Primeros pasos con el sistema Zero Trust para

garantizar la seguridad de su red

Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red

Resumen
La repetida y continuada incidencia de ataques informáticos contra las empresas actuales ha puesto de
manifiesto que las estrategias de seguridad tradicionales que se centran en el perímetro ya no resultan
efectivas. La mala efectividad de las arquitecturas formadas con base en dichas estrategias es resultado no
solamente de la teoría obsoleta de que se puede confiar en todo lo que se encuentra dentro de la red de
una organización, sino también de la incapacidad de los sistemas anticuados para ofrecer una visibilidad,
un control y una protección adecuados del tráfico de aplicaciones en los límites de la red.

Zero Trust (Confianza Cero), un modelo alternativo de seguridad, fue presentado por primera vez por
Forrester Research y tiene por finalidad subsanar las deficiencias de las estrategias que se centran en
el perímetro eliminando el elemento de la confianza de la ecuación. Con Zero Trust, se implementan
opciones de seguridad esenciales de forma que se permita aplicar las políticas y proteger a todos
los usuarios, dispositivos, aplicaciones, recursos de datos y tráfico de comunicaciones entre ellos,
independientemente de su ubicación.

En este informe se presentarán la necesidad de implementar el método de seguridad de redes Zero Trust
e información detallada sobre dicho método. También se concretarán los criterios y funciones esenciales
necesarios para una implementar una solución Zero Trust, se expondrá la forma en la que la plataforma
de seguridad de nueva generación de Palo Alto Networks® cumple con dichos requisitos y servirá de guía
para migrar paulatinamente a un diseño de Zero Trust (Confianza Cero).

Entre las ventajas de las que gozarán las organizaciones que implementen la red Zero Trust de Palo Alto
Networks se incluyen las siguientes:

• Mejora notable de la efectividad a la hora de atenuar la fuga de datos gracias a la visibilidad y habilit-
ación segura de aplicaciones, y detección y prevención de amenazas avanzadas;
• mayor efectividad de cumplimiento de disposiciones en materia de seguridad y privacidad;
• mayor capacidad para implementar de forma segura las iniciativas de cambios estructurales de TI, como
la movilidad de usuarios y la virtualización de la infraestructura; y
• reducción drástica del coste total de inversión en seguridad de TI.
El sistema tradicional de seguridad de redes no funciona
Según el Informe de Defensa contra Amenazas Informáticas de 2014, más del 60 % de las organizaciones
fueron víctimas de uno o más ataques informáticos en 2013.1 Estos datos no son de extrañar, debido al
nivel de confianza que las organizaciones actuales depositan en las estrategias de seguridad centradas en el
perímetro. La gran verdad es que los métodos que se colocan sus medidas de seguridad en el perímetro ya
no funcionan.

La confianza debe depositarse en otro lugar

La principal cuestión que plantean las estrategias de seguridad centradas en el perímetro de la red, donde
implementan una serie de medidas en puntos de entrada y salida de la red bien definidos, es que se basan
en la suposición de que se puede confiar en todo lo que hay dentro de la red. No obstante, ya no es seguro
suponerlo, debido a las condiciones empresariales y los entornos informáticos actuales en los que:

• los empleados que acceden a la red de forma remota, los usuarios que utilizan dispositivos móviles y las
soluciones informáticas difuminan la diferencia entre lo “interno” y lo “externo”;
• las tecnologías inalámbricas, la proliferación de conexiones de socios y la necesidad de ofrecer acceso a
invitados implican accesos incontables a la red;
• las sucursales de las empresas pueden ubicarse en “países de interés” que no son de confianza; y
• los usuarios que se introducen en la red, ya sea de forma maliciosa o inintencionada, pueden suponer una
auténtica amenaza.

