Red Seguridad 097

78 red seguridad segundo trimestre 2022 monográfico zero trust Desde su origen, Zero Trust ha sido re- conocido como el enfoque ideal para la ciberseguridad moderna. Pero, dado que la naturaleza de DevOps reside en la agilidad y la velocidad, ¿cómo se implementa sin interferir en el tiempo de despliegue? Cuando se hace co- rrectamente, Zero Trust ayuda a inte- grar la seguridad en el ciclo de vida de DevOps sin afectar el tiempo o la ca- lidad del pipeline , permitiendo que la aplicación cumpla con los requisitos de cumplimiento. Veamos la importancia del Zero Trust para crear aplicaciones seguras y cómo poner en funcionamiento el enfoque sin interrumpir los flujos de trabajo de los desarrolladores. Pilares elementales Un enfoque de seguridad Zero Trust puede desglosarse en cinco pilares: confianza en el dispositivo, en el usua- rio, en el transporte/sesión, en la apli- cación y en los datos. Para coordinar eficazmente la se- guridad de cada uno de ellos hay que valorar la posibilidad de aprovechar una plataforma de ciberseguridad que ofrezca visibilidad de toda la infraes- tructura de TI, con acceso a herramien- tas de automatización de la seguridad, API personalizables y un amplio conjun- to de integraciones de terceros. Confianza en los dispositivos: El nú- mero de dispositivos o endpoints que acceden a los recursos internos ha crecido en cantidad y variedad. Ade- más, tendencias como BYOD ( Bring Your Own Device ) y el teletrabajo añaden mayor complejidad. Es crí- tico identificar, gestionar y controlar todos estos dispositivos determinan- do si son de confianza. Aquí, las ca- pacidades de detección y respuesta ampliadas permiten detectar mejor la actividad maliciosa en un endpoint , ya que aumenta la visibilidad para correlacionar la actividad en todo el entorno de la empresa, mejorando la salud general de Zero Trust . Confianza de los usuarios: Con el 57 por ciento de las organizaciones su- friendo incidentes de seguridad rela- cionados con contraseñas expuestas en sistemas DevOps, la autenticación de las credenciales de los usuarios es clave para defenderse de los actores maliciosos. Ya se ha demostrado que la autenticación de usuarios basada en contraseñas no es suficientemen- te robusta, lo que ha dado lugar a métodos más seguros en este senti- do, como la autenticación sin contra- seña, la autenticación multifactor, las políticas de acceso condicional y la evaluación de riesgo dinámica. Confianza en el transporte/sesión: El concepto de mínimo privilegio es la clave para una seguridad Zero Trust eficaz. Los usuarios, dispositi- vos y aplicaciones solo deben tener acceso a los sistemas necesarios para realizar su trabajo específico; nada más. Hay tres componentes para imple- mentar el mínimo privilegio en un en- foque Zero Trust: microsegmentación, cifrado del transporte y protección de la sesión. Confianza en las aplicaciones: La fuerza de trabajo remota o híbrida ne- cesita acceder a cualquier aplicación de forma segura y sin problemas des- de cualquier dispositivo o ubicación. Las apps modernas ya están siendo diseñadas para soportar prácticas Zero Trust con la integración de ca- pacidades de inicio de sesión único. Pero las apps tradicionales requie- ren una mejora de la seguridad para protegerlas de la exposición a Inter- net. Esto puede hacerse utilizando una plataforma de ciberseguridad que coloca un agente de acceso a la red de confianza cero entre la aplica- ción e Internet para que actúe como una barrera basada en la identidad. Cinco integraciones del modelo ‘Zero Trust’ en DevOps J osé de la C ruz Director técnico de Trend Micro Iberia