El documento describe la necesidad de adoptar un enfoque de seguridad basado en la verificación de la identidad y la confianza de todos los usuarios, dispositivos y sistemas que acceden a las redes y datos de una organización. Este enfoque de confianza cero requiere una plataforma de identidad unificada que integre la verificación de usuarios y dispositivos, la limitación de acceso y privilegios, y el aprendizaje y la adaptación continua a través del machine learning. La combinación de estos elementos garantiza un acceso seg

1. El enfoque de confianza cero
requiere plataforma de identidad unificada que cuente con
4 elementos clave integrados en un único modelo de seguridad.
“Limite las infracciones al reducir la capacidad de un atacante para moverse lateralmente en la red. Los controles de acceso se
pueden aplicar sobre la base de un recurso individual, por lo que un atacante que tenga acceso a un recurso no podrá usarlo
como trampolín para llegar a otros recursos.” NIST 1800-35b
 Verificar usuarios, con solicitudes de autenticación
multifactor.
 Verificar dispositivos, prolongando los controles hasta los
endpoints.
 Limitar acceso y privilegios, otorgando a los usuarios
únicamente permisos que necesiten para ejecutar sus
funciones.
 Aprendizaje y adaptación, perfeccionándose , aprendiendo y
adaptándose a los nuevos escenarios de forma permanente
gracias al Machine Learning.
Combinar estos componentes garantiza acceso seguro
a los recursos, disminuyendo el riesgo y aumentando los niveles
de protección

2. El impulso para una arquitectura moderna Zero Trust es que los modelos de seguridad tradicionales
basados ​​en el perímetro ya no son necesarios en el panorama digital de hoy día. Las organizaciones deben
adoptar un enfoque global de la seguridad basado en la verificación de la identidad y la confianza de
todos los usuarios, dispositivos y sistemas que acceden a sus redes y datos.
2da. Generación:
VIRTUAL
1ra. Generación:
PERIMETRO
3ra. Generación:
Zero Trust

3. Evolución de Zero Trust
para gestionar en forma segura la transformación digital
Zero Trust 2011
ZT eXtended 2017
Framework 2020
Principios de Zero Trust: Nunca confiar, siempre verificar
Asumir brecha
(incumplimiento)
Dar el privilegio mínimo
CARTA (IAM) 2017
BeyondCorp 2014

4. GOOGLE - BEYONDCORP – 2014

5. FORRESTER
Zero Trust eXtended - 2017
• ¿Cuáles son las reglas de
firewall que está utilizando?
• ¿Cómo estás encriptando tus
datos?
• ¿Cómo lo estás controlando?
• ¿Cómo entienden las
personas de su organización la
seguridad internamente?
• ¿Cómo está identificando los
dispositivos, que es una de las
principales preocupaciones, y el
panorama completo de la
gestión de acceso e identidad
(IAM) ?

6. Gartner CARTA – 2017
Continuous Adaptive Risk and Trust Assessment
Gestión adaptativa continua de riesgos y
confianza
El modelo CARTA es un enfoque estratégico para la gestión de
riesgos y seguridad en redes corporativas, evangelizado y
promovido por la investigación de Gartner, dirigido a los
riesgos de los negocios digitales modernos y la gestión de
amenazas avanzadas en entornos digitales.
1. Reemplazar el mecanismo único de control de seguridad de la información por una
plataforma de seguridad de la información con características de conciencia situacional,
autoadaptabilidad y programables.
2. Continuar proactiva y pasivamente minando, monitoreando, evaluando y priorizando los
riesgos.
3. Realizar evaluaciones de riesgo y confianza en la etapa inicial de la planificación del negocio
digital.
4. Al establecer la infraestructura, debe haber una visibilidad de riesgo completa e integral,
incluido el plan de procesamiento de datos confidenciales.
5. Utilice análisis, inteligencia artificial, automatización y orquestación (orquestación) para
acelerar la detección y el tiempo de respuesta y ampliar la influencia.
6. Construya la protección de la seguridad de la información en un sistema programable
autoadaptativo integrado, en lugar de formar una isla de datos.
7. Poner la toma de decisiones de riesgo basada en datos y la propiedad del riesgo en manos
de las unidades de negocio y los propietarios de productos.

7. Zero Trust – CISA
Cybersecurity and Infrastructure Security Agency
Zero Trust (ZT) es un conjunto en evolución de paradigmas de
ciberseguridad que mueven las defensas desde perímetros estáticos
basados ​​en redes para enfocarse en usuarios, activos y recursos.
Una arquitectura de confianza cero (ZTA) utiliza principios de confianza
cero para planificar la infraestructura y los flujos de trabajo industriales
y empresariales. La confianza cero supone que no se otorga confianza
implícita a los activos o cuentas de usuario basándose únicamente en su
ubicación física o de red (es decir, redes de área local frente a Internet)
o en la propiedad de los activos (empresa o propiedad personal).
La autenticación y la autorización (tanto del sujeto como del dispositivo)
son funciones discretas que se realizan antes de que se establezca una
sesión con un recurso empresarial.
Zero Trust es una respuesta a las tendencias de redes empresariales que
incluyen usuarios remotos, traiga su propio dispositivo (BYOD), y activos
basados ​​en la nube que no están ubicados dentro de los límites de una
red propiedad de la empresa.
La confianza cero protege los recursos (activos, servicios, flujos de
trabajo, cuentas de red, etc.), no los segmentos de la red, ya que la
ubicación de la red no se considera el componente principal de la
postura de seguridad del recurso.

