La nueva publicación del Instituto Nacional de Estándares y Tecnología de Estados Unidos, ofrece ejemplos concretos con tecnologías comerciales y busca apoyar a las organizaciones ante los desafíos que implica adoptar este modelo de ciberseguridad.
El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) ha lanzado una nueva guía que busca facilitar la implementación práctica de arquitecturas de confianza cero (ZTA), superando el enfoque conceptual de sus anteriores lineamientos publicados en 2020. Esta actualización responde al crecimiento sostenido en la adopción de este modelo, impulsado también por exigencias regulatorias a ciertas organizaciones.
La confianza cero (zero trust) propone una alternativa al modelo clásico de seguridad basado en perímetros. Su principio central es que ningún usuario o dispositivo debe considerarse confiable por defecto, sin importar su ubicación o si ha sido autenticado previamente. En consecuencia, todo acceso debe ser validado constantemente. Este enfoque busca adaptarse a los entornos actuales, marcados por el acceso remoto, dispositivos diversos y redes cada vez más distribuidas.
Sin embargo, la entidad es consciente que adoptar la confianza cero no es tarea sencilla. Entre los principales desafíos se encuentran la falta de entendimiento del modelo, la personalización requerida según el entorno de red de cada organización y el impacto que puede tener su despliegue en las operaciones diarias. Así lo indicó Alper Kerman, informático del NIST y coautor de la guía, al manifestar que “pasar de la protección tradicional a la confianza cero requiere muchos cambios. Es necesario comprender quién accede a qué recursos y por qué”, y advirtió que “no siempre es fácil encontrar expertos en ZTA que puedan ayudarte”.
Para responder a estas dificultades, el documento proporciona 19 ejemplos de implementación desarrollados a partir de tecnologías comerciales disponibles en el mercado, sin que esto implique un respaldo por parte del NIST o del Centro Nacional de Excelencia en Ciberseguridad (NCCoE), que también participó en el proyecto. Estas soluciones fueron construidas tras cuatro años de trabajo conjunto entre el equipo del NCCoE y 24 colaboradores de la industria, incluidas reconocidas empresas tecnológicas.
La guía describe diversos enfoques y arquitecturas, agrupados según sus características y objetivos. Entre ellos se incluyen: confianza cero general, que abarca todas las implementaciones, desde gobernanza de identidad mejorada (EIG) hasta microsegmentación y el borde de servicio de acceso seguro (SASE); fase de rastreo de EIG, centrada en componentes de control de acceso e identificación, orientada a proteger recursos locales; fase de ejecución de EIG, que introduce elementos de autorización y políticas no cubiertos por los proveedores de identidad; modelos basados en SDP, microsegmentación y SASE, que adoptan esquemas flexibles según las necesidades de seguridad; un laboratorio físico de ZTA, que proporciona el entorno de referencia sobre el cual se construyeron todas las soluciones; y la Fase 0, orientada al despliegue de herramientas de análisis y servicios de seguridad compartidos para sentar las bases de la implementación.
“Esta guía ofrece ejemplos de cómo implementar ZTA y destaca las diferentes tecnologías necesarias para implementarlas. Puede ser un punto de partida fundamental para cualquier organización que esté desarrollando su propia ZTA2”, indicó Kerman.