Beruflich Dokumente
Kultur Dokumente
Resumen
La repetida y continuada incidencia de ataques informáticos contra las empresas actuales ha puesto de
manifiesto que las estrategias de seguridad tradicionales que se centran en el perímetro ya no resultan
efectivas. La mala efectividad de las arquitecturas formadas con base en dichas estrategias es resultado no
solamente de la teoría obsoleta de que se puede confiar en todo lo que se encuentra dentro de la red de
una organización, sino también de la incapacidad de los sistemas anticuados para ofrecer una visibilidad,
un control y una protección adecuados del tráfico de aplicaciones en los límites de la red.
Zero Trust (Confianza Cero), un modelo alternativo de seguridad, fue presentado por primera vez por
Forrester Research y tiene por finalidad subsanar las deficiencias de las estrategias que se centran en
el perímetro eliminando el elemento de la confianza de la ecuación. Con Zero Trust, se implementan
opciones de seguridad esenciales de forma que se permita aplicar las políticas y proteger a todos
los usuarios, dispositivos, aplicaciones, recursos de datos y tráfico de comunicaciones entre ellos,
independientemente de su ubicación.
En este informe se presentarán la necesidad de implementar el método de seguridad de redes Zero Trust
e información detallada sobre dicho método. También se concretarán los criterios y funciones esenciales
necesarios para una implementar una solución Zero Trust, se expondrá la forma en la que la plataforma
de seguridad de nueva generación de Palo Alto Networks® cumple con dichos requisitos y servirá de guía
para migrar paulatinamente a un diseño de Zero Trust (Confianza Cero).
Entre las ventajas de las que gozarán las organizaciones que implementen la red Zero Trust de Palo Alto
Networks se incluyen las siguientes:
• Mejora notable de la efectividad a la hora de atenuar la fuga de datos gracias a la visibilidad y habilit-
ación segura de aplicaciones, y detección y prevención de amenazas avanzadas;
• mayor efectividad de cumplimiento de disposiciones en materia de seguridad y privacidad;
• mayor capacidad para implementar de forma segura las iniciativas de cambios estructurales de TI, como
la movilidad de usuarios y la virtualización de la infraestructura; y
• reducción drástica del coste total de inversión en seguridad de TI.
El sistema tradicional de seguridad de redes no funciona
Según el Informe de Defensa contra Amenazas Informáticas de 2014, más del 60 % de las organizaciones
fueron víctimas de uno o más ataques informáticos en 2013.1 Estos datos no son de extrañar, debido al
nivel de confianza que las organizaciones actuales depositan en las estrategias de seguridad centradas en el
perímetro. La gran verdad es que los métodos que se colocan sus medidas de seguridad en el perímetro ya
no funcionan.
• los empleados que acceden a la red de forma remota, los usuarios que utilizan dispositivos móviles y las
soluciones informáticas difuminan la diferencia entre lo “interno” y lo “externo”;
• las tecnologías inalámbricas, la proliferación de conexiones de socios y la necesidad de ofrecer acceso a
invitados implican accesos incontables a la red;
• las sucursales de las empresas pueden ubicarse en “países de interés” que no son de confianza; y
• los usuarios que se introducen en la red, ya sea de forma maliciosa o inintencionada, pueden suponer una
auténtica amenaza.
PAGE 2
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red
• El potencial de las amenazas informáticas sofisticadas para burlar las defensas del perímetro, en
cuyo caso tienen total libertad para moverse por el interior de la red;
• las situaciones en las que los usuarios maliciosos pueden obtener acceso al interior de la red y a
recursos sensibles utilizando credenciales robadas a usuarios de confianza; y
• la realidad de que el interior de las redes en contadas ocasiones es homogéneo, sino que más
bien incluye a usuarios y recursos con diferentes niveles de confianza/sensibilidad que en
cualquier caso, deberían estar separados (por ejemplo, los sistemas financieros y de I+D con
respecto a servidores de archivos/de impresión).
Funciones inadecuadas
Es importante darse cuenta de que un modelo de confianza que no funciona no es el único
responsable de la falta de efectividad de los métodos de seguridad de la red basados en el
perímetro. Otro factor que contribuye a ello es que las tecnologías y los dispositivos obsoletos
que suelen utilizarse para construir los perímetros de las redes dejan pasar demasiado tráfico no
deseado. Las deficiencias típicas en este sentido incluyen la incapacidad para:
• Distinguir claramente las aplicaciones buenas de las malas (lo cual lleva a crear ajustes de
control de acceso demasiado permisivos);
• Controlar de forma adecuada el tráfico de aplicaciones cifradas;
• Identificar y controlar de forma precisa a los usuarios (independientemente de su ubicación o
del dispositivo que estén usando); y
• Filtrar el contenido permitido no solamente para las aplicaciones que conllevan amenazas,
sino también para las desconocidas.
