.png)
¿Dónde se ubica la segmentación de confianza cero en el nuevo modelo de madurez de confianza cero de CISA?
La semana pasada, CISA dio a conocer su muy esperado Modelo 2.0 de Madurez de Confianza Cero : una iteración actualizada del Modelo de Madurez de Confianza Cero (ZTMM) que afirma la industria, lanzado por primera vez en 2021.
En un alto nivel, el ZTMM de CISA describe cómo las organizaciones modernas pueden desarrollar resiliencia cibernética “dentro de un entorno y un entorno tecnológico en rápida evolución”. También es una extensión crítica del 2021 de la Administración Biden Orden Ejecutiva para Mejorar la Ciberseguridad de la Nación que requería que las agencias federales desarrollaran e implementaran una Arquitectura de Confianza Cero (ZTA).
Si bien carece de los detalles específicos y, en general, de un esquema más general de los objetivos federales de resiliencia a más largo plazo (como suelen ser las guías de arquitectura como estas), ¡siempre es prometedor ver continuar el impulso federal Zero Trust! Y con segmentación orientación dispersada en todos los pilares y niveles de madurez, tácticas actualizadas como estas ayudarán a las agencias federales a lograr de manera más efectiva sus objetivos de resiliencia cibernética.
Aquí es donde la segmentación se ubica
A menudo, cuando las personas en TI federal piensan en la segmentación, lo primero que piensan es en la red. El ZTMM actualizado no es diferente. La segmentación de redes se incluye como una capacidad técnica completa en la sección 5.3, perteneciente al pilar de red de la ZTA de CISA. CISA escribe que en la etapa inicial, la segmentación de redes se ve así: “La agencia comienza a implementar la arquitectura de red con el aislamiento de las cargas de trabajo críticas, restringiendo la conectividad a los principios de función mínimos y una transición hacia interconexiones específicas del servicio”.
En términos prácticos, esto significa comenzar a practicar los privilegios mínimos (es decir, limitar la confianza implícita) y comenzar a segmentar las cargas de trabajo críticas lejos del servidor. Suena bastante simple, ¿verdad?
Luego, CISA amplía cómo se ve la funcionalidad de Segmentación de Redes en todos los niveles de madurez, desde la implementación de macrosegmentación en niveles más tradicionales hasta la aplicación de microsegmentación de grano más grueso en etapas avanzadas y óptimas.
Para agencias federales avanzadas, la aplicación de Segmentación de Redes puede verse así: “Agencia expande la implementación de mecanismos de aislamiento de perfil de punto final y aplicación a una mayor parte de su arquitectura de red con microperímetros de entrada/egreso e interconexiones específicas de servicio”.
Con soluciones como Endpoint de Illumio, Illumio hace que sea simple y transparente para las organizaciones de todos los niveles de madurez aplicar la Segmentación de Confianza Cero (ZTS) hasta el endpoint.
Los principios de ZTS no se limitan solo al bucket de red. En la sección 5.4, que analiza la aplicación y seguridad de carga de trabajo, CISA escribe que en la etapa inicial: “La agencia comienza a implementar capacidades de autorización de acceso a aplicaciones que incorporan información contextual (por ejemplo, identidad, cumplimiento de dispositivos y/u otros atributos) por solicitud con vencimiento”.
En la etapa avanzada, “Agency automatiza las decisiones de acceso a las aplicaciones con información contextual ampliada y condiciones de vencimiento forzadas que se adhieren a los principios de privilegios mínimos”.
Estos también son lugares donde la visibilidad y la segmentación pueden ayudar: crear límites de aplicación en torno a identidades y dispositivos, aplicar principios de privilegios mínimos y automatizar políticas basadas en un contexto verificado.
Otras claves de un CTO federal
Si bien no necesariamente está al frente del nuevo ZTMM, la realidad es que la segmentación se ajusta a todos los buckets, y es esencial (y factible) para las organizaciones de todos los niveles de confianza cero. Francamente, es prometedor ver que la tecnología finalmente obtenga los encomios que merece, pero aún queda trabajo y educación por hacer.
Particularmente a medida que las agencias federales buscan alcanzar las etapas más avanzadas de madurez de Zero Trust, la visibilidad y la segmentación son críticas. La visibilidad en todo el entorno híbrido (nube, local, punto de conexión, TI/OT) es clave para comprender lo que tiene y saber qué proteger. Y se puede implementar una política de sentido común para autorizar el acceso, basado en el cumplimiento de los dispositivos u otros requerimientos, proporcionando una aplicación consistente sin silos.
ZTS no es solo un control proactivo para las agencias federales que buscan amplizar su ZTA. También es una estrategia proactiva esencial, asegurando que cuando las agencias federales hacer si se rompe, las misiones pueden continuar sin obstáculos. De hecho, las organizaciones que aprovecharon Illumio ZTS vieron un 66% reducción en el impacto (o radio de explosión) de una brecha y guardado $3.8 millones debido a una menor cantidad de interrupciones y downtime. Al final del día, una verdadera ZTA da cuenta tanto de organizaciones en maduración como de amenazas avanzadas y persistentes.
Puede obtener más información sobre cómo El ZTS de Illumio puede ayudar a tu agencia federal realice sus objetivos de Zero Trust.
.webp)
.webp)
