Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona información general sobre los principios básicos de Confianza cero como base de seguridad moderna para diseñar, implementar y operar controles de seguridad en toda la organización.
Confianza cero es un enfoque de seguridad moderno basado en una idea sencilla: never trust, compruebe siempre.
Solo se concede acceso después de comprobar lo siguiente:
- ¿Quién solicita acceso?
- ¿Qué dispositivo usan?
- ¿Cuál es su ubicación y comportamiento?
- ¿Cuál es su nivel de riesgo?
La comprobación no se realiza solo una vez. Es continuo, lo que garantiza que la confianza se mantiene a lo largo de una sesión.
Principios de confianza cero
Confianza cero se basa en tres principios que rigen las decisiones de acceso y los controles de seguridad.
| Principio | Implementación |
|---|---|
| Comprobación explícita | Todas las solicitudes de acceso se autentican y autorizan mediante todas las señales disponibles. |
| Uso del acceso con privilegios mínimos | Los usuarios y las cargas de trabajo solo obtienen el acceso que necesitan, durante el menor tiempo necesario. |
| Asumir que hay una brecha | Los controles de seguridad están diseñados con la expectativa de que los atacantes puedan funcionar dentro del entorno. Los controles se centran en limitar el impacto en las infracciones y habilitar la detección y respuesta rápidas de amenazas. |
resultados de Confianza cero
Cuando se aplica de forma coherente, Confianza cero conduce a resultados de seguridad claros, coherentes y medibles que reemplazan los modelos tradicionales de "confianza por defecto" por "confianza por excepción".
- El acceso se concede explícitamente y se evalúa continuamente: la confianza no es estática. Cada solicitud se evalúa en tiempo real a medida que cambian las condiciones.
- El acceso es condicional y temporal: los permisos solo se conceden cuando es necesario y se quitan cuando ya no son válidos.
- Los permisos tienen un ámbito estricto: los usuarios y las cargas de trabajo funcionan con el acceso mínimo necesario.
- Los controles de seguridad funcionan de forma coherente: los controles se aplican de forma coherente a todos los entornos, incluidos los sistemas locales, las plataformas en la nube, las aplicaciones SaaS y las cargas de trabajo de inteligencia artificial.
- Detección y respuesta integrados: la supervisión continua proporciona una identificación, contención, corrección y respuesta de amenazas más rápidas.
Cuestionando las suposiciones tradicionales
Los modelos de seguridad tradicionales dependen de los límites de red, supongamos que los recursos dentro del perímetro son más seguros que los externos y que la seguridad es responsabilidad del equipo de seguridad.
Aunque estos modelos eran efectivos contra amenazas anteriores, como el examen de red y la explotación directa, no son suficientes en la actualidad porque los ataques modernos usan riesgos de identidad, suplantación de identidad y secuestro de sesión, y no dependen de la ubicación de red.
Confianza cero reemplaza este modelo por:
- Tratar cada solicitud de acceso como que no es de confianza, independientemente del origen.
- Tomar decisiones en función del contexto en tiempo real.
- Ampliar la responsabilidad de seguridad.
Cambios clave
Los cambios clave hacia la seguridad Confianza cero significan que:
- La protección sigue el recurso Los recursos no están protegidos intrínsecamente por dónde residen. Cada solicitud de acceso se valida explícitamente, el acceso a recursos confidenciales está estrechamente restringido y la actividad se supervisa continuamente para detectar amenazas.
- El acceso siempre se valida y supervisa Las decisiones de seguridad se basan en condiciones actuales.
-
La seguridad no es solo tecnología Las personas y los procesos presentan riesgos.
- El comportamiento humano, como el uso de datos no autorizados, el uso compartido de credenciales, la falta de higiene de seguridad y otros métodos abreviados de seguridad pueden introducir la exposición que los atacantes aprovechan.
- Los procesos como la implementación del sistema, el uso compartido de datos y la aplicación del control de seguridad influyen directamente en el riesgo.
-
Todos comparten la responsabilidad Debemos reconocer que la seguridad es el trabajo de todos.
- La verificación continua y los privilegios mínimos ayudan a reducir el impacto de los factores humanos.
- Los controles de seguridad deben alinearse con el uso y la toma de decisiones reales.
Recorrido de adopción estructurado
Adoptar la seguridad Confianza cero es un esfuerzo gradual y a largo plazo.
Cada organización inicia el recorrido desde un lugar diferente, influenciado por la madurez de la seguridad, la tecnología existente y el perfil de riesgo.
Un enfoque estructurado para la adopción garantiza que los principios de Confianza cero se apliquen de forma coherente a medida que madura la seguridad. Nuestro modelo de adopción estructurado se centra en tres componentes:
- Escenarios empresariales Ayude a los líderes empresariales a definir y priorizar los resultados de seguridad de la organización, centrándose en las áreas más críticas de riesgo.
- Disciplinas de seguridad Guía a los equipos para definir la estrategia, la arquitectura, los procesos y los controles en áreas comunes de seguridad. Cada escenario empresarial normalmente se asigna a una o varias materias de seguridad.
- Pilares tecnológicos Céntrese en áreas específicas de seguridad, como identidad, datos y dispositivos. Las instrucciones de implementación pueden tener como objetivo un escenario empresarial específico o centrarse en un pilar tecnológico específico.
Pasos siguientes
- Para empezar a trabajar con la adopción estructurada, siga nuestra ruta de adopción Confianza cero.
- Para profundizar en los resultados de seguridad críticos, comience con nuestros escenarios empresariales.
- Para empezar a evaluar su estado actual de Confianza cero, inicie la evaluación de Confianza cero. Para profundizar directamente en la implementación, revise la implementación de soluciones técnicas.