Blog A3Sec

Zero Trust Arquitecture: Del marketing a la realidad

Escrito por Javier Díaz Evans, Director General Global | 02 mayo, 2022

Para ir a través del tiempo, quiero comenzar hablando sobre los acontecimientos más importantes en la historia del diseño de arquitecturas de red seguras.

En 1993, se realizó el lanzamiento de la tecnología Firewall de Stateful Inspection, creada por CheckPoint, quien lideró el mercado por varios años. Su evolución apalancó el desarrollo de las iniciativas de arquitectura de red segura, incluyendo un nuevo servicio en la consultoría de seguridad: el diseño de arquitectura de red segura.

Las primeras arquitecturas que diseñé se orientaban a segmentar la red, involucrar un sistema de control de acceso que conectara todos los segmentos de red e incluyera sistemas de autenticación y la autorización para el acceso a aplicaciones y datos sensibles. También, desplegaba capacidades de auditoría a nivel de red en segmentos clave a través de los sistemas IDS y obtenía logs de los sistemas. La criptografía era fundamental, pero solo la utilizamos para el tráfico que se transportaba en redes inseguras, es decir, aquellas que no estaban dentro de nuestro perímetro. 

En 2010, se integró el principio de la eliminación del perímetro, lo que llevó a alterar las arquitecturas, incluyendo elementos que ayudaban a validar los controles de los accesos remotos, la autenticación fuerte, análisis de anomalías y contexto para mejorar el acceso a la red interna de la organización. A esos accesos se les proveía un pool de direcciones desde donde se podía ingresar a los recursos de red de acuerdo con los controles internos establecidos.

Y finalmente en 2016, se evidenciaron cambios debido a que los recursos ya no estaban en nuestro control y las organizaciones comenzaban a consumir servicios de terceros y en la nube, lo que en consecuencia, transformó la visión de seguridad cómo la protección de un castillo medieval, incluyendo múltiples capas de control para minimizar los riesgos.

 

Retos actuales de la arquitectura de red

Actualmente, las organizaciones se han transformado o están en proceso de transformación. Dejaron de tener la data en sus instalaciones y han empezado a utilizar servicios y soluciones que les ayuden a ser ágiles y a automatizar al máximo sus interacciones entre sus clientes y la entrega de productos y servicios.

Lo anterior, ha hecho evolucionar las premisas de seguridad y los controles que se utilizaban para proteger los recursos (aplicaciones, sistemas y datos) de la organización. A continuación, comparto una lista de controles y su evolución a las nuevas arquitecturas de red seguras.

Protección

Control Original

Control Actual

Sistema de Control de Acceso a la Red

Firewall Statefull Inspection

Firewall as a Service

Sistema de autenticación y autorización 

AAA (Directorio Activo, Radius, Diameter), PKI

Federación y autenticación basada en riesgo, ID Management System, PKI

Análisis de Eventos e Incidentes de CiberSeguridad

SIEM

Security Analytics (SIEM, UEBA)

Análisis de amenazas de red

Sistemas de Detección/Prevención de Intrusos IDS/IPS

Network Detection & Response (NDR)

Protección de Endpoint

Antivirus

EndPoint Detection & Response (EDR)

Cifrado de Datos en Tránsito

VPN/SSL

Software Defined Perimeter (SDP) - TLS

Contexto de amenazas e inteligencia de seguridad

Fuentes de Inteligencia por Proveedor de Seguridad, HoneyPots

Threat Intelligence System, Deception System

Sistemas de diagnóstico y cumplimiento de seguridad

HIDS, FIM

CDM System



Zero Trust Arquitecture (ZTA)

La arquitectura Zero Trust (Cero Confianza) aplica un conjunto de controles para dar garantía que el tráfico analizado tiene el mismo nivel de confianza. La zona de confianza debe ser lo más pequeña posible.

Su implementación se soporta en los siguientes principios (información extraída de NIST SP 800-207):

  1. Todas las fuentes de datos y servicios de TI son considerados como recursos.
  2. Todas las comunicaciones son aseguradas, sin importar su ubicación en la red.
  3. El acceso a los recursos de la organización se otorga por sesión.
  4. El acceso a los recursos se determina por una política dinámica y debe incluir otros atributos cómo comportamiento y contexto.
  5. La organización monitorea y mide la integridad y la postura de seguridad de todos los activos propios y asociados.
  6. Todos los recursos deben tener una autenticación y autorización dinámica antes de otorgar su acceso.
  7. La organización recolecta la mayor cantidad de información del estado actual de los activos, infraestructura de red y comunicaciones y la utiliza para mejorar la postura de seguridad.