PAGE 2
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red

Dichas estrategias tampoco tienen en consideración:

• El potencial de las amenazas informáticas sofisticadas para burlar las defensas del perímetro, en
cuyo caso tienen total libertad para moverse por el interior de la red;
• las situaciones en las que los usuarios maliciosos pueden obtener acceso al interior de la red y a
recursos sensibles utilizando credenciales robadas a usuarios de confianza; y
• la realidad de que el interior de las redes en contadas ocasiones es homogéneo, sino que más
bien incluye a usuarios y recursos con diferentes niveles de confianza/sensibilidad que en
cualquier caso, deberían estar separados (por ejemplo, los sistemas financieros y de I+D con
respecto a servidores de archivos/de impresión).
Funciones inadecuadas
Es importante darse cuenta de que un modelo de confianza que no funciona no es el único
responsable de la falta de efectividad de los métodos de seguridad de la red basados en el
perímetro. Otro factor que contribuye a ello es que las tecnologías y los dispositivos obsoletos
que suelen utilizarse para construir los perímetros de las redes dejan pasar demasiado tráfico no
deseado. Las deficiencias típicas en este sentido incluyen la incapacidad para:

• Distinguir claramente las aplicaciones buenas de las malas (lo cual lleva a crear ajustes de
control de acceso demasiado permisivos);
• Controlar de forma adecuada el tráfico de aplicaciones cifradas;
• Identificar y controlar de forma precisa a los usuarios (independientemente de su ubicación o
del dispositivo que estén usando); y
• Filtrar el contenido permitido no solamente para las aplicaciones que conllevan amenazas,
sino también para las desconocidas.
El resultado es que redistribuir las defensas de una red de forma que tenga unos límites notables
de confianza a nivel interno no es suficiente. Debe prestarse especial atención en garantizar que
los dispositivos y tecnologías utilizados para implementar dichos límites en realidad ofrecen las
funciones de visibilidad, control y análisis de amenazas necesarios para habilitar de forma segura
las aplicaciones básicas de un negocio, al tiempo que impiden el paso de malware actual, ataques
dirigidos y filtraciones no autorizadas de datos sensibles de la empresa.

El modelo Zero Trust o de Confianza Cero: la solución que ofrece una seguridad
eficaz a las redes actuales
Zero Trust, un prometedor modelo alternativo de seguridad TI, está ideado para solucionar
las deficiencias de las estrategias centradas en el perímetro y de las tecnologías y dispositivos
obsoletos que se utilizan para implementarlas, no fiándose de nada y analizándolo siempre todo,
lo cual se diferencia en gran medida de los modelos de seguridad convencionales que funcionan
sobre la base del “confiar pero comprobar”.

En concreto, con Zero Trust no hay ningún tipo de confianza predeterminada para ningún elemento
que entre en ella (ni usuarios, ni dispositivos, ni aplicaciones, ni paquetes), independientemente de su
naturaleza y ubicación o de que estén relacionados con la red de la empresa. Además, comprobar
que los elementos autorizados siempre hacen aquello para lo que tienen permiso ya no es algo
opcional, es necesario.

Las implicaciones de estos dos cambios son, respectivamente:

a) La necesidad de establecer límites de confianza que separen por grupos los diferentes
segmentos del entorno informático interno. La idea general es acercar la funcionalidad de
seguridad a los diferentes recursos que necesitan protección. De esta forma, siempre puede
aplicarse, independientemente del punto de origen del tráfico de comunicaciones asociado.

PAGE 3
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red

b) La necesidad de implantar límites de confianza para configurar algo más allá que una autorización
inicial y un control de acceso. Seguir el método de comprobarlo todo siempre implica también un
seguimiento y un análisis continuo del tráfico de comunicaciones asociado en busca de actividades
maliciosas (como amenazas).

El principio general de Zero Trust y sus implicaciones se refleja también en los tres conceptos que definen
los objetivos operativos de una implementación de Zero Trust.2

Concepto n.º 1: Garantizar que se puede acceder a todos los recursos de forma segura independientemente
de la ubicación, lo cual implica no solo la necesidad de confiar en los límites sino también un mayor uso
del acceso seguro a las comunicaciones hacia o desde los recursos, incluso cuando las sesiones se limitan
al interior de la red. También significa que solamente los dispositivos con el estado y la configuración
adecuados (por ejemplo, los que están gestionados por el equipo de TI cuentan con un cliente VPN y
contraseñas correctas y no activan ningún malware) pueden acceder a la red.

Concepto n.º 2: Adoptar una estrategia de privilegios mínimos y aplicar un control de acceso estricto. El
objetivo en este caso es minimizar el acceso permitido a los recursos a fin de reducir las posibilidades de
que el malware y los atacantes consigan acceso no autorizado y, por lo tanto, se extiendan por la red o
filtren datos sensibles.

Concepto n.º 3: Analizar y registrar todo el tráfico. Con ello se reitera la necesidad de comprobarlo todo,
al tiempo que queda claro que una protección adecuada implica algo más que simplemente controlar de
forma estricta los accesos. Debe prestarse especial y continua atención a lo que ocurre exactamente en las
aplicaciones “habilitadas” y la única forma de hacerlo es analizando el contenido en busca de amenazas.

Arquitectura conceptual de Zero Trust

Para que se pueda entender cómo es Zero Trust en la práctica, se ha elaborado un esquema de su
arquitectura en la Figura 1.

Los principales elementos son la Plataforma de Segmentación Zero Trust, las zonas de confianza y la
infraestructura de gestión asociada.

Zona de aplicaciones Zona de aplicaciones Zona de aplicaciones

de control PCI de los empleados web

Plataforma de
Zona de campus segmentación Zona de gestión
Zero Trust

Zona inalámbrica
Zona B2B

Figura 1 – Esquema de la arquitectura de Zero Trust

PAGE 4
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red

Plataforma de Segmentación Zero Trust. La Plataforma de Segmentación Zero Trust, llamada

“puerta de segmentación de la red” por Forrester Research3, es el elemento utilizado para
definir los límites de confianza interna. En otras palabras, es lo que ofrece la mayoría de la
funcionalidad de seguridad necesaria para cumplir los objetivos operativos de Zero Trust,
incluyendo la capacidad para permitir un acceso seguro a la red, un control exhaustivo del flujo
de tráfico desde y hacia los recursos y un seguimiento continuo de las sesiones permitidas en
busca de amenazas. Aunque en la Figura 1 se muestra la Plataforma de Segmentación Zero Trust
como un elemento único en una ubicación física única, en la práctica (debido al rendimiento, la
ampliación y las limitaciones físicas) es más probable que una implementación efectiva implique
que existan varias distribuidas por toda la red de la organización. Asimismo, es designada como
“plataforma” no solo para reflejar que es un conjunto de múltiples tecnologías de seguridad
distintas (y potencialmente distribuidas), sino también para que funcionen como un marco
de protección integral contra amenazas a fin de reducir la superficie de ataque y recopilar
información sobre las amenazas que se encuentren.

Zonas de confianza. Una zona de confianza, llamada “micronúcleo y microperímetro (MCAP,

por sus siglas en inglés)” por Forrester Research4, es una estructura en la que los recursos
miembros no solamente trabajan en el mismo nivel de confianza sino que también comparten
una funcionalidad similar. Compartir funcionalidad, como protocolos y tipos de operaciones,
es algo imperativo, ya que es lo que se necesita para reducir al mínimo el número de rutas
permitidas de entrada y salida de una zona específica y, al mismo tiempo, minimizar la
posibilidad de que los intrusos maliciosos y otros tipos de amenazas consigan acceso no
autorizado a recursos sensibles.

Son ejemplos de zonas de confianza en la Figura 1 la zona de usuarios (o del campus), una zona
inalámbrica para el acceso de invitados, una zona de datos de titulares de tarjetas, zonas de bases de
datos y aplicaciones para servicios a varios niveles y una zona para las aplicaciones web públicas.

Es importante tener en cuenta también que una zona de confianza no está diseñada para
ser un “lugar de confianza” en el que los sistemas (y, por lo tanto, las amenazas) de la zona
puedan comunicarse libre o directamente entre ellos. Para implementar completamente una
zona de confianza, la red debe configurarse de forma que garantice que TODO el tráfico de
comunicaciones, incluyendo el de los dispositivos en la misma zona, esté gestionado por la
Plataforma de Segmentación Zero Trust.