El resultado es que redistribuir las defensas de una red de forma que tenga unos límites notables
de confianza a nivel interno no es suficiente. Debe prestarse especial atención en garantizar que
los dispositivos y tecnologías utilizados para implementar dichos límites en realidad ofrecen las
funciones de visibilidad, control y análisis de amenazas necesarios para habilitar de forma segura
las aplicaciones básicas de un negocio, al tiempo que impiden el paso de malware actual, ataques
dirigidos y filtraciones no autorizadas de datos sensibles de la empresa.
El modelo Zero Trust o de Confianza Cero: la solución que ofrece una seguridad
eficaz a las redes actuales
Zero Trust, un prometedor modelo alternativo de seguridad TI, está ideado para solucionar
las deficiencias de las estrategias centradas en el perímetro y de las tecnologías y dispositivos
obsoletos que se utilizan para implementarlas, no fiándose de nada y analizándolo siempre todo,
lo cual se diferencia en gran medida de los modelos de seguridad convencionales que funcionan
sobre la base del “confiar pero comprobar”.
En concreto, con Zero Trust no hay ningún tipo de confianza predeterminada para ningún elemento
que entre en ella (ni usuarios, ni dispositivos, ni aplicaciones, ni paquetes), independientemente de su
naturaleza y ubicación o de que estén relacionados con la red de la empresa. Además, comprobar
que los elementos autorizados siempre hacen aquello para lo que tienen permiso ya no es algo
opcional, es necesario.
PAGE 3
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red
b) La necesidad de implantar límites de confianza para configurar algo más allá que una autorización
inicial y un control de acceso. Seguir el método de comprobarlo todo siempre implica también un
seguimiento y un análisis continuo del tráfico de comunicaciones asociado en busca de actividades
maliciosas (como amenazas).
El principio general de Zero Trust y sus implicaciones se refleja también en los tres conceptos que definen
los objetivos operativos de una implementación de Zero Trust.2
Concepto n.º 1: Garantizar que se puede acceder a todos los recursos de forma segura independientemente
de la ubicación, lo cual implica no solo la necesidad de confiar en los límites sino también un mayor uso
del acceso seguro a las comunicaciones hacia o desde los recursos, incluso cuando las sesiones se limitan
al interior de la red. También significa que solamente los dispositivos con el estado y la configuración
adecuados (por ejemplo, los que están gestionados por el equipo de TI cuentan con un cliente VPN y
contraseñas correctas y no activan ningún malware) pueden acceder a la red.
Concepto n.º 2: Adoptar una estrategia de privilegios mínimos y aplicar un control de acceso estricto. El
objetivo en este caso es minimizar el acceso permitido a los recursos a fin de reducir las posibilidades de
que el malware y los atacantes consigan acceso no autorizado y, por lo tanto, se extiendan por la red o
filtren datos sensibles.
Concepto n.º 3: Analizar y registrar todo el tráfico. Con ello se reitera la necesidad de comprobarlo todo,
al tiempo que queda claro que una protección adecuada implica algo más que simplemente controlar de
forma estricta los accesos. Debe prestarse especial y continua atención a lo que ocurre exactamente en las
aplicaciones “habilitadas” y la única forma de hacerlo es analizando el contenido en busca de amenazas.
Los principales elementos son la Plataforma de Segmentación Zero Trust, las zonas de confianza y la
infraestructura de gestión asociada.
Plataforma de
Zona de campus segmentación Zona de gestión
Zero Trust
Zona inalámbrica
Zona B2B
PAGE 4
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red
Son ejemplos de zonas de confianza en la Figura 1 la zona de usuarios (o del campus), una zona
inalámbrica para el acceso de invitados, una zona de datos de titulares de tarjetas, zonas de bases de
datos y aplicaciones para servicios a varios niveles y una zona para las aplicaciones web públicas.
Es importante tener en cuenta también que una zona de confianza no está diseñada para
ser un “lugar de confianza” en el que los sistemas (y, por lo tanto, las amenazas) de la zona
puedan comunicarse libre o directamente entre ellos. Para implementar completamente una
zona de confianza, la red debe configurarse de forma que garantice que TODO el tráfico de
comunicaciones, incluyendo el de los dispositivos en la misma zona, esté gestionado por la
Plataforma de Segmentación Zero Trust.
