La confianza cero no es un concepto nuevo y muchos la definen de diferentes maneras. Sin embargo, una cosa debe quedar clara: ¡no es un producto! En pocas palabras, es una forma de pensar. Una forma de pensar que significa que todos (incluidos los usuarios) tenemos la responsabilidad de garantizar un uso eficiente y seguro de los recursos de la empresa para impulsar la productividad.

Otro plan de seguridad al que me gusta hacer referencia es Cisco SAFE, un modelo de seguridad para redes empresariales [2]. Este divide las capas de seguridad en elementos con los que podemos identificarnos fácilmente y adaptar a nuestros propios entornos. El objetivo del modelo es comprender nuestra operación, involucrar a todas las partes interesadas y descubrir las capacidades que tenemos para reducir este riesgo. En el contexto de la confianza cero, es un modelo poderoso que identifica brechas y crea blancos en los que podemos fijar nuestras miras. El objetivo es desarrollar un camino alcanzable hacia un modus operandi de confianza cero.

Trustv6

Internet se creó sobre el principio de conectividad de extremo a extremo. Como ya se ha mencionado, inicialmente nos concentramos en la conectividad. Después, la tecnología maduró y se estabilizó; estableció la expectativa de confiabilidad. A su vez, esto le permitió a la comunidad de Internet cambiar de enfoque y desarrollar nuevos protocolos y principios como el que es objeto de este artículo. La confianza cero promete la capacidad de trabajar de forma segura desde cualquier lugar y en cualquier momento. Sin embargo, si nuestra forma de pensar basada en la confianza cero depende de la prevalencia de IPv4, solo estamos socavando la promesa de la que hablamos anteriormente. ¿Qué sucede con los usuarios de redes solo IPv6? ¿Acaso no pueden acceder?

Las conexiones IPv4 colocan los paquetes en una posición poco deseable, ya que pueden ser manipulados, por ejemplo, durante la función NAT. Peor aún, consideremos el mecanismo CGNAT (Carrier-Grade NAT). ¿Sabes quién está detrás de esas conexiones? Esto hace que sea difícil resolver un problema. Ahora, veamos IPv6. La conectividad IPv6 le abre las puertas a un mundo conectado de extremo a extremo, lo que cambia bastante la ecuación y agrega un nivel de simplicidad. Esto no significa que usemos IPv6 como una identidad, sino para aumentar el nivel de “confianza” en lo que nos llega. Analicemos esto un poco más. Confío más en los paquetes que provienen directamente de la entidad que intenta establecer una conexión con mis aplicaciones que en los que han sido manipulados en nodos intermedios a lo largo del camino (por ejemplo, motores NAT44, servicios de descifrado SSL). Esto no debe confundirse con el establecimiento de confianza. En cambio, consideremos el potencial que tiene esta forma de comunicación directa para reducir el riesgo. En definitiva, el resultado seguro de una arquitectura de confianza cero no es la eliminación del riesgo sino su reducción. IPv6 nos permite avanzar un paso más.

Consejos prácticos

En las secciones anteriores, sentamos las bases para calibrar una nueva forma de pensar. Ahora, convirtamos esto en algo práctico que podamos llevar a nuestras organizaciones. A medida que tu mentalidad cambie hacia un enfoque de confianza cero, considera los siguientes puntos:

Experiencia del usuario: Mientras buscamos la utopía de operaciones seguras y eficientes, no olvidemos a nuestros usuarios y su productividad. Ellos son la razón por la que estamos aquí. No se trata de tener la mejor seguridad ni las herramientas más costosas. Se trata de que el usuario adecuado acceda a los recursos adecuados de forma segura y sin experimentar frustración, a la vez manteniendo la gobernanza de la seguridad de la empresa. Mídela y establece expectativas adecuadas. Encuentra el equilibrio adecuado entre seguridad y desempeño. Y no olvidemos que muchos estudios muestran que IPv6 suele tener un mejor desempeño.

