.png)
Lo que necesita para hacer cumplir la política de confianza cero: de manera rápida y segura
En esta serie, hemos considerado las características imprescindibles para el éxito descubriendo, autoría, y distribuyendo una política de Segmentación de Confianza Cero. Esta semana concluimos con una mirada cercana a lo que es necesario para hacer cumplir una política de Segmentación de Confianza Cero. Una política de confianza cero que no llegue a la plena aplicación simplemente no es capaz de detener el malware, el ransomware o los actores maliciosos. Hay consideraciones clave que deben tenerse en cuenta para garantizar que cada política de confianza cero se pueda aplicar rápidamente en toda la infraestructura y sin interrumpir la función de la aplicación.
Está a salvo, no lo siento
Cuando se trabaja en entornos de nube y data center existentes, el primer requisito es tomar el juramento hipocrático: ¡No hacer daño! Todas las soluciones de microsegmentación utilizan agentes. Necesita uno seguro, y ningún agente en línea está a salvo. Cualquier agente que implemente un firewall en línea, filtrado u otras funciones de seguridad no puede considerarse seguro. Si el agente falla en cerrar, la aplicación se rompe, lo que no es seguro desde el punto de vista operativo. Si el agente en línea falla al abrirse, el mecanismo de seguridad desaparece, que es la definición de computación insegura. La única tecnología de agente seguro para la aplicación de la ley es un agente fuera del path de datos. Debe requerir una solución que mantenga las reglas en su lugar, incluso si el agente del proveedor falla o se elimina. Demanda un agente que se instala y actualiza sin reiniciar. Los agentes deben ejecutarse en el espacio del usuario. Rechazar cualquier cosa que modifique el kernel, instale adaptadores de red personalizados o que de otro modo se encuentre en línea. No hay necesidad de reinventar algo tan básico como firewall con estado cuando literalmente todo en el data center o en la nube incluye uno.
Implemente todo
Una vez que tenga que aplicar una política de confianza cero, el mejor lugar para ponerla es ¡en todas partes! Cada sistema operativo de la última docena de años tiene un firewall de estado perfectamente bueno: IPTables/NetFilter y la Plataforma de Filtrado de Windows. Existen tecnologías similares para AIX, Solaris e incluso Mainframes. Los switches de red, los balanceadores de carga y los firewalls de hardware toman reglas de firewall. ¿Por qué no usarlo todo? Ponga Zero Trust en todas partes y automatice la aplicación de políticas en todo lo que ya posee. La aplicación de la ley debe incluir su Entorno de contenedores Kubernetes, Amazon, Azure y Google Cloud instancias, servicios SaaS e incluso mantener sus dispositivos de OT fuera del entorno de TI. Ni siquiera vale la pena considerar agentes de proveedores propietarios para hacer cumplir las políticas de confianza cero cuando cada dispositivo ya soporta todo lo que necesita.
Mejorar la velocidad de la confianza
Las implementaciones de Zero Trust proceden al ritmo de confianza en la seguridad de la política. Después de todo, una política de confianza cero requiere especificar todo lo que se desea: todo lo demás se niega. Eso implica que las políticas de Confianza Cero deben ser perfectas. ¿Cuántos flujos hay en un data center? Suena difícil tener confianza en la perfección en todos esos flujos. Relajarse. La Segmentación de Confianza Cero no tiene por qué ser difícil. Asegúrese de que podrá aplicar incluso un solo servicio en el extremo más pequeño de la escala. Después de todo, algunos de los flujos más vulnerables son los servicios centrales y los sistemas de administración que tocan todas las máquinas del entorno. Muchos utilizan un solo puerto o un rango pequeño. Cualquier buena solución debería ser capaz de aplicar selectivamente solo esos pocos puertos. Son fáciles de definir, fáciles de acordar y críticos para asegurar. En el otro extremo del espectro está simplemente hacer cumplir deseos de política como “evitar que todos mis sistemas DEV hablen con PROD, excepto la siguiente lista de servicios compartidos, pero limite eso tanto como sea posible”. Nadie va a tener un conocimiento perfecto de todos los sistemas DEV y todos los sistemas PROD, es demasiado dinámico y complejo. Sin embargo, las mejores soluciones de Segmentación de Confianza Cero pueden definir fácilmente límites de cumplimiento que proporcionan esta funcionalidad exacta y, al mismo tiempo, preservan la libertad de preocupaciones de orden de reglas o de romper la herencia de políticas. ¿Qué tan rápido pueden todos en el equipo estar seguros de que la política es correcta y segura? Busque una solución que pueda aplicar al nivel de una sola declaración de política y al mismo tiempo aplicar objetivos amplios de separación. Cuando ambos son igualmente simples, es fácil obtener políticas de confianza cero a través del control de cambios en la aplicación.
En resumen
Aislar los sistemas de nube, endpoint y data center con reglas aplicadas es el objetivo de Cero Confianza. Las soluciones de solo visibilidad o monitoreo nunca se pueden contar como Segmentación de Confianza Cero. Una buena solución de segmentación primero será segura y no se basará en tecnologías en línea que fallan abiertas o cerradas, lo que pone en riesgo todo el entorno. La aplicación de la ley debe ser amplia y aprovechar todos los firewalls que ya ha pagado por poseer, desde los firewalls basados en el sistema operativo hasta el hardware y el equipo de red que se encuentran en los racks. Obtener políticas de Segmentación de Confianza Cero implementadas para contenedores, nube y en todo el entorno de cómputo significa que se necesitan muchas soluciones diferentes, así que ¿por qué no usar lo que ya hay en cada una? Por último, es importante poder desarrollar la aplicación de la ley desde una sola declaración de políticas hasta formas sencillas de segmentar entornos completos. La microsegmentación de grano fino procede al ritmo de la confianza compartida de que los sistemas no serán interrumpidos. Por lo tanto, una solución con una aplicación altamente flexible y matizada siempre brindará los resultados más rápidos de Zero Trust.
ICYMI, lea el resto de esta serie:
