Por qué la política es importante para la confianza cero
La idea de privilegio mínimo no es nuevo, y tampoco lo es la idea de mantener los dispositivos separados en la red en servicio de menor privilegio. Después de todo, cada firewall sale de su contenedor de envío con una regla predeterminada, “negar todo”, que invita a la creación de una política de privilegios menores. Y así, durante los últimos 15 o 20 años, hemos estado ingresando cada vez más declaraciones de permisos y denegando en cortafuegos perimetrales. La mayoría de las organizaciones ahora tienen tantas de estas declaraciones que se necesitan equipos de administradores altamente calificados para administrarlas, y la complejidad se ha disparado en los últimos años.
El problema (veces 3)
Ahora, Cero Confianza prescribe que volvamos al menor privilegio. Sólo esta vez, no en el borde, sino en cada carga de trabajo, cada usuario, cada endpoint. ¿Qué tan factible es esto? Cada año Cisco publica un estudio detallado de las redes empresariales, y proporciona una aproximación simple para que la consideremos. En 2020, 73% del tráfico ocurrió “este-oeste” —es decir, entre sistemas en el data center— y alrededor del 27% pasó por el perímetro. Las reglas existentes de firewall perimetral, por lo tanto, cubren el 27% del tráfico.
La clara implicación es que crear una política similar para el otro 73% del tráfico es aproximadamente tres veces el trabajo, tres veces la complejidad de las reglas y tres veces el número de personas. Y ese es el problema. Nadie puede gastar 3x, contratar 3x y configurar 3x la complejidad. Aquellos que han intentado doblar una solución SDN para que sirva a esta tarea o han intentado implementar firewalls virtuales saben que simplemente no funciona.
Cualquier proveedor que proponga Zero Trust tiene que resolver este enigma. No es creíble afirmar que un resultado de Confianza Cero es alcanzable sin lidiar con la realidad operativa de la inmensa tarea en cuestión. Cualquier persona que busque un resultado Zero Trust necesita pruebas creíbles de la capacidad de satisfacer los costos, la complejidad operacional y los componentes de recursos humanos para una implementación exitosa.
No necesitamos más lugares para hacer cumplir las políticas
Cuando los firewalls ingresaron por primera vez a la red, eran el único dispositivo capaz de bloquear y restringir el tráfico a escala. Pero hoy, logrando Microsegmentación Zero Trust no es un problema de punto de aplicación. Todos los sistemas operativos modernos en el centro de datos, desde Windows hasta Linux, incluso AIX, Solaris y System Z (mainframes), tienen un firewall con estado bien implementado en la ruta de reenvío del kernel. Todos los dispositivos de red, desde routers y switches hasta firewalls y balanceadores de carga, pueden tomar reglas de firewall.
De hecho, es cierto que prácticamente todos los dispositivos conectados a la red en el centro de datos tienen algunas capacidades de control de acceso. Esto implica que nadie necesita comprar paletas de firewalls para implementar Zero Trust. Los puntos de aplicación ya están disponibles. Esto significa que el costo de implementar Zero Trust se sentirá casi en su totalidad en el área de complejidad de configuración. Después de todo, el número de personas que se necesitan deriva de la cantidad de trabajo a realizar.
La administración de políticas determina los resultados de Zero Trust
Concluimos, entonces, que la política es el factor más importante en una implementación de Zero Trust. La alcanzabilidad de cualquier objetivo de Zero Trust dependerá de lo fácil o difícil que sea descubrir, crear, distribuir y aplicar políticas.
A los proveedores les gusta hablar sobre sus características y mostrar interfaces de usuario bonitas, pero al final, lo único que importa es qué tan bien simplifican, reducen y automatizan el trabajo de administración de políticas inherente a una iniciativa de microsegmentación Zero Trust.
Antes de que alguien pueda escribir una política de confianza cero, primero necesita conocer todos los flujos de comunicación relevantes y cómo funciona la aplicación en cuestión: cómo depende de los servicios centrales y de los usuarios y otros dispositivos a los que se conecta. Esto es descubrimiento de políticas, y es más que una imagen bonita de una aplicación en una burbuja. En última instancia, necesita toda la información necesaria para crear con éxito la política Zero Trust.
La creación de una política tiene que eliminar la carga de traducir el deseo humano en direcciones IP. Necesita usar metadatos para simplificar, escalar y heredar políticas para reducir la carga de creación. Una vez que haya escrito una política, necesita una manera de distribuirla a los puntos de aplicación que ya existen. ¿Cómo mantiene todas las políticas actualizadas y realiza un seguimiento automático con la automatización de aplicaciones? Si puede tener en cuenta los movimientos, las adiciones y los cambios, la carga de trabajo disminuye en su equipo de administración.
Por último, la aplicación de políticas depende en última instancia de la capacidad de validar y desarrollar confianza en la política propuesta. Los firewalls no tienen ninguna capacidad de modelado. Pero no basta con “permitir y rezar”. Necesita la capacidad de saber que la política es precisa, completa y no romperá la aplicación, y poder comunicarlo a todas las partes interesadas.
Conclusión
Conocer lo que es importante para la gestión de políticas de Zero Trust es lo mismo que saber lo que se necesita para entregar un proyecto Zero Trust o de microsegmentación. La operacionalización de la segmentación de grano fino se llevará a cabo al ritmo que determine nuestra capacidad humana para descubrir, crear, distribuir y hacer cumplir la política. Cuando existe una gestión de políticas eficaz y eficiente, los requerimientos de personal disminuyen proporcionalmente. Por lo tanto, está claro que el factor más importante para poner en funcionamiento Zero Trust es lidiar de manera efectiva con la complejidad de políticas que se requiere para endurecer. controles de segmentación. Dado que es tan importante, consideraremos la gestión de políticas con gran detalle en próximas entradas de blog.