Confía en tu modelo: Hay muchas formas de pensar en la confianza cero, muchos la han definido (por ejemplo, NIST, Gartner, {inserta aquí el nombre de tu empresa favorita}), pero hay que entender que no existe una respuesta correcta. Solo existe la respuesta que tiene sentido para nuestra organización. Debemos adaptar las mejores prácticas y tecnologías de la industria a los hábitos de nuestros usuarios, a las políticas de la empresa y a las herramientas (por ejemplo, aplicaciones) de una manera que tenga sentido. Recuerda, al final del día, se trata de mantener las luces prendidas para que nuestra entidad pueda cumplir su misión. No te aferres a IPv4, a una herramienta de seguridad ni a la vieja escuela de pensamiento. Evoluciona, mantén la curiosidad y aprende algo nuevo. Esto hará que tu trabajo sea más divertido.

El desafío de extremo a extremo: Al igual que en el juego del teléfono descompuesto de nuestra infancia, el mensaje se pierde entre el originador (por ejemplo, el usuario) y su destino final (por ejemplo, la aplicación). La comunidad de Internet ha estado trabajando arduamente para brindarnos más herramientas de extremo a extremo (E2E). Por ejemplo, entre otras cosas, nos ha dado IPv6, Messaging Layer Security (MLS) y QUIC. Depende de nosotros implementar estas “herramientas” para comenzar a transitar el camino hacia el establecimiento de cimientos sólidos para la confianza cero que se basen en las ventajas que nos ofrece E2E. Dicho de una manera más directa: administradores de red, salgan e implementen IPv6 en las redes de su empresa; desarrolladores de aplicaciones, adopten nuevos protocolos como QUIC o MLS para establecer comunicaciones con los usuarios finales. La clave es que no se queden quietos, porque nuestros adversarios no lo hacen.

Seguridad, responsabilidad de todos: La seguridad ya no es opcional ni responsabilidad exclusiva del equipo de seguridad. Ahora todos somos un poco responsables y debemos hacer nuestra parte. Desde el desarrollador de aplicaciones hasta el usuario y desde la comunidad de código abierto hasta los operadores de red, todos debemos asumir un nivel de responsabilidad para desarrollar operaciones seguras y accesibles que tengan en cuenta la experiencia de nuestros usuarios.

El equipo directivo o C-suite: Hace apenas unos años, la seguridad no estaba entre los cinco principales rubros en los que invertían los gerentes de sistemas de información (CIO). Hoy en día, esto ni siquiera se cuestiona [3]. La seguridad es un tema de preocupación para todos. Los recientes acontecimientos alrededor del mundo, entre ellos la guerra en Ucrania [4], el COVID-19 y el teletrabajo, o el aumento del ransomware han mostrado que no estamos preparados para competir cabeza a cabeza con las advertencias. Lo que nos queda por hacer es reducir el riesgo para permitir que las empresas avancen. Por lo tanto, aprovechemos este momento para ayudar a financiar proyectos que ayuden a la organización a adoptar el enfoque moderno sobre la conectividad (es decir, IPv6) y la seguridad (es decir, la mentalidad de confianza cero).

Si bien podemos sentir nostalgia del pasado, es hora de caminar hacia adelante. Hoy en día tenemos en nuestras manos más poder de cómputo que el que tuvo el transbordador espacial. Esto nos permite evolucionar la forma en que trabajamos, vivimos y jugamos. Por lo tanto, no importa dónde esté alojada una aplicación, los principios de confianza cero deberían ser la forma de permitir un acceso adecuado, en el momento adecuado y desde las ubicaciones adecuadas, especialmente cuando se trata de redes solo IPv6, en las que deberíamos confiar más para el mejoramiento de la humanidad. ☺

Referencias

[1] https://www.worldipv6launch.org/measurements/

[2] https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/landing_safe.html

[3] https://www.cio.com/article/302803/7-hot-it-budget-investments-and-4-going-cold.html#:~:text=CIOs%20anticipate%20an%20increased%20focus,two%20that%20have%20grown%20cold.

[4] https://blog.google/threat-analysis-group/fog-of-war-how-the-ukraine-conflict-transformed-the-cyber-threat-landscape/