La confianza cero no es difícil... Si eres pragmático

Hace unas semanas, Rob Lemos de Dark Reading discutido razones por las cuales, a pesar de reconocer los beneficios obvios de seguridad, las organizaciones y sus profesionales de seguridad dudan en implementar un Modelo Zero Trust. La preocupación general es que los entornos “descontrolados” tienen demasiada deuda técnica que debe superarse para lograr el estado de confianza cero y, por lo tanto, solo se puede aplicar a nuevos entornos netos (lo que a menudo llamamos “campo nuevo”, generalmente como parte de algunos migración a la nube). Además, las organizaciones asumen que los beneficios solo pueden lograrse una vez que todo ha sido “de confianza cero” (si es que existe tal estado), que no hay un estado intermedio en el camino hacia la confianza cero que sea beneficioso y alcanzable.

Estos son mitos que necesitan ser reventados.

El Marco de Confianza Cero de Forrester se extiende a través de siete pilares que, cuando se combinan, proporcionan una estrategia integral para asegurar la empresa

Para que una organización se considere que ha logrado una postura de confianza cero completa, debe:

1. Implementar privilegios mínimos en todas sus cargas de trabajo, redes, personas, dispositivos y datos.
2. Asegúrese de que estos controles estén totalmente impulsados y mantenidos a través de la automatización.
3. Aproveche la visibilidad no como un subproducto, sino como un habilitador para #1 y #2. Monitoree continuamente, retroalimentando la automatización para garantizar que se mantenga la integridad del estado Zero Trust.

Eso parece toda una tarea, no es de extrañar que algunas empresas opten por aplazar su puesta en práctica. Y eso es incluso antes de que comiencen a examinar las ofertas de tecnología que afirman ofrecer una “certificación de confianza cero” completa en un solo producto; son como los muchos remedios caseros cuestionables contra el COVID-19 que están dando vueltas en las redes sociales actualmente.

Pero, ¿y si, en lugar de adoptar el enfoque de cascada para ofrecer seguridad Zero Trust en nuestros entornos, adoptamos un enfoque más incremental y ágil? ¿Podríamos obtener beneficios mientras aún estamos en esto (interminable?) viaje? ¿Y podríamos integrar más capacidades a medida que avanzamos?

La respuesta, como era de esperar, es un rotundo 'Sí' a todo lo anterior. Entonces, ¿cómo lo hacemos?

Aquí está mi recomendación. Este enfoque (algo simplificado) permite que una organización tome pasos pequeños y realistas hacia el logro de una postura de confianza cero.

1. Identifique qué proteger: Identifique los datos, las aplicaciones o los procesos del negocio que está enfocado en proteger en esta fase.
2. Determine en qué pilar de Confianza Cero debe centrarse: Determine para cuál de los pilares de Confianza Cero va a crear controles. Illumio es una empresa de segmentación: ayudamos a las organizaciones a centrarse principalmente en la visibilidad, las cargas de trabajo y las redes.
3. Especifique el control exacto: Ahora, especifique el control exacto que está tratando de lograr en esta fase. Supongamos que quieres segmentar las cargas de trabajo que ejecutan sus procesos críticos del negocio desde el resto de la red. Por lo tanto, el resultado de confianza cero que está tratando de lograr es el acceso de privilegios mínimos a través de la red a las cargas de trabajo que ejecutan este proceso crítico.
4. Prescribir qué datos se necesitan: Ahora necesita los datos y la visibilidad (en el caso de Illumio, proporcionamos un mapa) para construir la política específica que logre el resultado; esto consiste en metadatos relevantes para identificar las cargas de trabajo y sus dependencias asociadas, además de datos de tráfico que determinarán la naturaleza de esas dependencias.
5. Diseñar la política: Armado con estos puntos de datos, puede crear una política de segmentación Zero Trust para este proceso de negocio en particular y validarla. Pruebe antes de implementar; de lo contrario, no obtendrá ningún agradecimiento.
6. Validar, implementar y monitorear: Una vez implementada la política, el monitoreo de tráfico y manipulación disponible nos permite monitorear continuamente la postura de su entorno y reaccionar ante cualquier cambio, ya sea manualmente o a través de la automatización.
7. Enjuague y repita los pasos 1 a 6.
   

Cada paso se basa en lo que ya se ha hecho, mejorando continuamente el estado general de seguridad e incluso permite que los entornos de campo desaprovechado adopten y se beneficien de Zero Trust.

Lograr Zero Trust de una sola vez para todo su entorno es difícil. Dicho esto, construir un MVP de ZT e iterar para lograr una postura integral para su organización es alcanzable, y estamos aquí para ayudar.

Para obtener más información, visita nuestra página sobre cómo poner en marcha su estrategia Zero Trust con microsegmentación.