9. Evolución del foco de los pilares de ZT

10. • Los usuarios en algunos
entornos de confianza cero
expresan frustración con las
solicitudes repetidas de
autenticación de varios factores.
Es un desafío que algunos
expertos ven como una
oportunidad para la
automatización con machine
learning.
• Por ejemplo, Gartner sugiere
aplicar análisis en una estrategia
de seguridad que denomina
confianza adaptable continua.
CAT (Continuous adaptive trust)
puede usar datos contextuales,
como la identidad del
dispositivo, la identidad de la
red y la geolocalización, como
una especie de verificación de
realidad digital para ayudar a
autenticar a los usuarios.
Cómo la IA Automatiza
la Confianza Cero

11. Arquitectura de
confianza cero
de NIST
• Motor de políticas (PE): decisión final de otorgar acceso
a un recurso a un sujeto en particular que intenta acceder
• Administrador de políticas (PA): control de la
comunicación entre el sujeto y el recurso de destino
• Punto de aplicación de políticas (PEP): habilitación,
monitoreo y finalización de conexiones que no cumplen
con la política

12. Zero Trust CLOUD DATA EXFILTRATION
Más allá de NIST SP 800-207, varios marcos e iniciativas respaldan la mejora de la seguridad en
la nube. La combinación de los diferentes conceptos podría dar como resultado una ZTA que
impida el acceso a datos y recursos en la nube a menos que se logre una validación continua.
. Cloud Control Matrix (CCM) v4 y el programa
Security, Trust, Assurance, and Risk (STAR) de Cloud
Security.
. ISO 27017:2015 es otro conjunto integral de pautas
o prácticas de seguridad para servicios en la nube
basado en ISO/IEC 27002; contiene varias similitudes
con CCMv4 y otros estándares, y puede admitir
implementaciones de ZTA.
. ISACA y Cloud Security Alliance se asociaron
recientemente para producir el Certificate of Cloud
Auditing Knowledge (CCAK) como la primera
credencial de auditoría global de la industria y un
complemento perfecto para las credenciales CISA y
CCSP. CCAK mejora las herramientas y el
conocimiento disponible para apoyar a los
profesionales en este campo para identificar
oportunidades para implementar ZTA adecuados y
efectivos.
. En Estados Unidos, el Chief Information Officers
Council (CIO Council) ha apoyado el desarrollo de
Cloud Smart como una estrategia para centrarse en la
seguridad, las adquisiciones y la fuerza laboral
relacionada con el uso de los servicios en la nube.
Esta estrategia respalda los principios básicos de ZTA
https://www.isaca.org/resources/news-and-trends/newsletters/atisaca/2022/volume-13/zero-trust-as-security-strategy-to-prevent-data-exfiltration-in-the-cloud

13. Zero Trust Architecture

14. CISA - Zero Trust
Interrelación de los siete Pilares - Mobility
https://www.cisa.gov/sites/default/files/publications/Zero_Trust_Principles_Enterprise_Mobility_For_Public_Comment_508C.pdf

15. Siete Pilares de Zero Trust segun DoD
https://www.crowdstrike.com/blog/how-falcon-identity-threat-protection-helps-meet-identity-security-government-mandates/

16. DOD Zero trust Architecture 2021

17. Construccion de estado mixto - Zero trust
UK National Cyber Security Centre
Proxy de confianza cero VPN administrada
https://www.ncsc.gov.uk/guidance/zero-trust-building-a-mixed-estate

18. MODELO DE CAPACIDAD – ZERO TRUST

19. Tiene el desafío de Identificar y verificar usuarios y dispositivos, requiriendo
inventario preciso de la base de usuarios, grupos de los que forman parte y
sus aplicaciones y dispositivos. Organiza y coordina los diferentes equipos
de manera efectiva. Rompe los silos entre los grupos de TI, ciberseguridad y
redes, estableciendo canales de comunicación claros y reuniones periódicas
entre los miembros del equipo, ayudando a lograr la estrategia de seguridad
cohesiva. Trabaja la resistencia general al cambio, ya que es un obstáculo
significativo en las implementaciones.
El Chief Zero Trust Officer, comprende e implementa la
compleja arquitectura Zero Trust integrando diferentes soluciones,
desarrollando un plan, donde se alinean los diferentes equipos. Logra una
implementación eficaz con el apoyo y capacitación de servicios
profesionales de expertos certificados en las diferentes marcas.
https://blog.cloudflare.com/chief-zero-trust-officer/