Oracle creó Oracle Cloud Infrastructure (OCI) basándose en un principio de diseño que prioriza la seguridad e implementando la seguridad básica de confianza cero (o Zero Trust Security) desde el primer paso, mediante controles como la raíz de confianza basada en hardware, Isolated Network Virtualization y la hipersegmentación. Además de este diseño centrado en la seguridad, se proporcionan servicios de seguridad que pueden ayudar a nuestros clientes a seguir esta filosofía. El mundo de la seguridad no se detiene y tampoco OCI en lo que se refiere a las capacidades de seguridad que se desarrollan y brindan a nuestros clientes. Como resultado, nos complace anunciar una versión actualizada de nuestro documento técnico, Approaching Zero Trust Security in Oracle Cloud Infrastructure.
Es posible que hayas oído hablar del memorando M-22-09 que se publicó a principios de 2022, en el que se describe la estrategia federal de los Estados Unidos para que el Gobierno del país adopte una arquitectura de confianza cero en 2024. Esta estrategia sentará las bases para llevar a cabo un cambio de paradigma en la seguridad cibernética federal y proporcionará un modelo al que otros podrán adherirse. La declaración principal del memorando señala, “El Gobierno Federal ya no puede depender de las defensas convencionales basadas en el perímetro. Los usuarios deben iniciar sesión en las aplicaciones, y no en las redes”. Este es un ejemplo clásico que pone de relieve la forma en que ha cambiado el modelo de seguridad tradicional de “castle-and-moat” durante las dos últimas décadas, y subraya el hecho de que las organizaciones no deben demorar su respuesta a que suceda la próxima infracción de ciberseguridad. Más bien, las organizaciones deben tomar medidas más proactivas para crear una seguridad de confianza cero que ofrezca mayor resiliencia. Como se indica en la introducción del memorando que se incluye a continuación, los departamentos del Gobierno de los Estados Unidos deben avanzar hacia una arquitectura de confianza cero.
“Este memorando establece una estrategia de arquitectura de confianza cero a escala federal (ZTA), que obliga a los organismos a cumplir normas y objetivos específicos de ciberseguridad antes de que finalice el Año Fiscal (AF) de 2024 a fin de fortalecer la defensa del Gobierno frente a campañas de amenazas cada vez más sofisticadas y persistentes”.
-Lee más: La seguridad en la nube puede ayudar a mejorar la detección de amenazas y reducir el agotamiento
Con frecuencia escuchamos que nuestro clientes han planificado adoptar un modelo de confianza cero que les permita mejorar su enfoque general en materia de ciberseguridad. Sin embargo, la seguridad de confianza cero no es una herramienta ni un producto que se pueda comprar, o una casilla de control que se pueda activar dentro de una aplicación. Se trata de un paradigma de seguridad y un método progresivo cuya adopción requiere de tiempo, esfuerzo e inversión. Oracle Cloud Infrastructure (OCI) puede ayudarte a acelerar tu transición hacia la seguridad de confianza cero.
Hemos aprovechado la oportunidad que nos brinda esta reciente versión para actualizar el documento y utilizar el último conjunto publicado de Ocho principios de seguridad de confianza cero del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, en lugar de los principios beta que se usaron en la versión previa. Además, también hemos actualizado el documento con algunas de las capacidades de seguridad más recientes de OCI, incluidas las siguientes:
- OCI Threat Intelligence
- Oracle Cloud Guard Threat Detector
- Oracle Cloud Guard Fusion Applications Detector
- OCI Vulnerability Scanning
- OCI Bastion
- OCI Certificates
- Custom Security Zones
- Protección OCI WAF para equilibradores de carga
- OCI Network Firewall (con tecnología de Palo Alto)
- OCI Identity and Access Management (IAM) Domains (la fusión de OCI IAM e Identity Cloud Service (IDCS) en un servicio combinado)
Si aún no has leído el documento técnico pero te interesa OCI y cómo puede ayudarte a adoptar una seguridad de confianza cero, te recomendamos que lo hagas. Proporciona un enfoque muy pragmático para tu transición hacia la seguridad de confianza cero. Si ya has tenido la oportunidad de leerlo, es posible que este sea un buen momento para revisitarlo y comprobar cómo los nuevos servicios de seguridad de OCI mencionados pueden ajustarse a tu arquitectura global de seguridad de confianza cero.