Aunque son principios básicos de seguridad, la arquitectura Zero Trust no tiene en cuenta varios de ellos que garantizan una arquitectura robusta (ver security architecture del ISF).

 

Riesgos de ZTA

En la publicación especial de NIST se exponen algunos riesgos críticos de la ZTA, que se mencionan a continuación: 

  • Control de versiones del proceso de decisión de ZTA

Los modelos de control se clasifican en discrecional, basados en roles y mandatorios. El más seguro es el modelo mandatorio, pero es el menos ágil, inversamente tenemos el modelo discrecional, el menos seguro pero más ágil. 

El modelo ZTA y la mayoría de Firewalls actuales se basan en modelos discrecionales. El modelo ZTA no cambia y expone a la compañía al mismo riesgo que causa una mala configuración de las políticas.

  • Denial of Service (DoS) o caída de componentes en la red

Los sistemas de Administración y Motor de Políticas se convierten en elementos claves de la arquitectura. Cualquier falla puede dejar sin acceso a todos los recursos de la red.

  • Robo de Credenciales / Amenaza Interna

La ZTA no enfrenta de forma efectiva el riesgo más crítico actual de las arquitecturas de red seguras y es la suplantación de identidad. Debido a que este tipo de arquitectura se basa en autenticación y autorización; el phishing, la ingeniería social o una combinación de estos dos ataques se enfocan a la obtención de cuentas clave para acceder a las zonas de confianza.

  • Visibilidad de la red

La infraestructura tiene límites y las soluciones de seguridad no siempre tienen la capacidad de realizar el deep packet inspection de todas las comunicaciones de red. Muchas veces no es factible examinar tráfico cifrado, por lo que muchos ataques pueden pasar desapercibidos.

  • Resguardo de información de sistemas y redes

Toda información que sea sensible en la red y la configuración de sistemas se deben proteger para que no accedan personas no autorizadas. Esta información puede ayudar a entender claramente cómo evadir los controles de la ZTA.

  • Soporte en soluciones o estructuras de datos propietarias

La ZTA se soporta en diferentes fuentes de datos para tomar decisiones, sin embargo, si no tiene un estándar se puede tener problemas de interoperabilidad.

  • Uso de Non Person Entities (NPE) en la administración del ZTA

Al conectar servicios se puede afectar la política con falsos positivos y negativos impactando la postura de seguridad de la organización.

 

Una arquitectura de red robusta

La ZTA contiene los principios de red segura evolucionados pero deja por fuera otros elementos claves y no tiene en cuenta muchos aprendizajes que se han obtenido con respecto a la tecnología y las capacidades de los controles de seguridad.

El primer elemento en el que falla el modelo Zero Trust es que confía totalmente en el Policy Decision/Enforcement Point (PDP/PEP). La confianza es un elemento clave del ser humano y la seguridad no puede ir en contra de nuestra propia naturaleza. 

Los elementos que hacen parte de los principios de seguridad y no están incluidos son: 

  • Defensa en profundidad
  • Seguridad por diseño
  • Seguridad en la falla
  • Simplicidad

El segundo elemento es el DataDriven Security o Seguridad basada en datos, es fundamental en una arquitectura robusta. La ZTA lo tiene en cuenta como fuente de información externa que ayuda a la toma de decisiones y no cómo el core de la arquitectura.

Por último, toda la prevención está soportada en el PDP/PEP, desconociendo que la necesidad de responder y prevenir se da en todos los recursos y sistemas que hacen parte de nuestra arquitectura de red, lo que llamamos en la actualidad arquitectura de red adaptativa.

El diseño de arquitecturas de red seguras ha evolucionado a través de los años. Hoy en día, las organizaciones le están apostando a los servicios y soluciones en la nube que les ayuden a ser ágiles y a automatizar al máximo sus interacciones entre sus clientes y la entrega de productos y servicios. Esto ha hecho evolucionar las premisas de seguridad y los controles para proteger los recursos. 

A pesar de que la arquitectura Zero Trust (Cero Confianza) aplica un conjunto de controles para dar garantía de que el tráfico analizado tenga el mismo nivel de confianza, no incluye algunos principios de seguridad, lo que no garantiza una arquitectura robusta y conlleva a experimentar riesgos críticos dentro de las organizaciones. 

Por: Javier Díaz Evans