Infraestructura de gestión. Las funciones de gestión centralizada son de vital importancia

para una administración eficaz y un seguimiento continuo, especialmente en los casos de
implementaciones que impliquen múltiples Plataformas de Segmentación Zero Trust distribuidas.
Además, una red de adquisición de datos ofrece una forma conveniente de complementar las
funciones de seguimiento y análisis propios de una Plataforma de Segmentación Zero Trust.
Al reenviar todos los archivos de registro de sesión a una red de adquisición de datos, pueden
procesar estos datos tantas herramientas y tecnologías de análisis externas como se desee, para
mejorar por ejemplo la visibilidad de la red, para detectar amenazas desconocidas o para cumplir
con los requisitos de elaboración de informes.

Implementación del sistema Zero Trust con Palo Alto Networks

Dado que el corazón de cualquier arquitectura de seguridad de redes Zero Trust es la Plataforma
de Segmentación Zero Trust, es necesario que las organizaciones escojan la solución correcta.
Para ello, en esta sección se presenta una serie de criterios y funciones para que los gestores y
arquitectos de seguridad de TI los tengan en cuenta a la hora de realizar una selección. En cada
caso, también se incluye un breve resumen sobre la forma en la que la plataforma de seguridad
de nueva generación de Palo Alto Networks cumple con los requisitos correspondientes.

PAGE 5
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red

Funciones de seguridad integral.

La plataforma de Palo Alto Networks ofrece:

• Acceso seguro. GlobalProtect™ ofrece conectividad IPsec y SSL VPN consistente y segura a
todos los empleados, socios, clientes e invitados, independientemente de su ubicación (por
ejemplo, en oficinas remotas, sucursales de la empresa, en la red local o por Internet). Políticas
para determinar qué usuarios y dispositivos pueden acceder a aplicaciones y datos sensibles
que pueden definirse en función de las aplicaciones, los usuarios, el contenido, el dispositivo y
el estado del dispositivo.
• Análisis de TODO el tráfico. App-ID™ identifica y clasifica de forma precisa todo el tráfico,
independientemente de los puertos y protocolos y las tácticas evasivas, como la evasión de
puertos o el cifrado. Esta tecnología elimina los métodos que el malware puede utilizar para
evitar ser detectado y ofrece un contexto completo de las aplicaciones, el contenido relacio-
nado y las amenazas.
• Control de accesos con privilegios mínimos. La combinación de App-ID, User-ID™ y Con-
tent-ID™ ofrece un modelo de control positivo que permite a las organizaciones controlar las
interacciones con recursos sobre la base de una amplia serie de atributos relacionados con
la empresa, incluyendo la aplicación específica y las funciones individuales que se utilicen, la
identidad de los usuarios o de un grupo y los tipos concretos o partes de datos a los que se
accede (por ejemplo, números de tarjetas de crédito o de la seguridad social). En compara-
ción con soluciones alternativas que dejan pasar demasiado tráfico, ya que están limitadas
por la clasificación a nivel de puertos y protocolos, el resultado es un control de accesos
verdaderamente exhaustivo que habilita de forma segura las aplicaciones para los grupos de
usuarios adecuados al tiempo que impide automáticamente que el tráfico no deseado, no au-
torizado y potencialmente peligroso acceda a la red. (véase la sección “¿Privilegios mínimos
o efectividad mínima?” a continuación)
• Protección contra amenazas avanzadas. La combinación de tecnologías de malware/antivirus y
de prevención de intrusiones y amenazas avanzadas (Content-ID y WildFire™) ofrecen una pro-
tección integral contra amenazas conocidas y desconocidas, incluyendo aquellas que acechan
a los dispositivos móviles. Además, contar con un apoyo para una defensa altamente integrada
y a nivel interno, garantiza que los dispositivos de aplicación internos y otros componentes del
ámbito de protección contra amenazas se actualizan automáticamente según la información
detectada por WildFire y otras fuentes de información sobre amenazas.
Cobertura para todos los ámbitos de la TI. La solución Zero Trust de Palo Alto Networks
incluye una oferta completa de dispositivos virtuales y hardware que permite la creación de
límites de confianza de forma integral y rentable por toda la red de la organización, incluyendo
las oficinas/sucursales remotas, los usuarios de dispositivos móviles en el perímetro de Internet,
en la nube o en la entrada del centro de datos, y accesos individuales, si los hubiera.

