Para cualquiera que lleve algún tiempo en el sector de la ciberseguridad o la tecnología, un año o dos pueden parecer una eternidad, y una década suele dejar tras de sí suficientes tecnofósiles como para llenar innumerables almacenes. Por lo tanto, es difícil creer que la conversación en torno a la confianza cero haya tenido lugar durante casi 30 años. El objetivo de esta serie de blogs es ofrecer una visión general de cómo ha evolucionado la arquitectura de confianza cero hasta llegar al punto en el que se encuentra ahora, destacar algunos cambios tecnológicos y de sentimiento del sector a lo largo del camino y, en última instancia, establecer un paralelismo entre la evolución mucho más reciente de la gestión de la superficie de ataque y los retos de la adopción de la confianza cero.
El comienzo de la confianza cero
Como ocurre con muchas aplicaciones prácticas de la tecnología, la confianza cero comenzó como un modelo conceptual propuesto por el académico Stephen Paul Marsh en su tesis doctoral de 1994. En aquel momento, el cortafuegos reinaba tecnológicamente, y la filosofía de seguridad de las organizaciones empresariales era que todo lo valioso estaba detrás del cortafuegos, y esa era toda la protección necesaria. Para utilizar una imagen mucho más coloquial, las empresas de aquella época podían compararse con una casa sin puertas que separasen las distintas habitaciones. Una vez que alguien entraba, tenía acceso a todo y era de absoluta confianza.
A lo largo de la década siguiente, el modelo conceptual de confianza cero ganó suficiente fuerza como para justificar su inclusión en el Foro de Jericó en 2003. En ese momento, la tecnología había empezado a permitir el trabajo a distancia como nunca antes. La necesidad cada vez mayor de dar cabida a esta mano de obra remota comenzó a impulsar cambios en las arquitecturas corporativas que dieron lugar a nuevas desviaciones del modelo de perímetro tradicional. El Foro Jericó fue capaz de reconocer estas tendencias desde el principio, pero no fue hasta que Google sufrió una brecha significativa y muy pública en 2009 que el modelo de confianza cero comenzó a desarrollarse más ampliamente con la creación de BeyondCorp.
Confusión sobre lo que es y lo que no es "confianza cero
En principio, la confianza cero es extremadamente sencilla y es exactamente lo que parece: No. Confíes. En nada. Sin embargo, pronto quedó claro que su ejecución práctica generaba mucha confusión en la década de 2010.
Las empresas y los equipos de marketing se aferraron al término e introdujeron la "confianza cero" en el marketing y la publicidad de sus productos. A falta de un marco o autoridad oficial, el "buzzword bingo" empezó a contaminar el mercado con anuncios de productos que no eran realmente de confianza cero y nadie podía afirmar lo contrario. Esto llevó a una confusión de ideas y tecnologías que confundió a los clientes y al mercado en su conjunto: ningún individuo o tecnología tenía la sartén por el mango en el mercado y tanto el problema como la solución se entendían mal. La categoría se volvió tan confusa que el modelo tuvo que dividirse en subcategorías como Workforce (usuarios), Workplace (redes) y Workloads (aplicaciones).
Para aumentar la complejidad del reto, más o menos en la misma época Apple y otras empresas cambiaron completamente las reglas del juego con el debut de sus diversas tiendas de aplicaciones Y la adopción de la nube ganó tracción masiva tan rápidamente que muchos dirían que actualmente estamos en la fase de "adopción tardía" de su utilización. De repente, el ámbito de la seguridad se volvió exponencialmente más complejo, ya que cientos o miles de aplicaciones y recursos informáticos hicieron saltar por los aires el concepto tradicional de perímetro. Se hicieron necesarias y disponibles más herramientas, y surgieron docenas de empresas para satisfacer la necesidad, confundiendo aún más el panorama tanto para los consumidores como para los productores.
Arquitectura de confianza cero del NIST
Afortunadamente, la culminación de este movimiento condujo a la publicación NIST SP800-207 Zero Trust Architecture en 2018. Este marco formalizó los principios de confianza cero en tres componentes principales:
- Mejor gestión de identidades y controles de acceso basados en políticas
- Microsegmentación
- Redes superpuestas y perímetros definidos por software
Referencia: Modelo de seguridad de confianza cero, resumido de NIST SP800-207
Ahora, por supuesto, te estarás preguntando qué tiene que ver esto con la gestión de la superficie de ataque. Estén atentos, lo veremos en la próxima entrega.