Pilares tecnológicos de la Confianza cero, parte 2
En esta unidad, analizaremos los objetivos de implementación restantes de Confianza cero.
Protección de los datos con Confianza cero
Los tres elementos principales de una estrategia de protección de datos son:
- Conozca los datos: si no sabe qué datos confidenciales tiene en el entorno local y en los servicios en la nube, no puede protegerlos adecuadamente. Debe detectar datos en toda la organización y clasificar todos los datos por nivel de confidencialidad.
- Proteja los datos y evite su pérdida: los datos confidenciales se deben proteger mediante directivas de protección de datos que etiqueten y cifren los datos o bloqueen el uso compartido en exceso. Esto garantiza que solo los usuarios autorizados puedan acceder a los datos, incluso cuando los datos se desplazan fuera de su entorno corporativo.
- Supervise y corrija: debe supervisar continuamente los datos confidenciales para detectar infracciones de directivas y comportamientos de usuario de riesgo. Esto le permite tomar las medidas adecuadas, como revocar el acceso, bloquear a los usuarios y refinar las directivas de protección.
Objetivos de la implementación de Confianza cero para los datos
Una estrategia de protección de la información debe abarcar todo el contenido digital de la organización. Como línea base, debe definir etiquetas, detectar datos confidenciales y supervisar el uso de etiquetas y acciones en todo el entorno. Al final de esta guía se describe el uso de las etiquetas de confidencialidad.
Al implementar un marco de trabajo completo de Confianza cero para los datos, se recomienda centrarse primero en estos objetivos de implementación iniciales:
I. Las decisiones de acceso se rigen por el cifrado.
II. Los datos se clasifican y etiquetan automáticamente.
Una vez que haya completado estos requisitos, céntrese en los siguientes objetivos de implementación adicionales:
III. La clasificación se refuerza con modelos inteligentes de Machine Learning.
IV. Las decisiones de acceso se rigen por un motor de directivas de seguridad en la nube.
V. Evite la pérdida de datos mediante directivas de DLP basadas en una etiqueta de confidencialidad y la inspección del contenido.
Protección de puntos de conexión con Confianza cero
Confianza cero se adhiere al principio "Nunca confíe, compruebe siempre". En términos de puntos de conexión, esto significa comprobar siempre todos los puntos de conexión. Esto no solo incluye los dispositivos de contratistas, asociados e invitados, sino también las aplicaciones y dispositivos usados por los empleados para acceder a los datos de trabajo, independientemente de la propiedad del dispositivo.
En un enfoque de Confianza cero, se aplican las mismas directivas de seguridad independientemente de si el dispositivo es propiedad corporativa o personal a través de Bring Your Own Device (BYOD). si el dispositivo está totalmente administrado por TI o solo se protegen las aplicaciones y los datos. Las directivas se aplican a todos los puntos de conexión, ya sean de PC, Mac, smartphone, tableta, ponible o dispositivo IoT y dondequiera que estén conectados, ya sea la red corporativa segura, la banda ancha doméstica o la red pública de Internet.
Objetivos de la implementación de Confianza cero para el punto de conexión
Al implementar un marco de Confianza cero de un extremo a otro para proteger los puntos de conexión, se recomienda centrarse primero en estos objetivos de implementación iniciales:
I. Registro de los puntos de conexión con proveedores de identidades en la nube. Para supervisar la seguridad y el riesgo en varios puntos de conexión usados por cualquier persona, necesita visibilidad en todos los dispositivos y puntos de acceso que puedan tener acceso a los recursos.
II. El acceso solo se concede a aplicaciones y puntos de conexión administrados en la nube y compatibles. Establezca reglas de cumplimiento para asegurarse de que los dispositivos cumplen los requisitos mínimos de seguridad antes de conceder el acceso. Además, establezca reglas de corrección para los dispositivos no conformes de modo que los usuarios sepan cómo resolver el problema.
III. Las directivas de prevención de pérdida de datos (DLP) se aplican para los dispositivos corporativos y de tipo BYOD. Controle lo que el usuario puede hacer con los datos después de acceder a ellos. Por ejemplo, restrinja que los archivos se puedan guardar en ubicaciones que no son de confianza (como el disco local) o restrinja el uso compartido con copiar y pegar para una aplicación de comunicación de consumidor o una aplicación de chat, a fin de proteger los datos.
Una vez que haya completado estos requisitos, céntrese en los siguientes objetivos de implementación adicionales:
IV. La detección de amenazas de puntos de conexión se usa para supervisar el riesgo de los dispositivos. Use un único panel para administrar todos los puntos de conexión de forma coherente y use SIEM para enrutar los registros y las transacciones de punto de conexión de forma que obtenga menos alertas, pero más prácticas.
V. El control de acceso se regula en base al riesgo del punto de conexión para los dispositivos corporativos y BYOD. Integre los datos de Microsoft Defender para punto de conexión u otros proveedores de defensa contra amenazas móviles (MTD) como origen de información para las directivas de cumplimiento de los dispositivos y las reglas de acceso condicional de los dispositivos. El riesgo del dispositivo influirá directamente en los recursos a los que el usuario de ese dispositivo podrá acceder.
Protección de la infraestructura con Confianza cero
Azure Blueprints, Azure Policy, Microsoft Defender for Cloud, Microsoft Sentinel y Azure Sphere pueden contribuir en gran medida a mejorar la seguridad de la infraestructura implementada y habilitar un enfoque diferente para definir, diseñar, aprovisionar, implementar y supervisar la infraestructura.
Objetivos de la implementación de la Confianza cero en la infraestructura
Al implementar un marco de Confianza cero integral para administrar y supervisar la infraestructura, se recomienda centrarse primero en estos objetivos de implementación iniciales:
I. Las cargas de trabajo se supervisan y se alerta sobre cualquier comportamiento anómalo.
II. A cada carga de trabajo se le asigna una identidad de aplicación, y se configura e implementa de forma coherente.
III. Para acceder a los recursos, las personas necesitan acceso Just-In-Time.
Una vez que haya completado estos requisitos, céntrese en los siguientes objetivos de implementación adicionales:
IV. Las implementaciones no autorizadas se bloquean y se desencadena una alerta.
V. La visibilidad granular y el control de acceso están disponibles en todas las cargas de trabajo.
VI. Acceso de usuarios y recursos segmentado para cada carga de trabajo.
Protección de redes con Confianza cero
En lugar de creer que todo lo que hay detrás del firewall corporativo es seguro, una estrategia de Confianza cero de un extremo a otro asume que las brechas son inevitables. Esto significa que debe comprobar cada solicitud como si procediera de una red no controlada; la administración de identidades desempeña un papel fundamental en esto.
Objetivos de la implementación de Confianza cero para redes
Al implementar un marco de Confianza cero de un extremo a otro para proteger las redes, se recomienda centrarse primero en estos objetivos de implementación iniciales:
I. Segmentación de red: muchos microperímetros de nube de entrada o salida con alguna microsegmentación.
II. Protección contra amenazas: filtrado nativo en la nube y protección para amenazas conocidas.
III. Cifrado: se cifra el tráfico interno de usuario a aplicación.
Una vez que haya completado estos requisitos, céntrese en los siguientes objetivos de implementación adicionales:
IV. Segmentación de red: microperímetros de nube de entrada o salida totalmente distribuidos y microsegmentación más profunda.
V. Protección contra amenazas: protección contra amenazas basada en aprendizaje automático y filtrado con señales basadas en contexto.
VI. Cifrado: todo el tráfico está cifrado.