Diseño de alto rendimiento. Por definición, la Plataforma de Segmentación Zero Trust añade
numerosas funciones de seguridad y de acceso a la red. Sin embargo, también debe poder ofrecer
todas esas características sin que el rendimiento de la red se vea menoscabado. La solución
de Palo Alto Networks alcanza este objetivo utilizando principalmente una arquitectura de
software de única pasada. Los requisitos de procesamiento y latencia se minimizan dado que,
a diferencia de lo que ocurre con otras soluciones, no hay necesidad de que se procesen los
flujos de tráfico en varias ocasiones (por ejemplo, una vez para cada función de seguridad).
Además, los dispositivos hardware de Palo Alto Networks ofrecen planos de control y de
datos separados, además de motores hardware de procesamiento paralelo y por función (chips
a medida) para el procesamiento por paquetes, la aceleración de las funciones de seguridad
estándar y el escaneo de contenido dedicado. En la versión más potente, el resultado de
rendimiento de Zero Trust es de 120 Gbps, con una visibilidad y un control de aplicaciones,
usuarios y contenido imbatible.

PAGE 6
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red

Implementación flexible y fluida. En teoría,

sería posible implementar un modelo Zero ¿Privilegios mínimos o efectividad mínima?
Trust de forma que no implique ninguna
Las puertas de enlace y otros dispositivos de se-
modificación de la red existente y que sea
guridad de los sistemas obsoletos que confían en
completamente transparente para sus usuarios.
Las oportunidades para realizar cambios la tecnología stateful inspection en realidad no
importantes en las redes son escasas y las pueden aplicar una política de privilegios míni-
operaciones de interrupción del funcionamiento mos (es decir, aquella en la que solamente se
no son una buena opción. Por ello, los gestores permite el acceso a lo necesario para el funcio-
de seguridad necesitarán realizar el cambio namiento de la empresa). El problema con estos
de la mejor forma que puedan, normalmente dispositivos es que sus motores de clasificación
migrando a Zero Trust sobre la marcha. La solamente entienden direcciones IP, puertos y
plataforma de seguridad de nueva generación
protocolos y, por lo tanto, no pueden distinguir
de Palo Alto Networks cumple con este
las aplicaciones concretas que se encuentran
requisito de varias formas. Por ejemplo:
detrás de estos “disfraces” de bajo nivel. Con un
• El modo de despliegue en Virtual Wire dispositivo stateful inspection, por ejemplo, una
permite una introducción de capa 1
norma que permita el paso al tráfico que utiliza
y transparente en la red y no obliga a
el protocolo HTTP en el puerto TCP 80 permitiría
realizar cambios en la configuración de
dispositivos de red de alrededor. Todas las el paso no solo a una aplicación de comercio
tecnologías de seguridad de nueva gener- electrónico con permisos, sino también a un gran
ación son compatibles con este modo. número de posibles aplicaciones y utilidades
web, como las utilizadas para el correo web, las
• Un único dispositivo hardware puede
ser compatible con numerosos modos de redes sociales y otras con innumerables finali-
conexión diferentes (capa 1, capa 2 o capa dades. El resultado es que dichos dispositivos en
3), ampliando al máximo de esta forma realidad no son buenos candidatos para imple-
su capacidad de adaptación a zonas de mentar un modelo de seguridad Zero Trust.
confianza con diferentes necesidades.
• La compatibilidad con un amplio número
de tecnologías de red (como, por ejemplo, el cambio de capa 2/capa 3, el enrutamiento dinámico,
las VLAN 802.1Q, los puertos troncales y la formación de tráfico) garantiza la posibilidad de inte-
gración con casi cualquier entorno.
• Se pueden adaptar gran cantidad de ámbitos de gestión (véase la Figura 1) aprovechando la
capacidad de los sistemas virtuales, que permiten la creación de instancias virtuales Zero Trust
separadas y aisladas en un dispositivo físico. Los sistemas virtuales le permiten segmentar la
administración de todas las políticas (seguridad, NAT, QoS, etc.) así como todas las funciones de
elaboración de informes y visibilidad.
Gestión centralizada. Como se ha mencionado anteriormente, la base de este requisito es la
necesidad de poder administrar de forma eficiente múltiples Plataformas de Segmentación Zero
Trust distribuidas. En este caso, la necesidad de contar con un núcleo central la cumple Panorama,
la solución de gestión centralizada de Palo Alto Networks. Sin embargo, es solamente el principio de
las funciones de gestión que ofrece Palo Alto Networks para simplificar la tarea de implementar y
mantener un modelo de seguridad Zero Trust. Entre otras funciones importantes se incluyen:
• Un modelo de políticas unificadas y una interfaz que evita tener que moverse por diferentes pantal-
las o dispositivos para ver y configurar el control de acceso y las normas de análisis.
• Una política y un modelo de administración jerarquizados que albergan una combinación de nor-
mas y ajustes de configuración a nivel general y local.
• Herramientas de visualización avanzadas y gráficas para conocer mejor la actividad de las aplica-
ciones y los usuarios de su red en un momento dado.
• Una API RESTful integral que facilita la integración rápida y sencilla con herramientas de gestión,
automatización y orquestación de terceros; por ejemplo, para garantizar la protección de aplicacio-
nes recién adquiridas, virtualizadas o distribuidas.