PAGE 5
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red
• Acceso seguro. GlobalProtect™ ofrece conectividad IPsec y SSL VPN consistente y segura a
todos los empleados, socios, clientes e invitados, independientemente de su ubicación (por
ejemplo, en oficinas remotas, sucursales de la empresa, en la red local o por Internet). Políticas
para determinar qué usuarios y dispositivos pueden acceder a aplicaciones y datos sensibles
que pueden definirse en función de las aplicaciones, los usuarios, el contenido, el dispositivo y
el estado del dispositivo.
• Análisis de TODO el tráfico. App-ID™ identifica y clasifica de forma precisa todo el tráfico,
independientemente de los puertos y protocolos y las tácticas evasivas, como la evasión de
puertos o el cifrado. Esta tecnología elimina los métodos que el malware puede utilizar para
evitar ser detectado y ofrece un contexto completo de las aplicaciones, el contenido relacio-
nado y las amenazas.
• Control de accesos con privilegios mínimos. La combinación de App-ID, User-ID™ y Con-
tent-ID™ ofrece un modelo de control positivo que permite a las organizaciones controlar las
interacciones con recursos sobre la base de una amplia serie de atributos relacionados con
la empresa, incluyendo la aplicación específica y las funciones individuales que se utilicen, la
identidad de los usuarios o de un grupo y los tipos concretos o partes de datos a los que se
accede (por ejemplo, números de tarjetas de crédito o de la seguridad social). En compara-
ción con soluciones alternativas que dejan pasar demasiado tráfico, ya que están limitadas
por la clasificación a nivel de puertos y protocolos, el resultado es un control de accesos
verdaderamente exhaustivo que habilita de forma segura las aplicaciones para los grupos de
usuarios adecuados al tiempo que impide automáticamente que el tráfico no deseado, no au-
torizado y potencialmente peligroso acceda a la red. (véase la sección “¿Privilegios mínimos
o efectividad mínima?” a continuación)
• Protección contra amenazas avanzadas. La combinación de tecnologías de malware/antivirus y
de prevención de intrusiones y amenazas avanzadas (Content-ID y WildFire™) ofrecen una pro-
tección integral contra amenazas conocidas y desconocidas, incluyendo aquellas que acechan
a los dispositivos móviles. Además, contar con un apoyo para una defensa altamente integrada
y a nivel interno, garantiza que los dispositivos de aplicación internos y otros componentes del
ámbito de protección contra amenazas se actualizan automáticamente según la información
detectada por WildFire y otras fuentes de información sobre amenazas.
Cobertura para todos los ámbitos de la TI. La solución Zero Trust de Palo Alto Networks
incluye una oferta completa de dispositivos virtuales y hardware que permite la creación de
límites de confianza de forma integral y rentable por toda la red de la organización, incluyendo
las oficinas/sucursales remotas, los usuarios de dispositivos móviles en el perímetro de Internet,
en la nube o en la entrada del centro de datos, y accesos individuales, si los hubiera.
Diseño de alto rendimiento. Por definición, la Plataforma de Segmentación Zero Trust añade
numerosas funciones de seguridad y de acceso a la red. Sin embargo, también debe poder ofrecer
todas esas características sin que el rendimiento de la red se vea menoscabado. La solución
de Palo Alto Networks alcanza este objetivo utilizando principalmente una arquitectura de
software de única pasada. Los requisitos de procesamiento y latencia se minimizan dado que,
a diferencia de lo que ocurre con otras soluciones, no hay necesidad de que se procesen los
flujos de tráfico en varias ocasiones (por ejemplo, una vez para cada función de seguridad).
Además, los dispositivos hardware de Palo Alto Networks ofrecen planos de control y de
datos separados, además de motores hardware de procesamiento paralelo y por función (chips
a medida) para el procesamiento por paquetes, la aceleración de las funciones de seguridad
estándar y el escaneo de contenido dedicado. En la versión más potente, el resultado de
rendimiento de Zero Trust es de 120 Gbps, con una visibilidad y un control de aplicaciones,
usuarios y contenido imbatible.
PAGE 6
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red
PAGE 7
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red
• Elaboración de informes y de archivos de registro con filtrado en tiempo real para investigar las sesiones
que pasan por la red.
Implementación progresiva del método Zero Trust
Para poder migrar al sistema Zero Trust, es importante que los directores y los arquitectos de seguridad
de TI sepan que no es necesario acelerar o esperar a un cambio integral de la red y la infraestructura de
seguridad de su empresa. De hecho, una de las grandes ventajas de la arquitectura Zero Trust de Palo
Alto Networks, como la Plataforma de Segmentación Zero Trust, es que permite una implementación
progresiva.