A menudo se escuchan diversos mitos sobre la seguridad de confianza cero, así que queríamos disipar los más enraizados.
Mito 1: La confianza cero es solo propaganda pasajera de marketing, no un modelo práctico.
Si bien es cierto que muchas organizaciones han aprovechado la oportunidad para adaptar sus productos y servicios al modelo de confianza cero, no es solo propaganda de marketing. Se trata de una filosofía de diseño y una nueva concepción de la seguridad de los activos de TI modernos, donde los datos están distribuidos en múltiples ubicaciones, tanto en entornos locales como en la nube. Además, gracias a publicaciones como las del National Institute for Standards in Technology (NIST) de EE. UU., este es un movimiento que está ganando adeptos e impulso.
Mito 2: La seguridad de confianza cero es solo para grandes organizaciones que cuenten con una arquitectura de seguridad madura
Como ya mencionamos, la seguridad de confianza cero no es un producto o solución de seguridad, sino un paradigma de seguridad, un enfoque progresivo que se puede introducir gradualmente en cualquier organización. Por ejemplo, el punto de partida podría ser tan sencillo como cuando las organizaciones empiezan a exigir la autenticación multifactor (MFA) para sus usuarios. Por lo tanto, la seguridad de confianza cero también contribuye a que las organizaciones más pequeñas creen el tipo adecuado de arquitectura de seguridad desde el principio.
Mito 3: La seguridad de confianza cero se centra únicamente en la identidad o la seguridad de la red
De hecho,la confianza cero tiene tres dimensiones (protección de la red, protección de las identidades y el acceso, y protección y supervisión de los servicios) que deben estar alineadas para proteger la joya de la corona de las organizaciones: los datos.
En una arquitectura de cero confianza, dado que suponemos que la red es hostil, debemos pensar cómo microsegmentarla para limitar el radio de acción de las amenazas. Tenemos que pensar en cómo realizar una supervisión de protección continua que ayude a identificar patrones de actividad en tus redes, que a su vez pueden proporcionar indicadores de compromiso. Por lo tanto, la red es la primera dimensión de la seguridad de confianza cero.
Entonces necesitamos entender quién accede a los datos y los servicios. Dado que no confiamos de manera inherente en la red, resulta fundamental que, en todo momento, autentiquemos y autoricemos cualquier cosa que esté intentando conectarse a los sistemas antes de conceder el acceso. Necesitamos contar con sólidas políticas de acceso que garanticen que las identidades adecuadas tengan los permisos apropiados para acceder a los recursos y datos pertinentes. Por lo tanto, la segunda dimensión de la seguridad de cero confianza es la identidad.
Dado que no se puede confiar en la red, los servicios de seguridad deben diseñarse para proteger el entorno utilizando, cuando sea necesario, herramientas de supervisión continua y solución automatizada. Todos los servicios tienen que aplicar de forma dinámica controles de seguridad en tiempo real para cada flujo de solicitud-respuesta: no solo en el perímetro, sino en todas las capas, incluida la infraestructura, la red, la aplicación y los puntos de acceso a datos de la empresa. Deben supervisar el entorno adecuadamente, no solo desde el punto de vista de la salud, sino también desde el punto de vista de la detección de amenazas en tiempo real.
Por lo tanto, todas estas dimensiones han de funcionar de forma coordinada para ofrecer un mecanismo de defensa por capas mientras se implementa la seguridad de confianza cero.
Mito 4: La seguridad de confianza cero perjudica la experiencia del usuario.
Si se implementa de manera correcta, la seguridad de confianza cero mejora la experiencia del usuario y reduce la complejidad de la arquitectura global de seguridad. Debe evitar los puntos débiles de seguridad y evitar los accesos por puertas traseras. Por ejemplo, la capacidad de administrar las identidades de forma centralizada permite que los usuarios no tengan que recordar tantas contraseñas y, al mismo tiempo, disfruten de una experiencia positiva en general gracias a aspectos de seguridad adicionales como la autenticación multifactor.
Por lo tanto, si aún no has comenzado, te recomendamos que inicies tu transición hacia el paradigma de confianza cero. Para empezar, elige un proveedor en la nube que se alinee con una estrategia de seguridad de confianza cero y que pueda proporcionar los controles necesarios para acelerar el desarrollo de un programa basado en ella. Obtén más información sobre cómo Oracle puede ayudar a sus clientes a adoptar la seguridad de confianza cero aquí con la última edición del documento técnico.