PAGE 7
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red

• Elaboración de informes y de archivos de registro con filtrado en tiempo real para investigar las sesiones
que pasan por la red.
Implementación progresiva del método Zero Trust
Para poder migrar al sistema Zero Trust, es importante que los directores y los arquitectos de seguridad
de TI sepan que no es necesario acelerar o esperar a un cambio integral de la red y la infraestructura de
seguridad de su empresa. De hecho, una de las grandes ventajas de la arquitectura Zero Trust de Palo
Alto Networks, como la Plataforma de Segmentación Zero Trust, es que permite una implementación
progresiva.

Para empezar, los equipos de seguridad de TI pueden aprovechar la función de Virtual Wire para
implementar los dispositivos de Palo Alto Networks en una o varias ubicaciones de la red de la empresa,
sin que el funcionamiento se vea interrumpido. Estas unidades, configuradas en modo de solo escucha,
pueden utilizarse para tener información completa sobre los flujos de conexión a través de la red,
incluyendo dónde, quién y en qué medida los usuarios concretos utilizan aplicaciones y datos concretos.
Con esta información, el equipo de seguridad estará en una posición excelente para ir (a) implementando
dispositivos en ubicaciones apropiadas a fin de establecer límites internos de confianza para zonas
de confianza identificadas y (b) configurando el cumplimiento normativo y las políticas de análisis
apropiados para poner los límites de confianza “en línea”. Las ventajas del sistema de implantación
progresiva como el citado incluyen la minimización del impacto potencial sobre operaciones de TI y la
posibilidad de redistribuir la inversión y los esfuerzos humanos con el tiempo.

Para los equipos de seguridad que ya controlan en profundidad los flujos de comunicaciones de su
entorno, un método alternativo sería definir zonas de confianza y empezar a crear los correspondientes
límites de confianza en función del riesgo o la sensibilidad de los datos relacionados. Un punto de partida
lógico en este caso sería empezar identificando a los conjuntos de usuarios y sectores que implican
grandes concentraciones de datos sensibles: la industria de pago con tarjetas u otros datos financieros,
la información personal de carácter médico, otra información de identificación personal y la propiedad
intelectual. Desde ahí, tiene sentido considerar la creación progresiva de zonas/límites de confianza para
otros segmentos del entorno informático en función de su grado de riesgo, por ejemplo:

• Los sistemas de gestión/las redes de TI (en las que los administradores tienen todo el control y un
ataque podría poner en jaque a toda la red)
• Los recursos y conexiones de socios (B2B)
• Los recursos y conexiones de gran importancia para clientes (B2C)
• Las sucursales en “países de interés” (seguidas del resto de sucursales)
• Las redes de acceso para invitados (tanto inalámbricas como con cables)
• Las redes de campus
También se deben adoptar los principios y conceptos de Zero Trust en los principales puntos de acceso
a Internet. Sin embargo, al hacerlo es probable que deban reemplazarse o aumentarse los dispositivos
de seguridad obsoletos con una Plataforma de Segmentación Zero Trust para obtener todas las
funcionalidades necesarias.

