Get best of the week

Implementación de la arquitectura de seguridad de confianza cero: segunda edición


Fuente

A principios de 2020, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) publicó un borrador de la segunda edición del documento, que aborda los componentes lógicos básicos de una arquitectura de confianza cero (Zero Trust Architecture, ZTA).

Zero Trust se refiere a un conjunto evolutivo de paradigmas de seguridad de red basados ​​en el principio de "no confiar nada en nadie". A diferencia de los enfoques clásicos que prestan más atención a la protección del perímetro, el modelo Zero Trust se centra en la seguridad de los recursos, en lugar de los segmentos de la red empresarial.

Hoy estudiaremos un modelo de mejora de ciberseguridad basado en los principios de la arquitectura con cero confianza, evaluaremos los riesgos de su uso y nos familiarizaremos con algunos escenarios de implementación populares.

Zero Trust: The Beginning


El primer proyecto NIST ZTA apareció en septiembre de 2019, aunque el concepto de confianza cero existía en la ciberseguridad mucho antes de que apareciera el término "confianza cero".

La Agencia de Sistemas de Información de Defensa (DISA) y el Departamento de Defensa de los Estados Unidos publicaron un documento en 2007 sobre la estrategia segura de la compañía. Esta estrategia, llamada "Black Core", preveía la transición de un modelo de seguridad basado en el perímetro a un modelo centrado en la seguridad de las transacciones individuales.

En 2010, John Kinderwag, analista jefe de Forrester Research, para formular varias soluciones que cambian el enfoque de la percepción de amenazas (desde la seguridad basada en una estrategia de protección perimetral hasta el control de todos los datos disponibles), formulóel término "confianza cero".

El modelo Zero Trust fue un intento de resolver el problema clásico, cuando un intruso que penetra en la red obtiene acceso a todos sus componentes. Baste decir que, según el Informe de Vulnerabilidades de Microsoft , los efectos del 88% de las vulnerabilidades críticas podrían eliminarse o, al menos, mitigarse, privando a los usuarios de los derechos de administrador.

Las redes corporativas protegidas por perímetro brindan a los usuarios autenticados acceso autorizado a una amplia gama de recursos. Como resultado, el movimiento lateral no autorizado dentro de la red se ha convertido en uno de los problemas de ciberseguridad más graves.

Modelo de confianza cero


Para implementar el modelo Zero Trust, debe distribuir los privilegios mínimos de acceso y maximizar los detalles de los paquetes de datos. En un modelo con confianza cero, usted define un "espacio protegido", que consta de los datos y recursos más importantes y valiosos, y fija las rutas de tráfico en toda la organización en términos de su relación con los recursos protegidos.

Tan pronto como aparece una comprensión de las conexiones entre recursos, infraestructura y servicios, es posible crear microperímetros - cortafuegos a nivel de segmentos de redes corporativas. Al mismo tiempo, los usuarios que pueden pasar microperímetros de forma remota se encuentran en cualquier parte del mundo y utilizan diversos dispositivos y datos.

Una característica distintiva de la arquitectura Zero Trust es una gran atención a la autenticación y autorización antes de proporcionar acceso a los recursos de cada empresa. Al mismo tiempo, se requiere minimizar los retrasos en los mecanismos de autenticación.

La figura muestra un modelo de acceso abstracto en ZTA.


En el modelo, el usuario (o dispositivo) necesita acceder al recurso corporativo a través de un "punto de control". El usuario pasa la verificación a través del punto de decisión de acceso basado en la política de seguridad (Policy Decision Point, PDP) y a través del punto de implementación de la política (Policy Enforcement Point, PEP), que es responsable de llamar al PDP y procesar correctamente la respuesta.

La idea es mover el punto de aplicación de la política lo más cerca posible de la aplicación. PDP / PEP no puede aplicar políticas adicionales fuera de su ubicación en el flujo de tráfico.

Principios de confianza cero


Aquí hay siete principios básicos de ZT y ZTA (en forma abreviada) que deben tenerse en cuenta al construir un sistema seguro. Estos principios son un "objetivo ideal", pero no todos pueden implementarse completamente en cada caso.

  1. Todas las fuentes de datos y servicios se consideran recursos. Una red puede constar de varios dispositivos de diferentes clases. Una empresa tiene derecho a clasificar los dispositivos personales como recursos si pueden acceder a los datos y servicios de la empresa.
  2. . . , (, ), , , . , .
  3. . .
  4. , , (, ). — , , , .
  5. , , . « » , , .
  6. . , , . , , ZTA, , , .
  7. , , , .



