La tecnología Microsoft y el modelo NIST Zero Trust
Cómo colaboran Microsoft y el NIST («National Institute of Standards and Technology«) para avanzar en la implantación del Zero Trust.
Hace unos días (el 6 de agosto de 2024) Microsoft anunciaba la publicación de la guía práctica Zero Trust en colaboración con el National Cybersecurity Center of Excellence (NCCoE). Esta guía detalla cómo implementar una estrategia de Zero Trust, y lo que un enfoque de seguridad de extremo a extremo utilizando Zero Trust significa para las organizaciones.
Qué es Zero Trust
Zero Trust es un modelo de seguridad que asume que todo el mundo, incluidos tus propios empleados, son amenazas potenciales hasta que se demuestre lo contrario. Es como estar en una habitación llena de desconocidos y no confiar en nadie hasta que te enseñan su DNI, e incluso entonces, no les quitas ojo de encima.
Explicación de Grok
Zero Trust es un modelo de seguridad informática que se basa en la premisa de que ninguna entidad, ya sea interna o externa a la red de una organización, debe ser automáticamente confiable. En lugar de asumir que todo dentro de la red corporativa es seguro, Zero Trust implementa controles estrictos de verificación de identidad y acceso, independientemente de dónde provenga la solicitud o quién la haga.
Los principios clave del modelo Zero Trust incluyen:
- Verificación Continua: Autenticar y autorizar continuamente a los usuarios y dispositivos.
- Acceso con Menor Privilegio: Otorgar a los usuarios solo los permisos necesarios para realizar su trabajo.
- Microsegmentación: Dividir la red en segmentos más pequeños para limitar el movimiento lateral de los atacantes.
- Inspección de Tráfico: Monitorizar y analizar el tráfico en tiempo real para detectar y responder a amenazas.
En resumen, Zero Trust se centra en mejorar la seguridad a través de la verificación continua y rigurosa, minimizando los permisos y segmentando la red para reducir el riesgo de brechas de seguridad.
Explicación de ChatGPT 4o
Microsoft y Zero Trust
Mientras que el modelo de seguridad Zero Trust sigue incrementando su popularidad, los clientes de MIcrosoft piden regularmente orientación sobre cómo implementar este modelo de manera eficaz, utilizando la tecnología disponible en la actualidad. Microsoft colabora con el NCCoE del National Institute of Standards and Technology (NIST). Microsoft se unió a este esfuerzo para apoyar esta importante misión y ayudar a responder a la necesidad de sus clientes de referencias sobre implementaciones de Zero Trust.
Desde 2022, el NCCoE ha colaborado con 24 proveedores, entre ellos Microsoft, en el desarrollo de una guía práctica con pasos prácticos para las organizaciones que quieran implantar diseños de referencia de ciberseguridad para Zero Trust. Los principios de Zero Trust incluyen asumir el compromiso (asumir la violación) para impulsar un enfoque de seguridad holístico y práctico, verificar la confianza explícitamente antes de conceder acceso a los activos y limitar el radio de explosión concediendo el menor privilegio necesario. El modelo Zero Trust describe un enfoque integral de colaboración para la seguridad de extremo a extremo que es necesario para mantenerse al día con los continuos cambios en las amenazas, la tecnología y los negocios.
Microsoft y el NIST NCCoE: Unidos en la priorización del modelo Zero Trust
Tanto Microsoft como el NCCoE han sido firmes defensores del modelo Zero Trust durante años. Este diagrama ilustra cómo se relaciona la tecnología de Microsoft con el modelo Zero Trust del NIST:
Además de publicar normas de seguridad durante décadas, el centro de colaboración del NIST, llamado NCCoE, ha aportado claridad sobre cómo diseñar e implantar Zero Trust mediante la publicación de guías prácticas y ejemplos de casos empresariales.
La colaboración entre Microsoft y el NIST NCCoE
Microsoft ha participado durante décadas en el proceso abierto y transparente del NIST para el desarrollo de normas y, en particular, ha apoyado la misión del NIST NCCoE de desarrollar enfoques de ciberseguridad prácticos e interoperables que muestren cómo los componentes de las arquitecturas de confianza cero pueden mitigar los riesgos de forma segura y cumplir los requisitos de conformidad de los sectores industriales.
En octubre de 2020, cuando el NCCoE buscó socios del sector para apoyar la implementación del proyecto de arquitectura Zero Trust, Microsoft aprovechó la oportunidad. El proyecto de arquitectura Zero Trust del NCCoE es el mayor hasta la fecha, con 24 organizaciones participantes, diecisiete versiones diferentes y un amplio conjunto de documentación práctica. El objetivo de este proyecto del NCCoE es demostrar varios ejemplos de soluciones de arquitectura Zero Trust -aplicadas a una infraestructura de TI empresarial convencional y de uso general- diseñadas e implantadas de acuerdo con los conceptos y principios documentados. Los documentos de este trabajo demuestran eficazmente cómo aplicar en la práctica los principios de Zero Trust utilizando la tecnología actual.
El proyecto aborda varios escenarios comunes a los que puede enfrentarse:
- Un empleado busca acceso a recursos corporativos para completar su trabajo.
- Un empleado busca acceso a recursos de Internet desde dispositivos de la empresa para completar tareas.
- Un proveedor intenta acceder a recursos corporativos y a recursos de Internet.
- Los servidores de una empresa se comunican entre sí.
- Una organización colabora con un socio comercial y desea acceder de forma segura a recursos específicos.
- Una organización desea integrar sistemas de supervisión y gestión de eventos e información de seguridad (SIEM) con el motor de políticas para obtener puntuaciones de confianza más precisas.
Como parte de este esfuerzo, el NCCoE acaba de anunciar la disponibilidad general de la guía práctica Zero Trust Architecture 1800-35 junto con el proyecto de arquitectura Zero Trust. La guía práctica detalla una implementación basada en estándares de la arquitectura Zero Trust. La guía ofrece una vía de aprendizaje para una mayor comprensión del modelo de seguridad Zero Trust, e incluye casos prácticos de uso y varios ejemplos de implementación y documentación asociada. Se ha desarrollado para que sea sencilla, utilizable y práctica.
Qué nos deparará el futuro de Zero Trust
Tanto Microsoft como el NIST están investigando oportunidades para aprovechar este trabajo fundacional para apoyar otros escenarios de casos de uso que se beneficiarán del modelo de despliegue de ZT.
Microsoft trabaja continuamente para conseguir un conjunto integrado de ofertas que permita a los clientes abordar de forma más fácil y completa los retos de seguridad a los que se enfrentan. Microsoft también está continuamente integrando las lecciones aprendidas de los ciberataques a ellos mismos, así como a sus clientes, en su orientación y tecnología. El crecimiento de la IA y su estrecha relación con Zero Trust hacen que esta transformación sea un esfuerzo aún más crítico.
Información basada en la publicación en el blog oficial de Microsoft «How Microsoft and NIST are collaborating to advance the Zero Trust Implementation» y la guía Zero Trust: «NIST SPECIAL PUBLICATION 1800-35 – Implementing a Zero Trust Architecture«.