Zero Trust en el borde

Zero Trust en el borde

IIoT está impulsando al mundo de control a incorporar una amplia gama de fuentes de datos más allá de los límites del sistema de control tradicional. Computación en nube, dispositivos de borde e interfaces hombre-máquina (HMIs) móviles, junto con el acceso más 'tradicional' vía VPN y técnicas similares para soporte remoto por parte de personal y/o proveedores, siguen desafiando la práctica comúnmente aceptada de separar las redes de informática (IT) y de tecnología de operaciones (OT) mediante una zona desmilitarizada (DMZ).

La seguridad tradicional de una red se basa en un concepto conocido como ‘castillo y foso’, en cuyo caso es difícil acceder desde el exterior, pero es confiable para todos en la red. IEC 62443 divide la red en grupos más pequeños, denominados zonas, según el rol o las funciones de los dispositivos en una zona, y luego monitorea y gestiona las comunicaciones a través de los conductos que conectan las zonas. Las zonas se pueden considerar en cierta forma análogas a las VLANs que se usan en el espacio informático.

Desafortunadamente, como todos sabemos y la historia lo ha demostrado, una vez que se cruza el foso (firewalls), la defensa primaria ya queda comprometida. Las estadísticas de una gran variedad de fuentes indican que los ciberataques iniciados internamente, que incluyen memorias USB infectadas, representan aproximadamente el 43% de todos los ciberincidentes. Pero, a pesar de que se conozca esta estadística, el número no parece estar bajando.

En consecuencia, ya que gran parte de los cibereventos se inician en el foso y hay numerosas fuentes de datos que residen fuera del foso, tal vez se debería pensar en un nuevo concepto que reemplace el foso.

El modelo ‘Zero Trust Network’, o ‘Zero Trust Architecture’ (ZTA), fue creado en 2010 por John Kindervag, analista principal de Forrester Research Inc., como respuesta al desafío de cómo gestionar la ciberseguridad dentro y fuera del foso.

Zero Trust parte de la idea de que, por defecto, las organizaciones nunca deberían confiar en ninguna entidad interna o externa que ingrese en su perímetro, de ahí su nombre. Es un modelo de seguridad que detiene el movimiento lateral en una red corporativa utilizando microsegmentación y agregando perímetros granulares en ubicaciones críticas de la red. También elimina el inconveniente de un modelo de seguridad tradicional basado en el perímetro al remover por completo la confianza de los usuarios internos y reforzar la seguridad en torno a activos valiosos.

Con Zero Trust no se trata de lograr que un sistema sea confiable, sino eliminar la confianza. En Zero Trust, el usuario identifica una ‘superficie protegida’ conformada por los datos, activos, aplicaciones y servicios (DAASs según sus siglas en inglés) más críticos y valiosos de la red.

A cada punto de acceso de la red se le asigna un acceso según una política de Zero Trust basada en quién, qué, cuándo, dónde, por qué y cómo, durante un tiempo limitado, necesita realizar una tarea específica. Esto significa que probablemente se tengan diferentes niveles de confianza si se accede a la red desde una oficina, desde un dispositivo móvil, desde un hotel o cafetería, o desde la casa.

A pesar de esta definición, Zero Trust no depende de una ubicación. Los usuarios, dispositivos y cargas de trabajo de una aplicación están en todas partes, por lo que Zero Trust debe estar en todo el entorno.

Los sistemas informáticos y de OT dependen del acceso a dispositivos fuera del firewall como entradas para control en tiempo real y análisis de decisiones, y se espera que esta tendencia crezca a medida que se amplíe aún más el uso de dispositivos de borde, Edge computing y sistemas basados en la nube.

Google comenzó a implementar ZTA en sus sistemas en 2014 como parte de su iniciativa BeyondCorp, y ahora es la base del acceso al sistema con resultados ya probados.

Zero Trust, con su granularidad y foco en tiempo real, es consistente con los conceptos básciso de todos los modelos de ciberseguridad que se utilizan hoy en día, además de conformar la base de los sistemas integrados del futuro.

 

Preparado por Ian Verhappen, gerente de proyectos de automatización en CIMA+.

Modificado por última vez en Viernes, 19 Febrero 2021 15:22
© 2018 Editorial Control. Desarrollado por Estudio Pionero.