Aquí, por conveniencia, este no es el dibujo original de NIST, sino la versión del artículo de Cisco "Cómo hacer una elección deliberada de estilo de vida de ciberseguridad"

Hay muchos componentes lógicos que conforman la arquitectura Zero Trust en la empresa. Estos componentes pueden funcionar como un servicio local o a través de la nube. La figura anterior muestra el "modelo ideal" que demuestra los componentes lógicos y su interacción.

La integración de información sobre los recursos de la compañía, sobre los usuarios, sobre los flujos de datos y sobre los procesos de trabajo con la política de reglas forma la entrada necesaria para tomar una decisión sobre el acceso a los recursos.

Cuando el usuario (sujeto) inicia el procedimiento de autenticación, la identificación digital se construye alrededor de él. En la figura, este procedimiento se presenta desde el bloque Asunto. Otro término para dicho usuario es Principal, es decir, un cliente para el que se permite la autenticación.

El diagrama de red presentado anteriormente se divide en varios niveles de tráfico. El nivel de control (Plano de control) está separado de otra parte de la red que puede ser visible para el usuario. Desde el punto de vista del principal, solo existe la capa de datos de esta red.

El plano de control alberga el punto de decisión de acceso (PDP), que consta de dos componentes lógicos:

  • Policy Engine (PE), . , (, ) , ;
  • Policy Administrator (PA), / . Policy Enforcement Point (PEP), (Data Plane).

PEP es responsable de habilitar, monitorear, llamar al PDP y procesar correctamente su respuesta, y, en última instancia, de romper las conexiones entre el sujeto y el recurso corporativo. Fuera de PEP, hay una zona de confianza implícita en la que se encuentra el recurso corporativo.

Todos los demás campos (izquierda y derecha en la figura) muestran los componentes de seguridad que pueden proporcionar la información necesaria para tomar una decisión sobre el acceso a PDP / PEP. Estos incluyen, por ejemplo, un sistema continuo de diagnóstico y monitoreo (MDL) que recopila información sobre el estado actual de los activos de una empresa.

Identificación y microsegmentación.


Al desarrollar una ZTA, la identidad de los actores se utiliza como un componente clave para crear una política de acceso. La identidad se refiere a los atributos de autenticación y los atributos del usuario en la red, es decir, los datos que se pueden verificar para garantizar la legitimidad del acceso.

El objetivo final de la gestión de identidad empresarial es limitar la presentación de cada usuario de la red a aquellos recursos sobre los que tienen derechos.

Una empresa puede proteger los recursos en su propio segmento de red con dispositivos de firewall de próxima generación ( NGFW)), usándolos como un punto de aplicación de políticas. Los NGFW proporcionan dinámicamente acceso a solicitudes individuales de clientes. Este enfoque se aplica a varios casos de uso y modelos de implementación, ya que el dispositivo de protección actúa como una PEP y la gestión de estos dispositivos es un componente de PE / PA. Las redes superpuestas

también se pueden usar para implementar ZTA . Este enfoque a veces se denomina modelo de perímetro definido por software ( SDP ) y a menudo incluye conceptos de una red definida por software ( SDN ). Aquí, el administrador de políticas actúa como un controlador de red que instala y reconfigura la red según las decisiones tomadas por el motor de políticas.

Escenarios clave de implementación



El escenario de implementación de ZTA más común se relaciona con una empresa que tiene una oficina central y varias ubicaciones distribuidas geográficamente conectadas entre sí por canales de red externos y no empresariales.

En este esquema, los trabajadores remotos aún necesitan acceso total a los recursos corporativos, y el bloque PE / PA a menudo se implementa como un servicio en la nube.


A medida que una empresa se traslada a más aplicaciones y servicios en la nube, un enfoque de confianza cero requiere que PEP se ubique en los puntos de acceso de cada aplicación y fuente de datos. PE y PA pueden ubicarse en la nube, o incluso en el tercer proveedor de la nube (fuera del Proveedor de la nube A y el Proveedor de la nube B).


Otro escenario común es una empresa con visitantes y / o contratistas que requieren acceso limitado a recursos corporativos. En este ejemplo, la organización también tiene un centro de convenciones donde los visitantes interactúan con los empleados.

Con el enfoque de Protección definida por software de ZTA, los visitantes pueden acceder a Internet, pero no pueden acceder a los recursos corporativos. A veces ni siquiera tienen la capacidad de descubrir servicios corporativos a través de un escaneo de red.

