Modelo de seguridad Zerotrust by pseudor00t
1 recomendación88 vistas
El modelo de cero confianza (Zero Trust) propone eliminar la noción de confianza interna y externa en las redes, verificando en todo momento la identidad del usuario y el dispositivo para conceder acceso mínimo y segmentado a los recursos. Esto a través de la autenticación fuerte y el monitoreo continuo del contexto para adaptar dinámicamente los privilegios, brindando así acceso seguro a aplicaciones tanto internas como en la nube.
Modelo de seguridad Zerotrust by pseudor00t
- 3. • ➢ ➢ • ➢ ➢ ➢ ➢ Fuente: Forrester - No More Chewy Centers- The Zero Trust Model
- 4. En donde se encuentran las brechas de seguridad mas Interno Relación Interna de confianza Relación Interna de confianza Estudio previo de la compañía Estudio previo de la compañía Situación Común
- 5. • • • •
- 6. Modelo tradicional por capas de Red, adicionando los múltiples controles de seguridad.
- 7. Utilice Gateways de segmentación integrado como núcleos de la red. Fuente: http://www.virtualstarmedia.com/downloads/Forrester_zero_trust_DNA.pdf Se consideran los SG como el siguiente nivel de los UTM Tradicionales.
- 9. Fuente: http://www.virtualstarmedia.com/downloads/Forrester_zero_trust_DNA.pdf • • •
- 10. Habilitador de negocios digitales ➢ El perímetro tradicional ya no existe. ➢ ➢ ➢ ➢ Fuente: http://www.virtualstarmedia.com/downloads/Forrester_zero_trust_DNA.pdf
- 11. Condiciones de diseño y beneficios El modelo Zero Trust es una oportunidad de re-estructurar la red con seguridad • • • • • • • • • • • CardHolder Data (CHD) Fuente: http://www.virtualstarmedia.com/downloads/Forrester_zero_trust_DNA.pdf
- 12. • • • • • •
- 13. ➢ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ➢ ✓ ✓ ✓ CardHolder Data (CHD) Fuente: http://www.virtualstarmedia.com/downloads/Forrester_zero_trust_DNA.pdf
- 14. Software Defined Perimeter (SDP), También conocido como “Black Cloud” 14 • • • ✓ ➢ server scanning, ➢ denial of service ➢ SQL injection, ➢ operating system ➢ application vulnerability exploits, ➢ man-in-the-middle, ➢ cross-site scripting (XSS), ➢ cross-site request forgery (CSRF), ➢ pass-the-hash / pass-the-ticket, ➢ attacks by unauthorized users. Fuente: https://en.wikipedia.org/wiki/Software_Defined_Perimeter
- 15. Acceso de red seguro y adaptable dinámicamente
- 16. 16 Integratebusiness&operational systems USER ENTERPRISE ENVIRONMENT BusinessSystems OperationalSystems NetworkAnalytics CloudSecurityGroups&Tags API-drivenEntitlements Location Network Time ThreatPosture Device OSVersion EndpointAgents AppPermissions DirectoryAttributes Multi-factorauthentication Dinámico, programable, adaptable y flexible. Criterios de acceso sensibles al contexto del usuario, del ambiente y de la empresa. Accesoderedseguroyadaptabledinámicamente
- 17. 17 Encripción ActivosdeITprotegidos Cloud,HybridorOn-Premises La micro segmentación permite el mas alto nivel de granularidad con control dinámico. AccesoderedSeguroyadaptabledinámicamente
- 18. 18 Aplicaciones 2 Controlador verifica el contexto y da los privilegios al usuario con su pasaporte. 3 El Gateway crea una regla de acceso o “Segment of One” para el usuario y cada recurso especifico 4 El controlador monitorea permanente por cambios de contexto y se adapta para cada recurso consecuencia y según las políticas. 1 Utilizando SPA “Single-PacketAuthorization”, El usuario hace solicitud de acceso al controlador. 5 El controlador puede también Iniciar/Terminar conexiones entre servidores y recursos de IT no asociados a acceso de usuarios 6 Se puede proteger la estación del usuario contra conexiones entrantes/Salientes diferentes a las autorizadas específicamente. Invisibilidad del dispositivo - Ring fence. CONTROLLER GATEWAY Usuario Servidores Remotos Comofunciona?
- 19. 19 Para el 2021, 60% de las entidades encararan el cambio de las VPNs tradicionales para las Comunicaciones seguras en favor de software-defined perimeters.” “ Modelo Zero trust (Cero Confianza) Autenticación antes de conexión. Conexiones Individuales y únicas. Conexiones Cifradas y confidenciales. Invisibilidad de recursos no autorizados. 21 Diseñado basándose en el usuario Control de acceso basado en identidad e integración con los servicios de directorio. Sensibilidad al contexto del usuario/dispositivo/sistema. Creado como nube, listo para nube. Soporte de ambientes completamente distribuidos, sin limitación de estado , resistente y estable. Construido para alta escalabilidad, programable, dinámico y adaptable. 3 UnaMejorAproximación
- 20. 20 Aseguramiento de aplicaciones de Alto riesgo y datos críticos • Activos de IT considerados “Joyas de la corona” o alto nivel de seguridad • Usuarios Privilegiados • Acceso Seguro y controlado de terceros/socios/remotos. opl Simplificación operativa y reducción de costos • Reduce complejidad de Red • Reduce la dependencia de Firewalls y puntos de control/seguridad • Simplifica iniciativas de VPNs, NAC, CASB y SD-WAN Despliegue y habilitación de servicios seguros de NUBE • Extensión a AWS & Azure • Integra características nativas de Cloud • Unifica control de Acceso • Despliegue en diseños redundantes (HA) y distribuido. • Asegura servicios “On premises” y/o “Cloud”. • Preconcepción para prestación de Servicios en modelo Multi Compañía Oportunidadesdedespliegue
- 21. SDP enables organizations to provide people-centric, manageable, secure and agile access to networked systems. It is easier and less costly to deploy than firewalls,VPN concentrators and other bolt-in technologies.” “ Legacy, perimeter-based security modelsare ineffective against attacks. Security andrisk pros mustmake security ubiquitous throughout the ecosystem.”“ TheSDP security model has been shown to stop all forms of network attacks including DDoS, Man-in-the-Middle, Server Query (OWASP10) as well asAdvanced PersistentThreat.” “ BeyondCorp doesn’t gate access toservices andtools based on a user’s physical location or the originating network; instead, accesspolicies are based on information about a device, its state, and its associated user.” “ Opinionesdeindustria.
- 22. Vivimos en una era de ciberguerra en un mundo sin perímetros, donde aun es asumida la confianza creando brechas de seguridad. Con la introducción de las redes hibridas se eliminaron los perímetros, entonces debemos evolucionar nuestra seguridad basada en ambientes abiertos. Luis Gonzalo Acosta C. Sales Director Enterprise Latam Luis.acosta@cyxtera.com