Ventajas de adoptar los principios y prácticas del método Zero Trust

Existen varias ventajas a nivel técnico y empresarial asociadas al uso de la plataforma de Palo Alto
Networks para contar con una arquitectura de seguridad Zero Trust. Entre ellas, se incluye poder:

• Migrar de forma progresiva al modelo Zero Trust, sin que ello afecte al funcionamiento de la red
• Obtener un conocimiento único de la situación de la actividad informática de la empresa, ya sea permi-
tida o no
• Implementar totalmente los principios y conceptos de Zero Trust, incluyendo la aplicación estricta
de la política de control de accesos con privilegios mínimos (lo cual es esencial para reducir la su-
perficie de ataque)

PAGE 8
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red

• Mejorar de forma drástica la postura de seguridad de la organización y la posibilidad de preve-

nir la fuga de datos sensibles
• Simplificar y mantener el cumplimiento normativo (utilizando límites de confianza de alta
efectividad para segmentar los recursos sensibles)
• Habilitar de forma segura y adaptarse fácilmente a las iniciativas comerciales de TI, como la
movilidad de los usuarios, las redes sociales, la virtualización de la infraestructura y la com-
putación en la nube
• Reducir el coste total de inversión (utilizando una única plataforma de seguridad consolidada
por todo el entorno informático en vez de un conjunto de productos dispares desconectados
entre sí)
Conclusión
Las estrategias de seguridad basadas en el perímetro ya no son la mejor solución. El problema
no es solo el incremento de las amenazas informáticas sofisticadas sino también los importantes
cambios en la tecnología y en el entorno empresarial, como la movilidad de los usuarios, la
interconexión a gran nivel y la globalización, que desmontan la teoría de que todo lo que hay
dentro de la red es digno de confianza. El resultado es que dichas estrategias, junto con las
tecnologías obsoletas utilizadas para implementarlas, ya no son efectivas en gran parte.

Las organizaciones que pretendan mejorar sustancialmente su postura defensiva con respecto
a las amenazas informáticas actuales y prevenir de forma más fiable la fuga de datos sensibles
deberían considerar la posibilidad de migrar a una estructura de seguridad Zero Trust. Zero
Trust, que se erige como un modelo alternativo de seguridad TI, elimina el elemento de la
confianza y rectifica las deficiencias de las arquitecturas tradicionales basadas en perímetros
mediante el uso de la Plataforma de Segmentación Zero Trust para establecer “límites de
confianza” seguros en todo el entorno informático y, en general, con mayor proximidad a los
recursos sensibles.

Dado que la Plataforma de Segmentación Zero Trust es la base de cualquier iniciativa de

Confianza Cero, es muy importante saber seleccionar el producto adecuado. En este sentido, la
plataforma de seguridad de nueva generación de Palo Alto Networks es una candidata ideal que
combina unas funciones de visibilidad, control y protección contra amenazas sin parangón con
una completa cobertura para todos los ámbitos de la TI, desde el centro de datos y la puerta de
enlace a Internet a las sucursales, los usuarios de dispositivos móviles e, incluso, la nube.

Pies de página:
1. 2014 Cyberthreat Defense Report, CyberEdge Group, febrero de 2014

2. No More Chewy Centers: Introducing the Zero Trust Model Of Information Security,
Forrester Research, 14 de septiembre de 2010

3. Build Security Into Your Network’s DNA: The Zero Trust Network Architecture, Forrester
Research, 11 de noviembre de 2010

4. Ídem

4401 Great America Parkway Copyright ©2014, Palo Alto Networks, Inc. Todos los derechos reservados. Palo
Santa Clara, CA 95054 Alto Networks, el logotipo de Palo Alto Networks, PAN-OS, App-ID y Panorama
son marcas comerciales de Palo Alto Networks, Inc. Todas las especificaciones
Principal : +1.408.753.4000 están sujetas a modificaciones sin previo aviso. Palo Alto Networks no asume
Ventes : +1.866.320.4788 ninguna responsabilidad por imprecisiones en este documento ni por la
Assistance : +1.866.898.9087 obligación de actualizar la información de este documento. Palo Alto Networks
se reserva el derecho a cambiar, modificar, transferir o revisar de otro modo esta
www.paloaltonetworks.com publicación sin previo aviso. PAN_WP_ZT-es_022414