usuario