Para empezar, los equipos de seguridad de TI pueden aprovechar la función de Virtual Wire para
implementar los dispositivos de Palo Alto Networks en una o varias ubicaciones de la red de la empresa,
sin que el funcionamiento se vea interrumpido. Estas unidades, configuradas en modo de solo escucha,
pueden utilizarse para tener información completa sobre los flujos de conexión a través de la red,
incluyendo dónde, quién y en qué medida los usuarios concretos utilizan aplicaciones y datos concretos.
Con esta información, el equipo de seguridad estará en una posición excelente para ir (a) implementando
dispositivos en ubicaciones apropiadas a fin de establecer límites internos de confianza para zonas
de confianza identificadas y (b) configurando el cumplimiento normativo y las políticas de análisis
apropiados para poner los límites de confianza “en línea”. Las ventajas del sistema de implantación
progresiva como el citado incluyen la minimización del impacto potencial sobre operaciones de TI y la
posibilidad de redistribuir la inversión y los esfuerzos humanos con el tiempo.
Para los equipos de seguridad que ya controlan en profundidad los flujos de comunicaciones de su
entorno, un método alternativo sería definir zonas de confianza y empezar a crear los correspondientes
límites de confianza en función del riesgo o la sensibilidad de los datos relacionados. Un punto de partida
lógico en este caso sería empezar identificando a los conjuntos de usuarios y sectores que implican
grandes concentraciones de datos sensibles: la industria de pago con tarjetas u otros datos financieros,
la información personal de carácter médico, otra información de identificación personal y la propiedad
intelectual. Desde ahí, tiene sentido considerar la creación progresiva de zonas/límites de confianza para
otros segmentos del entorno informático en función de su grado de riesgo, por ejemplo:
• Los sistemas de gestión/las redes de TI (en las que los administradores tienen todo el control y un
ataque podría poner en jaque a toda la red)
• Los recursos y conexiones de socios (B2B)
• Los recursos y conexiones de gran importancia para clientes (B2C)
• Las sucursales en “países de interés” (seguidas del resto de sucursales)
• Las redes de acceso para invitados (tanto inalámbricas como con cables)
• Las redes de campus
También se deben adoptar los principios y conceptos de Zero Trust en los principales puntos de acceso
a Internet. Sin embargo, al hacerlo es probable que deban reemplazarse o aumentarse los dispositivos
de seguridad obsoletos con una Plataforma de Segmentación Zero Trust para obtener todas las
funcionalidades necesarias.
• Migrar de forma progresiva al modelo Zero Trust, sin que ello afecte al funcionamiento de la red
• Obtener un conocimiento único de la situación de la actividad informática de la empresa, ya sea permi-
tida o no
• Implementar totalmente los principios y conceptos de Zero Trust, incluyendo la aplicación estricta
de la política de control de accesos con privilegios mínimos (lo cual es esencial para reducir la su-
perficie de ataque)
PAGE 8
Palo Alto Networks: Primeros pasos con el sistema Zero Trust para garantizar la seguridad de su red
Las organizaciones que pretendan mejorar sustancialmente su postura defensiva con respecto
a las amenazas informáticas actuales y prevenir de forma más fiable la fuga de datos sensibles
deberían considerar la posibilidad de migrar a una estructura de seguridad Zero Trust. Zero
Trust, que se erige como un modelo alternativo de seguridad TI, elimina el elemento de la
confianza y rectifica las deficiencias de las arquitecturas tradicionales basadas en perímetros
mediante el uso de la Plataforma de Segmentación Zero Trust para establecer “límites de
confianza” seguros en todo el entorno informático y, en general, con mayor proximidad a los
recursos sensibles.
Pies de página:
1. 2014 Cyberthreat Defense Report, CyberEdge Group, febrero de 2014
2. No More Chewy Centers: Introducing the Zero Trust Model Of Information Security,
Forrester Research, 14 de septiembre de 2010
3. Build Security Into Your Network’s DNA: The Zero Trust Network Architecture, Forrester
Research, 11 de noviembre de 2010
4. Ídem
4401 Great America Parkway Copyright ©2014, Palo Alto Networks, Inc. Todos los derechos reservados. Palo
Santa Clara, CA 95054 Alto Networks, el logotipo de Palo Alto Networks, PAN-OS, App-ID y Panorama
son marcas comerciales de Palo Alto Networks, Inc. Todas las especificaciones
Principal : +1.408.753.4000 están sujetas a modificaciones sin previo aviso. Palo Alto Networks no asume
Ventes : +1.866.320.4788 ninguna responsabilidad por imprecisiones en este documento ni por la
Assistance : +1.866.898.9087 obligación de actualizar la información de este documento. Palo Alto Networks
se reserva el derecho a cambiar, modificar, transferir o revisar de otro modo esta
www.paloaltonetworks.com publicación sin previo aviso. PAN_WP_ZT-es_022414