Aquí, PE y PA se pueden alojar como un servicio en la nube o en una red local. PA garantiza que todos los activos que no sean propiedad de la compañía tendrán acceso a Internet, pero no a los recursos locales.

Siete riesgos de implementación de confianza cero


Impacto en la toma de decisiones


En ZTA, los componentes de Policy Engine y Policy Administrator son clave para toda la empresa. Cualquier administrador con acceso a la configuración de la regla PE puede hacer cambios no autorizados o cometer errores que interrumpan la operación. Una AP comprometida puede proporcionar acceso a todos los recursos protegidos. Para mitigar los riesgos, los componentes de PE y PA deben configurarse y probarse adecuadamente.

Negación de servicio


PA es un componente clave para acceder a los recursos: sin su permiso es imposible establecer una conexión. Si, como resultado de un ataque DoS o intercepción de tráfico, un atacante viola o niega el acceso a PEP o PA, esto puede afectar negativamente el funcionamiento de la empresa. La empresa tiene la capacidad de mitigar la amenaza al colocar PA en la nube o al replicarla en varios lugares.

Credenciales robadas


Los atacantes pueden usar phishing, ingeniería social o una combinación de ataques para obtener las credenciales de cuentas valiosas. La implementación de la autenticación multifactor puede reducir el riesgo de acceso desde una cuenta comprometida.

Visibilidad de la red


Parte del tráfico (posiblemente más grande) en la red empresarial puede no ser transparente para las herramientas de análisis de red tradicionales. Esto no significa que la empresa no pueda analizar el tráfico encriptado; puede recopilar metadatos y usarlo para detectar actividades sospechosas. Los métodos de aprendizaje automático le permiten explorar el tráfico a un nivel profundo.

Almacenamiento de información de red


El tráfico de red y los metadatos utilizados para crear políticas contextuales pueden ser el objetivo de los ataques de piratas informáticos. Si un atacante obtiene acceso a la información del tráfico, puede hacerse una idea de la arquitectura de la red y determinar los vectores de nuevos ataques.

Otra fuente de inteligencia para un atacante es la herramienta de administración utilizada para codificar las políticas de acceso. Al igual que el tráfico almacenado, este componente contiene políticas de acceso a recursos y puede mostrar qué cuentas son las más valiosas para el compromiso.

Confianza en formatos de datos propietarios


ZTA utiliza varias fuentes de datos diferentes para tomar decisiones de acceso. A menudo, los recursos utilizados para almacenar y procesar esta información no tienen un estándar de interoperabilidad abierto común. Si un proveedor tiene un problema o tiene una violación de seguridad, la compañía a veces no tiene la oportunidad de cambiar a otro proveedor sin un costo indebido.

Al igual que los ataques DoS, este riesgo no es exclusivo de ZTA, pero dado que ZTA depende en gran medida del acceso dinámico a la información, una violación puede afectar las funciones comerciales clave. Para mitigar los riesgos, las empresas deben evaluar a los proveedores de servicios de manera integrada.

Acceso a entidades no personales (NPE) a componentes de gestión


Las redes neuronales y otros agentes de software se utilizan para gestionar problemas de seguridad en redes corporativas y pueden interactuar con componentes críticos de ZTA (por ejemplo, Policy Engine y Policy Administrator). La cuestión de la autenticación NPE en la empresa con ZTA permanece abierta. Se supone que la mayoría de los sistemas tecnológicos automatizados seguirán utilizando algunos medios de autenticación para acceder a la API (por ejemplo, el código de clave API).

El mayor riesgo al usar tecnología automatizada para configurar y aplicar políticas es la probabilidad de reacciones falsas positivas (acciones inofensivas confundidas con ataques) y falsas negativas (ataques confundidos con actividad normal). Su número puede reducirse mediante un análisis regular de las reacciones.

Conclusión


ZTA hoy se parece más a un mapa de una fortaleza confiable que a un mapa con puntos clave marcados para viajar. Sin embargo, muchas organizaciones ya tienen elementos ZTA en su infraestructura corporativa. Según el NIST, las organizaciones deberían esforzarse por introducir gradualmente principios de confianza cero. Durante mucho tiempo, la mayoría de las infraestructuras corporativas funcionarán en modo híbrido con cero confianza / perímetro.

Para explorar más a fondo el tema de la aplicación del concepto Zero Trust, preste atención a los siguientes materiales:

More articles:


All Articles